Talend Management ConsoleでSSOを有効化 - Cloud

Talend Cloudシングルサインオン(SSO)設定ガイド
Version
Cloud
Language
日本語
Product
Talend Cloud
Module
Talend Management Console
Content
管理と監視 > ユーザーの管理
Last publication date
2024-03-06

SSOプロバイダー側でアプリケーションをセットアップした後、Talend CloudプラットフォームでSSOを設定します。

始める前に

  • Talend Management Consoleで管理者ロールを持っていること。
  • SSOプロバイダーからメタデータファイルを取得済みであること。

手順

  1. Talend Management Consoleにログインします。
  2. [Users] (ユーザー)ページの上部で、[Authentication] (認証)をクリックします。
  3. [Configuration] (運用設定)をクリックします。
  4. [Organization URL] (組織URL)フィールドにSSOプロバイダーのドメイン名を入力します。
    このドメイン名は、前のステップでAzure ADシングルサインオンを設定した時にAzureポータルからコピーしたログインURLです。
  5. [Upload] (アップロード)アイコンをクリックし、SSOアプリケーション設定からダウンロードしたメタデータファイルをアップロードします。
  6. デフォルトのユーザー属性をチェックします。必要であれば、SSOプロバイダー側で指定されているアプリケーション設定に一致するよう編集します。
    ユーザー属性はユーザーの認証に使用されるSAMLトークンにプロパゲートされます。SSOプロバイダー側のアプリケーション設定では、このユーザー属性に加え、次の2つの属性を指定する必要があります。
    • TalendCloudDomainName属性 (お使いのTalend Cloudドメイン名を示す)。この情報は、Talend Management Console[Subscription] (サブスクリプション)ページにある[Domain] (ドメイン)フィールドで確認できます。
    • NameId Format属性(メールアドレス形式を示す)。
  7. [Test] (テスト)をクリックし、設定をチェックします。
    注: このテストによって、指定されたURLとメタデータファイルが有効かどうかがチェックされます。このSSO設定を通じてのログインが動作することは保証されません。
  8. オプション: IDプロバイダー経由によるTalend Cloudアプリケーションへのログイン時にTalend Management Consoleでユーザーが自動的に作成されるよう、ユーザーのプロビジョニングを設定します。
    • IDプロバイダーでSCIMプロビジョニングを設定し、このプロバイダーとTalend Cloudの間でロールをマッピングすることをお勧めします。これは最も強力なメカニズムです。詳細は、この例をご覧ください。デモ用として、リンク先の例ではAzure ADがIDプロバイダーとして使われています。

      ロールマッピングの設定時に[Just-in-time user provisioning] (ジャストインタイム方式ユーザープロビジョニング)オプションが既に使われている場合、どのユーザーについても、このロールマッピングによって割り当てられたロールはこのジャストインタイムオプションによって提供されたロールをオーバーライドします。

    • または、Talend Management Console[Just-in-time user provisioning] (ジャストインタイム方式ユーザープロビジョニング)オプションをオンに切り替えることもできます。これは、Talend Cloudで利用できる従来のオプションです。
      [Just-in-time user provisioning] (ジャストインタイム方式ユーザープロビジョニング)オプションを使って、自動的に作成されるすべてのユーザーに割り当てる既定のロールを選択します。これらのユーザーは、[Login name] (ログイン名)フィールドに<email_with_@_replaced_by_.>@TalendCloudDomainNameという形式でログイン名を入力する必要があります。たとえば、ユーザーのログインメールアドレスがychen@company.comで、このユーザーがsupport_departmentという名前のTalend Cloudドメイン下にあれば、ログイン名はychen.company.com@support_departmentと入力する必要があります。
      注: 選択した一連のデフォルトロールによってプラットフォームにセキュリティリスクが生じないことを確認します。
  9. オプション: ログアウトURLをカスタマイズします。たとえば、ユーザーを特定のページにリダイレクトします。デフォルトでは、ログアウトしたユーザーはTalend Cloudログインページにリダイレクトされます。
    このURLで使用できる形式の詳細は、お使いのSSOプロバイダーのドキュメンテーションをご覧ください。
  10. [Save and Activate] (保存して有効化)をクリックします。

タスクの結果

Azure Active Directoryでhttps://login.microsoftonline.comに移動してアプリケーションを検索し、このアプリケーションにユーザーを割り当てます。ユーザーはSSOを通じてTalend Cloudにログインできるようになります。

注: [Just-in-time user provisioning] (ジャストインタイム方式ユーザープロビジョニング)オプションが有効でない場合は、SSOプロバイダー側でユーザーを手動で追加する必要があります。Talend Cloud内にこれらのユーザーが既に存在していた場合は、使用したメールアドレスが正しいかどうか確認します。

シングルサインオンが有効になった後は、Talend Cloudでアクセストークンを生成してTalend Studio内で使用する必要があります。Talend Cloudでトークンを生成する方法の詳細は、パーソナルアクセストークンを生成をご覧ください。

認証プロバイダーを使わずにTalend Cloudにログインできるのは、[Security Administrator] (セキュリティ管理者)ロールを持つユーザーのみです。

[Security Administrator] (セキュリティ管理者)として[External single sign-on provider] (外部シングルサインオンプロバイダー)オプションを切り替えることで、この[Authentication] (認証)ページからアクティブなSSO設定をいつでも無効にできます。その結果、ユーザーは各自のTalend Cloudユーザー名とパスワードを使用することによってのみログインできます。以前の設定も、保存されていれば再び有効できます。

次のタスク

SSOプロバイダー側でSSO証明書がアップデートされたら、お使いのTalend Cloudプラットフォームでこの証明書をアップデートする必要があります。

そのためには、SSOプロバイダーからメタデータファイルを再ダウンロードし、上記と同じ手順でTalend Management Consoleにアップロードしてください。