SAMLサーバーを設定

SAML 2.0プロトコルを使って、外部認証サーバーを有効化するようにSAMLサーバーを設定します。

1. [MANAGE] (管理) > [Users] (ユーザー)に移動します。
2. ツールバーの[Authentication] (認証)フィールドで、ドロップダウンリストからSAMLを選択します。
3. ドロップダウンリストの横にある[Configure authentication] (認証の設定)アイコンをクリックします。

   Talend Data Catalogはグループ割り当ての読み取りではAzure AD APIを使用しません。ユーザーに関する情報はすべてAD FSからの標準的なSAMLレスポンスから抽出され、IdPはADの上に配置されます。ユーザーが[Groups] (グループ)属性の属性マッピングを作成し、外部グループからローカルグループへのグループマッピングを行なった場合、外部ユーザーはログイン時に自動的にローカルグループを割り当てられます。

4. [Connection] (接続)タブで、必要な情報を入力し、Talend Data CatalogをIDプロバイダーにリンクさせます。

   フィールド	アクション
   [Identity Provider] (IDプロバイダー)	IdP サーバーの URL を入力します。
   [Service Provider Entity ID] (サービスプロバイダーエンティティID)	サービスプロバイダーのホスト名を入力します。Talend Data Catalogアプリケーションサーバーがロードバランサーかプロキシサーバーの背後にある場合、このホスト名はそのロードバランサーやプロキシサーバーのホスト名であることが必要です。このホスト名は、Talend Data Catalogアプリケーションサーバーによって生成されるSAMLリクエストで発行者として使用されます。それに応じて、IdPサーバーのアプリケーションIDとオーディエンス制限を設定します。
   [Identity Provider X509 Certificate] (IDプロバイダーX509証明書)	IDプロバイダーのパブリックX509証明書を入力すると、Talend Data Catalogは署名を検証し、交換されるメッセージで信頼を確立できます。
   [Binding Type] (バインドのタイプ)	バインド方法を選択します。 [HTTP-Redirect] (HTTPリダイレクト): Talend Data Catalogは、HTTPリダイレクトバインドを使ってSAML認証リクエストをIDプロバイダーのSSOサービスに送信します。 情報メモ注: Talend Data CatalogはIDプロバイダーのシークレットキーを持っていないため、Talend Data Catalogによって送信されるSAML認証リクエストは署名はできるものの、暗号化はできません。Talend Data Catalogは、サービスプロバイダーのシークレットキーとX509証明書を使ってSAML認証リクエストに署名します。 HTTP-POST: IDプロバイダーは、HTTP-POSTバインドを使ってSAMLレスポンスをTalend Data Catalogアサーションコンシューマーサービスに返します。 情報メモ注: Talend Data CatalogはIDプロバイダーのプライベートキーを持たないため、Talend Data Catalogが受信するSAMLアサーションは署名できますが、暗号化はできません。 Talend Data Catalogが署名の検証に必要とするのは、IDプロバイダーのパブリックキーのみです。アサーションのコンテンツが転送中に変更されていないことをTalend Data Catalogが確認できるよう、アサーションには署名が必要です。
   [Single Sign On URL] (シングルサインオンURL)	シングルサインオンURLを入力します。
   [Assertion Consumer Service URL] (アサーションコンシューマーサービスURL)	SP側でプロキシサーバーやローダーバランサーが使われている場合にIdPサーバからSAMLレスポンスを返す時に使用される、SAMLプロトコルバインディング。これは、SAMLレスポンスの受信者またはデスティネーションURLとして使われます。Talend Data Catalogアプリケーションサーバーがロードバランサーかプロキシサーバーの背後にある場合、このURLのプロトコル、ホスト名、ポートはそのロードバランサーやプロキシサーバーのものと一致することが必要です。
   [Service Provider Private Key] (サービスプロバイダープライベートキー)	サービスプロバイダーのプライベートキー。
   [Service Provider X509 Certificate] (サービスプロバイダーX509証明書)	サービスプロバイダーのパブリックX509証明書。 サービスプロバイダーのシークレットキーとX509証明書の両方が指定されている場合、SAML認証要求はアプリケーションサーバーのサービスプロバイダーによって署名されます。
   [SAML Response Signature Element] (SAMLレスポンス署名エレメント)	ドロップダウンリストから値の1つを選択して、SAML認証レスポンスメッセージとSAMLアサーションがIDプロバイダーによって電子署名されるかどうかを指定します。 エレメントが署名済みとして設定されているにもかかわらず、SAMLレスポンス内のエレメントがIDプロバイダーによって署名されていない場合は、Talend Data Catalogはログイン時にエラーメッセージを返します。 エレメントが未署名として設定されていると、IDプロバイダーによって署名されていることがあるにもかかわらず、Talend Data Catalogはエレメント内の署名を検証しません。

   [Import IDP metadata] (IDPメタデータをインポート)オプションは、アプリケーションサーバーがIDプロバイダーのSAMLメタデータファイル(IDプロバイダーとのやり取りに必要な情報を含むXMLドキュメント)を読み取ることを可能にします。このドキュメントには、エンドポイントのURL、サポートされるバインディングの情報、識別子、パブリックキーが含まれます。SAMLメタデータファイルを解析した後、アプリケーションサーバーはSAMLメタデータファイルで指定された値を使い、他のフィールドに自動的に入力します。SAMLサーバーの設定を完了するために、ユーザーは[Attribute Mappings] (属性マッピング)および[Group Mappings] (グループマッピング)を設定する必要があります。

   [Export SP metadata] (SPメタデータをエクスポート)オプションでは、SAMLサーバープロバイダーメタデータをエクスポートできます。アプリケーションサーバーSPは、プロトコル(httpまたはhttps)、サーバー名、ブラウザーで使われるポート番号を使い、メタデータ内にエンドポイントURLを生成します。SPが自動で生成したメタデータファイルが動作しない場合、カスタマイズが必要となる場合があります。

5. [Attribute Mappings] (属性のマッピング)タブで、[Login] (ログイン)、[Full Name] (フルネーム)、[Email] (メール)、[Groups] (グループ)などの属性を外部ユーザーアカウントからTalend Data Catalogユーザー属性にマッピングします。
6. [Group Mappings] (グループのマッピング)タブで[Add Assignment] (割り当てを追加)をクリックして、外部ユーザーアカウントからのグループ属性をTalend Data Catalogグループ名にマッピングします。
   自動グループ割り当てを有効にする場合は、ユーザーアカウント情報の[Groups] (グループ)属性に対応するフィールド名を入力します。Talend Data Catalogはこのフィールドの値をセキュリティグループ割り当てとして使います。
   ユーザーアカウント情報は、SAMLサーバーがログインリクエストに基づいてアクセストークンを検証した後に、このSAMLサーバーからTalend Data Catalogへと返されます。
   グループのマッピングを設定する際は、ワイルドカード("%")を使うことができます。%は0文字以上の文字に対応します。
   グループ割り当て用のSAML属性を入力すると、手動管理のネイティブなグループ割り当てから、SAMLによる自動グループ割り当てへとすべてのSAMLユーザーで切り替わります。SAMLユーザーは、次回のログイン時に以前のネイティブグループ割り当てを失います。

   グループ割り当て用の最後のSAML属性を削除すると、SAMLによるグループ割り当てからネイティブなグループ割り当てへと切り替わります。SAMLユーザーは他のグループに手動で割り当てられるまで、Guestグループに関連付けられます。

7. 変更を保存します。