Talend Administration Centerをアイデンティティプロバイダーにリンク
手順
- Talend Administration Centerにログインします。
- [Configuration](設定)ページから、[SSO]ノードを展開します。
- SSOがまだ有効化されていない場合は、[Use SSO Login] (SSOログインの使用)フィールドで、trueを選択します。
- [IDP metadata](IDPメタデータ)フィールドで[Launch Upload](アップロードを起動)をクリックし、アイデンティティプロバイダー(IdP)システムから以前にダウンロードしたアイデンティティプロバイダーメタデータファイルをアップロードします。
-
[Service Provider Entity ID](サービスプロバイダーエンティティID)フィールドに、サービスプロバイダーのエンティティID(IdPの設定で利用可能)を入力します。
例はこのリンクをご覧になれます。
-
[IDP Authentication Plugin] (IDP認証プラグイン)フィールドで[Launch Upload](アップロードを起動)をクリックし、アイデンティティプロバイダーシステムから以前にダウンロードしたアイデンティティプロバイダーメタデータファイルをアップロードします。
Talendによって提供されるjarファイルは、<TomcatPath>/webapps/org.talend.administrator/idp/pluginsディレクトリーにあります。
必要に応じて、認証コードを書き直すことも可能です。
[Identity Provider System](アイデンティティプロバイダーシステム)フィールドは、使用するアイデンティティプロバイダーシステムに応じて自動的に変更されます。
-
[Identity Provider Configuration](アイデンティティプロバイダーシステム設定)をクリックし、必要な情報を入力します。
例はこのリンクをご覧になれます。
-
[Use Role Mapping] (ユーザーロールのマッピング)フィールドをtrueに設定し、アプリケーションプロジェクトの種類とユーザーの役割をアイデンティティプロバイダーシステムで定義されたものにマップします。
一度アイデンティティプロバイダー側でプロジェクトの種類/ロールを定義すると、Talend Administration Centerからそれらを編集することはできなくなります。
-
[Mapping Configuration](マッピング設定)をクリックし、アイデンティティプロバイダーシステムで以前に設定した対応するSAML属性を、ロール/プロジェクトの種類フィールドに入力します。
プロジェクトタイプの例:
- MDM = MDM
- DI = DI
- DM = DM
- NPA = NPA
ロールの例:
-
Talend Administration Centerロール
- Administrator = tac_admin
- Operation Manager = tac_om
Talend Administration Centerロールの設定が必須です。
-
Talend Data Preparationロール
- Administrator = dp_admin
- Data Preparator = dp_dp
-
Talend Data Stewardshipロール
- Data Steward = tds_ds
[Role Mappings] (ロールマッピング)の属性: セキュリティ識別子リストの場合は、SAML属性名(tac.role)のデフォルト値をtokenGroupsに変更する必要があります。
アイデンティティプロバイダーで設定されたプロジェクトの種類とロールは、ユーザーログイン時にTalend Administration Centerで設定されたロールをオーバーライドします。
組織がSAMLトークンのカスタム属性を使用しない場合は、次のいずれかになります。
-
ウィザードと[Path to Value] (値へのパス)で、[Show Advanced Configuration] (詳細設定を表示)を選択し、SAML値をターゲットにするXPath式を入力し、対応するTalend Administration Centerオブジェクト([Project Types] (プロジェクトの種類)、[Roles] (ロール)、[Email] (メール)、[First Name] (名)、[Last Name](姓)にマッピングします。
例: /saml2p:Response/saml2:Assertion/saml2:AttributeStatement/saml2:Attribute[@Name='tac.projectType']/saml2:AttributeValue/text()
-
[Use Role Mapping] (ユーザーロールのマッピング)をfalseに設定します。
この場合、手動でユーザーを作成できませんが、ユーザーの種類とロールはTalend Administration Centerで編集できます。
ユーザーが初回にログインする場合、ユーザーの種類は[No Project access](プロジェクトへのアクセス権なし)になります。
デフォルトのログインタイムアウトは120秒に設定されており、必要なタイムアウトsso.config.clientLoginTimeoutパラメーターを希望のタイムアウトで<ApplicationPath>/WEB-INF/classes/configuration.propertiesファイルに追加することで変更できます。
タスクの結果
アイデンティティプロバイダーを使用してTalend Administration Centerにログインできます。