QlikWorld 2020 Global Conference. Join us to discover how to get the most from your data. Act fast. Register now and save.

ADFS の設定

ADFS は認証および承認を行うプラットフォームです。

エラスティック展開向け Qlik Sense Enterprise および Qlik Sense Enterprise for Windows (QSEfW) で使用する ID プロバイダー (IdP) として ADFS を構成できます。アプリケーション グループ、サーバー アプリケーション、および Web API を作成し、インタラクティブ ログイン (エラスティック展開向けQSE) に使用します。さらに、Active Directory から ID トークンにクレームをマッピングします。

インタラクティブ ログイン用に QCS またはエラスティック展開向け QSE に必要な ADFS リソースの作成

ADFS を設定する場合、アプリケーション グループとサーバー アプリケーションが必要です。

注: 以下の手順は、ADFS 10 を使用する場合の例です。詳細および最新の手順については、ADFS のドキュメントを参照してください。

アプリケーション グループの追加とサーバー アプリケーションの作成

次の手順を実行します。

  1. [Add Application Group Wizard] (アプリケーション グループの追加ウィザード) を開きます。

  2. アプリケーション グループの名前を入力します。

  3. [Templat] (eテンプレート) で、[Server application] (サーバー アプリケーション) を選択します。

  4. [次へ] をクリックします。

    [Server application] (サーバー アプリケーション) ページが開きます。

  5. アプリケーションの名前を入力します。

    例: 1234567890

  6. アプリケーションのクライアント識別子を入力し、書き留めておきます。クライアント識別子はクライアント ID として使用されます。

    例: https://adfs.elastic.example/1234567890

    注: この例では、https://adfs.elastic.example がテナント ドメインで、1234567890 がアプリケーションを表す一意の識別子です。クライアント識別子は URL でなければなりません。ADFS は、URL ID によってアプリケーションを表す id_token 内にカスタム クレームのみを含みます。詳細については、「Customize claims to be emitted in id_token when using OpenID Connect or OAuth with AD FS 2016」を参照してください。
  7. Redirect URI については、https://<host>/login/callback/ の書式で、テナントのログイン コールバックへのリダイレクト URL を設定します。

    例: https://adfs.elastic.example/login/callback

  8. 必要に応じて、説明を入力します。

  9. [次へ] をクリックします。

    [Configure Application Credentials] (アプリケーションの資格情報の構成) ページが開きます。

  10. [Generate a shared secret] (共有シークレットを生成する) を選択します。このシークレットを書き留めておかないと、後でアクセスできなくなります。このシークレットは、クライアント シークレットとして使用します。

  11. ウィザードを終了します。

アプリケーション グループへの Web API の追加

作成したアプリケーション グループに Web API を追加します。

次の手順を実行します。

  1. あらかじめ作成したアプリケーション グループを開きます。

  2. [Add application] (アプリケーションの追加) > [Web API] (Web API) の順に選択します。

  3. アプリケーション グループから識別子としてクライアント ID を追加します。

  4. [次へ] をクリックします。

    [Choose Access Control Policy] (アクセス制御ポリシーの選択) ページが開きます。

  5. ポリシーを適用し、[次へ] をクリックします。

    [Configure Application Permissions] (アプリケーションの権限の構成) ページが開きます。

  6. [Permitted scopes] (許可されているスコープ) について、allatclaimsemailopenid、および profile を選択します。

  7. ウィザードを終了します。

id_token に対するクレームの構成

次の手順を実行します。

  1. 作成した Web API を編集するアプリケーション グループを開きます。[Issuance Transform Rules] (発行変換規則) を開きます。

  2. ルール テンプレートの [Send LDAP Attributes as Claims] (LDAP 属性を要求として送信) を元にルールを作成します。

  3. [Active Directory] を属性ストアとして選択します。

  4. クレーム マッピングを追加します。必要に応じて、送信クレームを入力します。

  5. [Token-Groups - Unqualified Names] (Token-Groups - 名前の指定なし) を [groups] (グループ) にマッピングします。

  6. [表示名] を [display_name] にマッピングします。

  7. クレームのマッピングを終了します。