手順
- Talend Administration Centerにログインします。
- [Configuration](設定)ページから、[SSO]ノードを展開します。
- SSOがまだ有効化されていない場合は、[Use SSO Login] (SSOログインの使用)フィールドで、trueを選択します。
- [IDP metadata](IDPメタデータ)フィールドで[Launch Upload](アップロードを起動)をクリックし、アイデンティティプロバイダー(IdP)システムから以前にダウンロードしたアイデンティティプロバイダーメタデータファイルをアップロードします。
-
[Service Provider Entity ID](サービスプロバイダーエンティティID)フィールドに、サービスプロバイダーのエンティティID(IdPの設定で利用可能)を入力します。
たとえば、OktaとADFSではhttp://<host>:<port>/org.talend.administrator/ssologin、PingFederateでは<Connection ID>になります。
-
[IDP Authentication Plugin](IDP認証プラグイン)フィールドで[Launch Upload](アップロードを起動)をクリックし、アイデンティティプロバイダーシステムから以前にダウンロードしたアイデンティティプロバイダーメタデータファイルをアップロードします。
Talendによって提供されるjarファイルは、<TomcatPath>/webapps/org.talend.administrator/idp/pluginsディレクトリーにあります。
必要に応じて、認証コードを書き直すことも可能です。
[Identity Provider System](アイデンティティプロバイダーシステム)フィールドは、使用するアイデンティティプロバイダーシステムに応じて自動的に変更されます。
-
[Identity Provider Configuration](アイデンティティプロバイダーシステム設定)をクリックし、必要な情報を入力します。
PingFederate
- [PingFederate SSO URL:] (PingFederate SSOのURL:) https://win-350n8gtg2af:9031/idp/ startSSO.ping?PartnerSpld=TAC701
- [Basic Adapter Instance ID:](基本アダプターインスタンスID:) BasicAdapter
Okta- Okta Organization URL:(Okta組織URL:) https://dev-515956.oktapreview.com
- Okta Embedded Url:(Okta組み込みUrl:) https://dev-515956.oktapreview.com/home/ talenddev515956_talendadministrationcenter_1/0oacvlcac5j52hFhP0h7/ alncvlmpk1VXbYAGu0h7
AD FS 2
- [Adfs SSO Url:] (Adfs SSOのURL:) https://<host>/adfs/ls
- [Adfs Basic Auth Path:] (Adfs基本認証パス:) auth/basic
- [Adfs SP Entity Id:] (Adfs SPのエンティティID:) https://<host>:<port>/org.talend.administrator/ssologin
AD FS 3- [Adfs 3 SP Entity Id:] (Adfs 3 SPのエンティティID:) https://<host>:<port>/org.talend.administrator/ssologin
- [Adfs 2 SSO Url:] (Adfs SSO 2のURL:) https://<host>/adfs/ls
-
[Use Role Mapping] (ユーザーロールのマッピング)フィールドをtrueに設定し、アプリケーションプロジェクトの種類とユーザーの役割をアイデンティティプロバイダーシステムで定義されたものにマップします。
一度アイデンティティプロバイダー側でプロジェクトの種類/ロールを定義すると、Talend Administration Centerからそれらを編集することはできなくなります。
-
[Mapping Configuration](マッピング設定)をクリックし、アイデンティティプロバイダーシステムで以前に設定した対応するSAML属性を、ロール/プロジェクトの種類フィールドに入力します。
プロジェクトタイプの例:
- MDM = MDM
- DI = DI
- DM = DM
- NPA = NPA
ロールの例:
-
Talend Administration Centerロール
- Administrator = tac_admin
- Operation Manager = tac_om
Talend Administration Centerロールの設定は必須です。
-
Talend Data Preparationロール
- Administrator = dp_admin
- Data Preparator = dp_dp
-
Talend Data Stewardshipロール
- Data Steward = tds_ds
アイデンティティプロバイダーで設定されたプロジェクトの種類と役割は、Talend Administration Centerの設定を上書きします。
アイデンティティプロバイダーで設定されたプロジェクトの種類とロールは、ユーザーログイン時にTalend Administration Centerで設定されたロールを上書きします。
組織がSAMLトークンのカスタム属性を使用しない場合は、次のいずれかになります。
-
ウィザードと[Path to Value] (値へのパス)で、[Show Advanced Configuration] (高度な設定の表示)を選択し、SAML値をターゲットにするXPath式を入力し、対応するTalend Administration Centerオブジェクト([Project Types] (プロジェクトの種類)、[Roles] (ロール)、[Email] (メール)、[First Name] (名)、[Last Name](姓))にマッピングします。
例: /saml2p:Response/saml2:Assertion/saml2:AttributeStatement/saml2:Attribute[@Name='tac.projectType']/saml2:AttributeValue/text()
-
[Use Role Mapping] (ユーザーロールのマッピング)をfalseに設定します。
この場合、手動でユーザーを作成できませんが、ユーザーの種類とロールはTalend Administration Centerで編集できます。
ユーザーが初回にログインする場合、ユーザーの種類は[No Project access](プロジェクトへのアクセス権なし)になります。
デフォルトのログインタイムアウトは120秒に設定されており、必要なタイムアウトsso.config.clientLoginTimeoutパラメーターを希望のタイムアウトで<ApplicationPath>/WEB-INF/classes/configuration.propertiesファイルに追加することで変更できます。
タスクの結果
アイデンティティプロバイダーを使用してTalend Administration Centerにログインできます。