Talend Administration Centerとアイデンティティプロバイダーのリンク - 7.2

Windows版Talend ESBインストールガイド

EnrichVersion
7.2
EnrichProdName
Talend ESB
task
インストールとアップグレード
EnrichPlatform
Talend Administration Center
Talend Artifact Repository
Talend CommandLine
Talend Data Preparation
Talend Data Stewardship
Talend ESB
Talend Identity and Access Management
Talend Installer
Talend Log Server
Talend Runtime
Talend Studio

手順

  1. Talend Administration Centerにログインします。
  2. SSOがまだ有効化されていない場合は、[Use SSO Login] (SSOログインの使用)フィールドで、trueを選択します。
  3. [IDP metadata](IDPメタデータ)フィールドで[Launch Upload](アップロードを起動)をクリックし、アイデンティティプロバイダー(IdP)システムから以前にダウンロードしたアイデンティティプロバイダーメタデータファイルをアップロードします。
  4. [Service Provider Entity ID](サービスプロバイダーエンティティID)フィールドに、サービスプロバイダーのエンティティID(IdPの設定で利用可能)を入力します。
    たとえば、OktaとADFSではhttp://<host>:<port>/org.talend.administrator/ssologin、PingFederateでは<Connection ID>になります。
  5. [IDP Authentication Plugin](IDP認証プラグイン)フィールドで[Launch Upload](アップロードを起動)をクリックし、アイデンティティプロバイダーシステムから以前にダウンロードしたアイデンティティプロバイダーメタデータファイルをアップロードします。

    Talendによって提供されるjarファイルは、<TomcatPath>/webapps/org.talend.administrator/idp/pluginsディレクトリーにあります。

    必要に応じて、認証コードを書き直すことも可能です。

    [Identity Provider System](アイデンティティプロバイダーシステム)フィールドは、使用するアイデンティティプロバイダーシステムに応じて自動的に変更されます。

  6. [Identity Provider Configuration](アイデンティティプロバイダーシステム設定)をクリックし、必要な情報を入力します。
    PingFederate
    • [PingFederate SSO URL:] (PingFederate SSOのURL:) https://win-350n8gtg2af:9031/idp/ startSSO.ping?PartnerSpld=TAC701
    • [Basic Adapter Instance ID:](基本アダプターインスタンスID:) BasicAdapter
    Okta
    • Okta Organization URL:(Okta組織URL:) https://dev-515956.oktapreview.com
    • Okta Embedded Url:(Okta組み込みUrl:) https://dev-515956.oktapreview.com/home/ talenddev515956_talendadministrationcenter_1/0oacvlcac5j52hFhP0h7/ alncvlmpk1VXbYAGu0h7

    AD FS 2

    • [Adfs SSO Url:] (Adfs SSOのURL:) https://<host>/adfs/ls
    • [Adfs Basic Auth Path:] (Adfs基本認証パス:) auth/basic
    • [Adfs SP Entity Id:] (Adfs SPのエンティティID:) https://<host>:<port>/org.talend.administrator/ssologin
    AD FS 3
    • [Adfs 3 SP Entity Id:] (Adfs 3 SPのエンティティID:) https://<host>:<port>/org.talend.administrator/ssologin
    • [Adfs 2 SSO Url:] (Adfs SSO 2のURL:) https://<host>/adfs/ls
  7. [Use Role Mapping] (ユーザーロールのマッピング)フィールドをtrueに設定し、アプリケーションプロジェクトの種類とユーザーの役割をアイデンティティプロバイダーシステムで定義されたものにマップします。
    一度アイデンティティプロバイダー側でプロジェクトの種類/ロールを定義すると、Talend Administration Centerからそれらを編集することはできなくなります。
  8. [Mapping Configuration](マッピング設定)をクリックし、アイデンティティプロバイダーシステムで以前に設定した対応するSAML属性を、ロール/プロジェクトの種類フィールドに入力します。
    プロジェクトタイプの例:
    • MDM = MDM
    • DI = DI
    • DM = DM
    • NPA = NPA

    ロールの例:

    • Talend Administration Centerロール
      • Administrator = tac_admin
      • Operation Manager = tac_om

      Talend Administration Centerロールの設定は必須です。

    • Talend Data Preparationロール
      • Administrator = dp_admin
      • Data Preparator = dp_dp
    • Talend Data Stewardshipロール
      • Data Steward = tds_ds

    アイデンティティプロバイダーで設定されたプロジェクトの種類と役割は、Talend Administration Centerの設定を上書きします。

    アイデンティティプロバイダーで設定されたプロジェクトの種類とロールは、ユーザーログイン時にTalend Administration Centerで設定されたロールを上書きします。

    組織がSAMLトークンのカスタム属性を使用しない場合は、次のいずれかになります。

    1. ウィザードと[Path to Value] (値へのパス)で、[Show Advanced Configuration] (高度な設定の表示)を選択し、SAML値をターゲットにするXPath式を入力し、対応するTalend Administration Centerオブジェクト([Project Types] (プロジェクトの種類)[Roles] (ロール)[Email] (電子メール)[First Name] (名)[Last Name](姓))にマッピングします。

      例: /saml2p:Response/saml2:Assertion/saml2:AttributeStatement/saml2:Attribute[@Name='tac.projectType']/saml2:AttributeValue/text()

    2. [Use Role Mapping] (ユーザーロールのマッピング)falseに設定します。

      この場合、手動でユーザーを作成できませんが、ユーザーの種類とロールはTalend Administration Centerで編集できます。

      ユーザーが初回にログインする場合、ユーザーの種類は[No Project access](プロジェクトへのアクセス権なし)になります。

    デフォルトのログインタイムアウトは120秒に設定されており、必要なタイムアウトsso.config.clientLoginTimeoutパラメータを希望のタイムアウトで<ApplicationPath>/WEB-INF/classes/configuration.propertiesファイルに追加することで変更できます。

タスクの結果

アイデンティティプロバイダーを使用してTalend Administration Centerにログインすることができます。