メイン コンテンツをスキップする 補完的コンテンツへスキップ

Talend Management ConsoleでSSOを有効化

SSOプロバイダー側でアプリケーションをセットアップした後、Talend CloudプラットフォームでSSOを設定します。

始める前に

  • Talend Management Consoleで管理者ロールを持っていること。
  • SSOプロバイダーからメタデータファイルを取得済みであること。

手順

  1. Talend Management Consoleにログインします。
  2. [Users & Security] (ユーザーとセキュリティ)ページの上部で、[Authentication] (認証)をクリックします。
  3. [Configuration] (運用設定)をクリックします。
  4. [Organization URL] (組織URL)フィールドにSSOプロバイダーのドメイン名を入力します。
    Oktaの場合、このURLはApplicationsタブのIdentity Provider Single Sign-On URLフィールドにあります。
  5. [Upload] (アップロード)アイコンをクリックし、SSOアプリケーション設定からダウンロードしたメタデータファイルをアップロードします。
  6. デフォルトのユーザー属性を調べます。必要であれば、SSOプロバイダー側で指定されているアプリケーション設定に一致するよう編集します。
    ユーザー属性はユーザーの認証に使用されるSAMLトークンにプロパゲートされます。SSOプロバイダー側のアプリケーション設定では、このユーザー属性に加え、次の2つの属性を指定する必要があります。
    • TalendCloudDomainName属性 (お使いのTalend Cloudドメインを示す)。ドメイン名は、Talend Management Console[Subscription] (サブスクリプション)ページにある[Domain] (ドメイン)フィールドで確認できます。
    • NameId Format属性(メールアドレス形式を示す)。
  7. [Test] (テスト)をクリックし、設定をチェックします。
    情報メモ注: このテストによって、指定されたURLとメタデータファイルが有効かどうかがチェックされます。このSSO設定を通じてのログインが動作することは保証されません。
  8. オプション: IDプロバイダー経由によるTalend Cloudアプリケーションへのログイン時にTalend Management Consoleでユーザーが自動的に作成されるよう、ユーザーのプロビジョニングを設定します。
    • IDプロバイダーでSCIMプロビジョニングを設定し、このプロバイダーとTalend Cloudの間でロールをマッピングすることをお勧めします。これは最も強力なメカニズムです。詳細は、この例をご覧ください。デモ用として、リンク先の例ではAzure ADがIDプロバイダーとして使われています。

      ロールマッピングの設定時に[Just-in-time user provisioning] (ジャストインタイム方式ユーザープロビジョニング)オプションが既に使われている場合、どのユーザーについても、このロールマッピングによって割り当てられたロールはこのジャストインタイムオプションによって提供されたロールをオーバーライドします。

    • または、Talend Management Console[Just-in-time user provisioning] (ジャストインタイム方式ユーザープロビジョニング)オプションをオンに切り替えることもできます。これは、Talend Cloudで利用できる従来のオプションです。
      [Just-in-time user provisioning] (ジャストインタイム方式ユーザープロビジョニング)オプションを使って、自動的に作成されるすべてのユーザーに割り当てる既定のロールを選択します。ユーザーは、EmailUsername.EmailDomainName@TalendCloudDomainNameという形式で識別されます。たとえばユーザーのメールがychen@company.comであり、support.company.comというTalend Cloudドメインで活動している場合、そのユーザーのIDはychen.company.com@support.company.comとなります。
      情報メモ注: 選択した一連のデフォルトロールによってプラットフォームにセキュリティリスクが生じないことを確認します。
  9. オプション: ログアウトURLをカスタマイズします。たとえば、ユーザーを特定のページにリダイレクトします。デフォルトでは、ログアウトしたユーザーはTalend Cloudログインページにリダイレクトされます。
    このURLで使用できる形式の詳細は、お使いのSSOプロバイダーのドキュメンテーションをご覧ください。
  10. [Save and Activate] (保存して有効化)をクリックします。

タスクの結果

これで、このアプリケーションにユーザーを割り当てられます。ユーザーはSSOを通じてTalend Cloudにログインできるようになります。

情報メモ注: [Just-in-time user provisioning] (ジャストインタイム方式ユーザープロビジョニング)オプションが有効でない場合は、SSOプロバイダー側でユーザーを手動で追加する必要があります。Talend Cloud内にこれらのユーザーが既に存在していた場合は、使用したメールアドレスが正しいかどうか確認します。

シングルサインオンが有効になった後は、Talend Cloudでアクセストークンを生成してTalend Studio内で使用する必要があります。Talend Cloudでトークンを生成する方法の詳細は、パーソナルアクセストークンを生成をご覧ください。

認証プロバイダーを使わずにTalend Cloudにログインできるのは、[Security Administrator] (セキュリティ管理者)ロールを持つユーザーのみです。

[Security Administrator] (セキュリティ管理者)として[External single sign-on provider] (外部シングルサインオンプロバイダー)オプションを切り替えることで、この[Authentication] (認証)ページからアクティブなSSO設定をいつでも無効にできます。その結果、ユーザーは各自のTalend Cloudユーザー名とパスワードを使用することによってのみログインできます。以前の設定も、保存されていれば再び有効できます。

次のタスク

SSOプロバイダー側でSSO証明書がアップデートされたら、お使いのTalend Cloudプラットフォームでこの証明書をアップデートする必要があります。

そのためには、SSOプロバイダーからメタデータファイルを再ダウンロードし、上記と同じ手順でTalend Management Consoleにアップロードしてください。

このページは役に立ちましたか?

このページまたはコンテンツにタイポ、ステップの省略、技術的エラーなどの問題が見つかった場合はお知らせください。