SAML 2.0プロトコルを使って、外部認証サーバーを有効化するようにSAMLサーバーを設定します。
始める前に
- 管理者として、IDプロバイダーシステムでTalend Data Catalogアプリケーションを設定済みであること。
- 管理者として、IDプロバイダーシステムでアプリケーションのユーザーとユーザー属性を設定済みであること。
- [Administrators] (管理者)グループ、または[Security Administrators] (セキュリティ管理者)グループに割り当てられたユーザーとしてサインインしていること。
手順
- [MANAGE] (管理) > [Users] (ユーザー)に移動します。
- ツールバーの[Authentication] (認証)フィールドで、ドロップダウンリストからSAMLを選択します。
- ドロップダウンリストの横にある[Configure authentication] (認証の設定)アイコンをクリックします。
-
[Connection] (接続)タブで、必要な情報を入力し、Talend Data CatalogをIDプロバイダーにリンクさせます。
フィールド アクション [Identity Provider] (IDプロバイダー) IDプロバイダーのURLを入力します。 [X509 Certificate] (X509証明書) IDプロバイダーのパブリックX509証明書を入力すると、Talend Data Catalogは署名を検証し、交換されるメッセージで信頼を確立できます。 [Binding Type] (バインドのタイプ) バインド方法を選択します。- [HTTP-Redirect]: Talend Data Catalogは、HTTPリダイレクトバインドを使ってSAML認証リクエストをIDプロバイダーのSSOサービスに送信します。注: Talend Data CatalogはIDプロバイダーのプライベートキーを持たないため、Talend Data Catalogが送信するSAML認証リクエストは署名も暗号化もされません。リクエストには通常プライベートデータがあまり含まれていないため、SAMLリクエストを暗号化する必要はほとんどありません。
- [HTTP-POST]: IDプロバイダーは、HTTP-POSTバインドを使ってSAMLレスポンスをTalend Data Catalogアサーションコンシューマーサービスに返します。注: Talend Data CatalogはIDプロバイダーのプライベートキーを持たないため、Talend Data Catalogが受信するSAMLアサーションは署名できますが、暗号化はできません。
Talend Data Catalogが署名の検証に必要とするのは、IDプロバイダーのパブリックキーのみです。アサーションのコンテンツが転送中に変更されていないことをTalend Data Catalogが確認できるよう、アサーションには署名が必要です。
[Single Sign On URL] (シングルサインオンURL) シングルサインオンURLを入力します。
[Signature Element] (署名エレメント) ドロップダウンリストから値の1つを選択して、SAML認証レスポンスメッセージとSAMLアサーションがIDプロバイダーによって電子署名されるかどうかを指定します。
エレメントが署名済みとして設定されているにもかかわらず、SAMLレスポンス内のエレメントがIDプロバイダーによって署名されていない場合は、Talend Data Catalogはログイン時にエラーメッセージを返します。
エレメントが未署名として設定されていると、IDプロバイダーによって署名されていることがあるにもかかわらず、Talend Data Catalogはエレメント内の署名を検証しません。
- [HTTP-Redirect]: Talend Data Catalogは、HTTPリダイレクトバインドを使ってSAML認証リクエストをIDプロバイダーのSSOサービスに送信します。
- [Attribute Mappings] (属性のマッピング)タブで、[Login] (ログイン)、[Full Name] (フルネーム)、[Email] (メール)、[Groups] (グループ)などの属性を外部ユーザーアカウントからTalend Data Catalogユーザー属性にマッピングします。
-
[Group Mappings] (グループのマッピング)タブで、外部ユーザーアカウントからのグループ属性をTalend Data Catalogグループ名にマッピングします。
グループの自動割り当てを有効にする場合は、[Attribute Mapping] (属性のマッピング)タブの[Groups] (グループ)属性に、ユーザーアカウント情報の対応するフィールド名を入力します。Talend Data Catalogはこのフィールドの値をセキュリティグループ割り当てとして使います。
ユーザーアカウント情報は、SAMLサーバーがログインリクエストに基づいてアクセストークンを検証した後に、このSAMLサーバーからTalend Data Catalogへと返されます。
グループのマッピングを設定する際は、ワイルドカード("%")を使うことができます。%は0文字以上の文字に対応します。グループ割り当て用のSAML属性を入力すると、手動管理のネイティブなグループ割り当てから、SAMLによる自動グループ割り当てへとすべてのSAMLユーザーで切り替わります。SAMLユーザーは、次回のログイン時に以前のネイティブグループ割り当てを失います。グループ割り当て用の最後のSAML属性を削除すると、SAMLによるグループ割り当てからネイティブなグループ割り当てへと切り替わります。SAMLユーザーは他のグループに手動で割り当てられるまで、Guestグループに関連付けられます。
- 変更を保存します。