SAMLサーバーの設定 - 7.3

Talend Data Catalog管理ガイド

EnrichVersion
7.3
EnrichProdName
Talend Big Data Platform
Talend Data Fabric
Talend Data Management Platform
Talend Data Services Platform
Talend MDM Platform
Talend Real-Time Big Data Platform
EnrichPlatform
Talend Data Catalog
task
データガバナンス
管理と監視

SAML 2.0プロトコルを使って、外部認証サーバーを有効化するようにSAMLサーバーを設定します。

始める前に

  • 管理者として、IDプロバイダーシステムでTalend Data Catalogアプリケーションを設定済みであること。
  • 管理者として、IDプロバイダーシステムでアプリケーションのユーザーとユーザー属性を設定済みであること。
  • [Administrators] (管理者)グループ、または[Security Administrators] (セキュリティ管理者)グループに割り当てられたユーザーとしてサインインしていること。

手順

  1. [MANAGE] (管理) > [Users] (ユーザー)に移動します。
  2. ツールバーの[Authentication] (認証)フィールドで、ドロップダウンリストからSAMLを選択します。
  3. ドロップダウンリストの横にある[Configure authentication] (認証の設定)アイコンをクリックします。
  4. [Connection] (接続)タブで、必要な情報を入力し、Talend Data CatalogをIDプロバイダーにリンクさせます。
    フィールド アクション
    IdP Entity ID (IdPエンティティID) IDプロバイダーの一意名を入力します。
    X509 Certificate (X509証明書) IDプロバイダーのパブリックX509証明書を入力すると、Talend Data Catalogは署名を検証し、交換されるメッセージで信頼を確立できます。
    SSO HTTP-POST Binding URI (SSO HTTP-POSTバインドURI) HTTP-POSTバインドURI (https://idp.example.org/SAML2/SSO/POSTなど)を入力します。

    IDプロバイダーは、HTTP-POSTバインドを使ってSAMLレスポンスをTalend Data Catalogアサーションコンシューマーサービスに返します。

    注: Talend Data CatalogはIDプロバイダーのプライベートキーを持たないため、Talend Data Catalogが受信するSAMLアサーションは署名できますが、暗号化はできません。

    Talend Data Catalogが署名の検証に必要とするのは、IDプロバイダーのパブリックキーのみです。アサーションのコンテンツが転送中に変更されていないことをTalend Data Catalogが確認できるよう、アサーションには署名が必要です。

    SSO HTTP-Redirect Binding URI (SSO HTTPリダイレクトバインドURI) HTTPリダイレクトバインドURI(https://idp.example.org/SAML2/SSO/Redirectなど)を入力します。

    Talend Data Catalogは、HTTPリダイレクトバインドを使ってSAML認証リクエストをIDプロバイダーのSSOサービスに送信します。

    注: Talend Data CatalogはIDプロバイダーのプライベートキーを持たないため、Talend Data Catalogが送信するSAML認証リクエストは署名も暗号化もされません。リクエストには通常プライベートデータがあまり含まれていないため、SAMLリクエストを暗号化する必要はほとんどありません。
  5. [Attribute Mappings] (属性のマッピング)タブで、[Login] (ログイン)[Full Name] (フルネーム)[Email] (メール)[Groups] (グループ)などの属性を外部ユーザーアカウントからTalend Data Catalogユーザー属性にマッピングします。
    自動グループ割り当てを有効にする場合は、ユーザーアカウント情報の[Groups] (グループ)属性に対応するフィールド名を入力します。Talend Data Catalogはこのフィールドの値をセキュリティグループ割り当てとして使います。
  6. [Group Mappings] (グループのマッピング)タブで、外部ユーザーアカウントからのグループ属性をTalend Data Catalogグループ名にマッピングします。
    すべてのSAMLユーザーについて、ネイティブグループ割り当てをSAMLドリブングループ割り当てに切り替えます。SAMLユーザーは、次回のログイン時に以前のネイティブグループ割り当てを失います。
  7. 変更を保存します。

タスクの結果

これでIDプロバイダーを使ってTalend Data Catalogにログインできます。