SSOとTalend Cloudの間でロールをマッピング
この種類のロールマッピングを作成するためには、/security/role-mappingsエンドポイントでPOSTリクエストを発行します。
始める前に
- お使いのSSOプロバイダーのドキュメンテーションに従って、SSOプラットフォームでロールを定義していること。
- お使いのSSOプロバイダーのシステムでアプリケーションを設定し、Talend Management ConsoleからSSOを有効にしていること。例:
- Azureの場合は、Azure Active DirectoryでSSOを設定をご覧ください。
- Oktaの場合は、OktaでSSOを設定をご覧ください。
- Talend Management ConsoleのSSOを設定する場合は、他のSAML属性と共にCustomerRolesユーザー属性を追加します。これによって、Talend Management Consoleに送信されるSAMLレスポンスファイルにこれらのロールが含まれるようになります。例:
- Azureでは、CustomerRolesの値として定義済みのAzure user.assignedrolesプロパティを使用します。
- Oktaでは、カンマ( , )で複数のロール名を区切ります。
SAMLレスポンスでは、これらの値は以下のいずれかの形式で含まれます:- 1行のAttributeValue行で
<Attribute Name="CustomerRoles"> <AttributeValue>BusinessUnitOperator,SuperAdminCorp</AttributeValue> </Attribute> - 複数のAttributeValue行で
<Attribute Name="CustomerRoles"> <AttributeValue>BusinessUnitOperator</AttributeValue> <AttributeValue>SuperAdminCorp</AttributeValue> </Attribute>
- APIリクエストの発行に使われるユーザーアカウントかサービスアカウントにTMC_SSO_MANAGEMENT権限があること。
-
TMCトークンを生成:
- ユーザーの場合は、パーソナルアクセストークンを生成に従ってパーソナルアクセストークンを生成します。
- サービスアカウントの場合は、サービスアカウントトークンを生成に従ってサービスアクセストークンを生成します。
生成されたサービスアカウントトークンは30分後に期限切れになります。期限切れになった場合は、エンドポイントhttps://api.<env>.cloud.talend.com/security/oauth/tokenでPOSTメソッドを使って新しいトークンを生成します。トークンの生成に関する詳細は、サービスアカウントトークンを生成をご覧ください。
このタスクについて
手順
次のAPIコールを発行してロールマッピングを定義します。
例
method: POST
endpoint: https://api.<env>.cloud.talend.com/security/role-mappings
headers: {
"Content-Type": "application/json",
"Authorization": "Bearer <your_personal_access_token_or_service_account_token>"
}
payload: {
[
{
"name":"Developer",
"roles":[
"API Tester",
"API Designer"
]
},
{
"name":"Administrator",
"roles":[
"Operator"
]
}
]
}Talend Cloudロールについては、Talend Management Consoleので、事前定義済みロールのリストへのアクセス、新しいロールの追加、ロール権限の管理、ユーザーへのロールの割り当てができます。詳細は、ロールを管理をご覧ください。
タスクの結果
このロールマッピングを使って割り当てられたロールは、どのユーザーについても、Talend Management Consoleで提供されている[Just-in-time user provisioning] (ジャストインタイムユーザープロビジョニング)という従来のユーザーIDプロビジョニングオプションを使って割り当てられたロールをオーバーライドします。