メイン コンテンツをスキップする 補完的コンテンツへスキップ

Talend Data CatalogでSAMLサーバーを設定

始める前に

  • 管理者として、OktaでSAMLアプリケーションを作成し、設定済みであること。
  • 管理者として、Oktaでアプリケーションのユーザーとユーザー属性を設定済みであること。
  • [Security Administration] (セキュリティ管理)機能を持つグローバルロールに割り当てられていること。

手順

  1. [MANAGE] (管理) > [Users] (ユーザー)に移動します。
  2. ツールバーの[Authentication] (認証)フィールドで、ドロップダウンリストからSAMLを選択します。
  3. ドロップダウンリストの横にある[Configure authentication] (認証の設定)アイコンをクリックします。
  4. [Connection] (接続)タブで、以前保存したIDプロバイダーメタデータを使って必要な情報を入力します。
    フィールド アクション
    [Identity Provider] (IDプロバイダー) IDプロバイダー発行者を入力します。
    [X509 Certificate] (X509証明書) IDプロバイダーのパブリックX509証明書を入力します。
    [Binding Type] (バインドのタイプ)
    バインド方法を選択します。
    • [HTTP-Redirect] (HTTPリダイレクト):

      Talend Data Catalogは、HTTPリダイレクトバインドを使ってSAML認証リクエストをIDプロバイダーのSSOサービスに送信します。

      情報メモ注: Talend Data CatalogはIDプロバイダーのプライベートキーを持たないため、Talend Data Catalogが送信するSAML認証リクエストは署名も暗号化もされません。リクエストには通常プライベートデータがあまり含まれていないため、SAMLリクエストを暗号化する必要はほとんどありません。
    • [HTTP-POST]:

      IDプロバイダーは、HTTP-POSTバインドを使ってSAMLレスポンスをTalend Data Catalogアサーションコンシューマーサービスに返します。

      情報メモ注: Talend Data CatalogはIDプロバイダーのプライベートキーを持たないため、Talend Data Catalogが受信するSAMLアサーションは署名できますが、暗号化はできません。

      Talend Data Catalogが署名の検証に必要とするのは、IDプロバイダーのパブリックキーのみです。アサーションのコンテンツが転送中に変更されていないことをTalend Data Catalogが確認できるよう、アサーションには署名が必要です。
    [Single Sign On URL] (シングルサインオンURL)

    シングルサインオンURLを入力します。
    [Signature Element] (署名エレメント)

    ドロップダウンリストから値の1つを選択して、SAML認証レスポンスメッセージとSAMLアサーションがIDプロバイダーによって電子署名されるかどうかを指定します。

    エレメントが署名済みとして設定されているにもかかわらず、SAMLレスポンス内のエレメントがIDプロバイダーによって署名されていない場合は、Talend Data Catalogはログイン時にエラーメッセージを返します。

    エレメントが未署名として設定されていると、IDプロバイダーによって署名されていることがあるにもかかわらず、Talend Data Catalogはエレメント内の署名を検証しません。
  5. [User Attribute Mapping] (ユーザー属性のマッピング)タブで、フィールドに対応するSAML属性を入力し、以前にOktaで設定したユーザー情報を取得します。
  6. [Group Mappings] (グループのマッピング)タブで、外部ユーザーアカウントからのグループ属性をTalend Data Catalogグループ名にマッピングします。
    自動グループ割り当てを有効にする場合は、ユーザーアカウント情報の[Groups] (グループ)属性に対応するフィールド名を入力します。Talend Data Catalogはこのフィールドの値をセキュリティグループ割り当てとして使います。
    ユーザーアカウント情報は、SAMLサーバーがログインリクエストに基づいてアクセストークンを検証した後に、このSAMLサーバーからTalend Data Catalogへと返されます。
    グループのマッピングを設定する際は、ワイルドカード("%")を使うことができます。%は0文字以上の文字に対応します。
    グループ割り当て用のSAML属性を入力すると、手動管理のネイティブなグループ割り当てから、SAMLによる自動グループ割り当てへとすべてのSAMLユーザーで切り替わります。SAMLユーザーは、次回のログイン時に以前のネイティブグループ割り当てを失います。

    グループ割り当て用の最後のSAML属性を削除すると、SAMLによるグループ割り当てからネイティブなグループ割り当てへと切り替わります。SAMLユーザーは他のグループに手動で割り当てられるまで、Guestグループに関連付けられます。

  7. 変更を保存します。
  8. 再びブラウザーを開き、Talend Data Catalogへのアクセスを試みます。

タスクの結果

認証のため、Oktaにリダイレクトされます。

このページは役に立ちましたか?

このページまたはコンテンツにタイポ、ステップの省略、技術的エラーなどの問題が見つかった場合はお知らせください。

こちらにフィードバックをお寄せください