Qlik Sense との SAML single sign-on (SSO) を実現するための、SAP HANA の構成

SAP HANA でアクセス権が異なるユーザーが多くいる場合でも、複数の ODBC コネクターと資格情報を作る必要はありません。代わりに、SAP HANA への single sign-on (SSO) ODBC コネクターを作成し、SAP HANA のセキュリティ認証を使用できます。

Qlik Sense ユーザーは、QlikSAP HANA 間で一貫して識別され認証されます。そのため、Qlik Sense ハブからアプリケーションを閲覧するユーザーは、SAP HANA で閲覧が許可されている値や属性しか閲覧できません。これは、Qlik アプリケーションにロードされた静的データには適用されません。しかし、ユーザーが新しい接続を作成したり、データをリロードしたり、Direct Discovery を使用する場合には適用されます。

これはアプリのデザイナーやユーザーが多く存在する場合に便利です。重要なことは、ユーザーが Qlik アプリにログインして、接続文字列に対してユーザー ID を動的に渡すことで、各ユーザーが自分のデータベース ログイン情報を使ってデータソースに効率的に接続できるようにすることです。これによって、データソースに対しても、行やテーブル レベルでのセキュリティを維持することができます。

SSO を設定するには、次の操作を行います。

注: 手順 1~4 は SAP HANA Studio で行います。
  1. 証明書と秘密キーを生成します。
  2. SAP HANA に証明書をインストールします。
  3. SAP HANA Studio で ID プロバイダー (IdP) とユーザー マッピングを作成します。
  4. SAP HANA の構成を検証します。
  5. Qlik Sense インストールのすべてのノードに PEM ファイルを配布して Qlik Sense を構成します。すべてのノードに同じ証明書を使います。

    • 各コンピューターの証明書フォルダーに証明書と秘密キーのファイルをコピーします。初期設定では、これはC:\ProgramData\Qlik\Sense\Engine\Certificatesです。
    注: 証明書に Qlik.pem および Qlik_key.pem という名前が付けられていることを確認してください。
  6. SAP HANA への ODBC 接続を作成します。

    • [現在のユーザー] を選択します。

      あらゆるデータ接続の使用が SAP HANA からエンド ユーザーの資格情報を使って実行できるようになります。

    • データを選択し、マッピングされたデータベース ユーザーの権限と利用可能なデータが合致することを確認します。

C:\ProgramData\Qlik\Sense\Engine に移動し、Settings.ini を開いて、Qlik Sense の設定を有効にします。次のテーブルに、SSO 設定の選択肢を定義します。

名前 初期設定 説明
SSOCertificateFolder デフォルトのエンジン フォルダ 証明書が作成されるフォルダ
SSOCertificate ”qlik.pem” 証明書ファイルの名前
SSOPrivateKey 「qlik_key.pem」

秘密キーの名前

SSOCasing 0

0: 大文字/小文字を区別

>0: 大文字

<0: 小文字

SSOExternalId 0

0: QlikId (ドメイン\ユーザー名)

1: UPN

(username@domain.com)

2: (ユーザー名)