Microsoft Entra ID でシングル サインオン用に Qlik Sense Enterprise Client-Managed を構成する

この記事では、Qlik Sense Enterprise Client-Managed と Microsoft Entra ID を統合する方法について説明します。 Qlik Sense Enterprise Client-Managed と Microsoft Entra ID を統合すると、次のことが可能になります。

• Qlik Sense Enterprise にアクセスできるユーザーを Microsoft Entra ID で制御する。
• ユーザーが自分の Microsoft Entra アカウントを使用して Qlik Sense Enterprise に自動的にサインインできるようにする。
• アカウントを一元的に管理する。

Qlik Sense Enterpriseには 2 つのバージョンがあります。 この記事では、クライアントで管理されるリリースとの統合について説明しますが、Qlik Sense Enterprise SaaS (Qlik Cloud バージョン) には別のプロセスが必要です。

前提条件

開始するには、次が必要です。

• Microsoft Entra サブスクリプション。 サブスクリプションがない場合は、無料アカウントを取得できます。
• Qlik Sense Enterprise でのシングル サインオン (SSO) が有効なサブスクリプション。
• クラウド アプリケーション管理者に加え、アプリケーション管理者も、Microsoft Entra ID でアプリケーションを追加または管理することができる。 詳細については、Azure の組み込みロールに関するページを参照してください。

シナリオの説明

この記事では、テスト環境で Microsoft Entra SSO を構成してテストします。

• Qlik Sense Enterprise では、SP によって開始される SSO がサポートされます。
• Qlik Sense Enterprise では、ジャストインタイム プロビジョニングがサポートされます。

ギャラリーからの Qlik Sense Enterprise の追加

Microsoft Entra ID への Qlik Sense Enterprise の統合を構成するには、ギャラリーから管理対象 SaaS アプリの一覧に Qlik Sense Enterprise を追加する必要があります。

1. クラウド アプリケーション管理者以上として Microsoft Entra 管理センターにサインインします。
2. Entra ID>のEnterprise apps>に移動し、新しいアプリケーションを選択します。
3. [ギャラリーから追加する] セクションで、検索ボックスに「Qlik Sense Enterprise」と入力します。
4. 結果のパネルから [Qlik Sense Enterprise] を選択し、アプリを追加します。 お使いのテナントにアプリが追加されるのを数秒待機します。

または、Enterprise App Configuration ウィザードを使用することもできます。 このウィザードでは、テナントへのアプリケーションの追加、アプリへのユーザーとグループの追加、ロールの割り当てができるほか、SSO の構成も行うことができます。 Microsoft 365 ウィザードの詳細をご覧ください。

Qlik Sense Enterprise に対する Microsoft Entra SSO を構成してテストする

Britta Simon というテスト ユーザーを使用して、Qlik Sense Enterprise に対する Microsoft Entra SSO を構成してテストします。 SSO が機能するには、Microsoft Entra ユーザーと Qlik Sense Enterprise の関連ユーザーとの間にリンク関係を確立する必要があります。

Qlik Sense Enterprise に対する Microsoft Entra SSO を構成してテストするには、次の手順を実行します。

1. Microsoft Entra SSO を構成する - ユーザーがこの機能を使用できるようにします。
   1. Microsoft Entra テスト ユーザーの作成 - Britta Simon で Microsoft Entra のシングル サインオンをテストします。
   2. Microsoft Entra テスト ユーザーを割り当てる - Britta Simon が Microsoft Entra シングル サインオンを使用できるようにします。
2. Microsoft EntraQlik Sense Enterprise SSO の構成 - アプリケーション側でシングル サインオン設定を構成します。
   1. Qlik Sense Enterprise のテスト ユーザーの作成 - Qlik Sense Enterprise で Britta Simon に対応するユーザーを作成し、そのユーザーを Microsoft Entra でのユーザー表現にリンクします。
3. SSO のテスト - 構成が機能するかどうかを確認します。

Microsoft Entra SSO を構成する

Microsoft Entra SSO を有効にするには、次のステップに従います。

1. クラウド アプリケーション管理者以上として Microsoft Entra 管理センターにサインインします。

2. Entra ID>Enterprise apps>Qlik Sense Enterprise アプリケーション統合ページに移動し、[管理] セクションを見つけて、[シングル サインオン] を選択します。

3. [シングル サインオン方式の選択] ページで、 [SAML] を選択します。

4. [SAML によるシングル サインオンのセットアップ] ページで、 [基本的な SAML 構成] の鉛筆アイコンを選択して設定を編集します。

   

5. [基本的な SAML 構成] セクションで、次の手順を実行します。

   a. [識別子] ボックスに、次のいずれかのパターンで URL を入力します。

   識別子
   https://<Fully Qualified Domain Name>.qlikpoc.com
   https://<Fully Qualified Domain Name>.qliksense.com

   b。 [応答 URL] ボックスに、 のパターンを使用して URL を入力します。

   https://<Fully Qualified Domain Name>:443{/virtualproxyprefix}/samlauthn/

   c. [サインオン URL] ボックスに、https://<Fully Qualified Domain Name>:443{/virtualproxyprefix}/hub のパターンを使用して URL を入力します。

   Note

   これらの値は実際の値ではありません。 これらの値は、この記事で後述する実際の識別子、応答 URL、サインオン URL で更新するか、 Qlik Sense Enterprise クライアント サポート チーム に連絡してこれらの値を取得してください。 URL の既定のポートは 443 ですが、組織のニーズに合わせてカスタマイズできます。

6. [SAML でシングル サインオンをセットアップします] ページの [SAML 署名証明書] セクションで、要件のとおりに指定したオプションからフェデレーション メタデータ XML をダウンロードして、お使いのコンピューターに保存します。

   

Microsoft Entra テスト ユーザーの作成と割り当て

ユーザー アカウントの作成と割り当ての クイックスタートのガイドラインに従って、B.Simon というテスト ユーザー アカウントを作成します。

Qlik Sense Enterprise SSO の構成

1. Qlik Sense Qlik Management Console (QMC) に、仮想プロキシ構成を作成できるユーザーとして移動します。

2. QMC で、[ 仮想プロキシ ] メニュー項目を選択します。

   

3. 画面の下部にある [新規作成] ボタンを選択します。

   

4. [Virtual Proxies (仮想プロキシ)] 編集画面が表示されます。 画面の右側のメニューで、構成オプションを表示できます。

   

5. [Identification (識別)] メニュー オプションを選択し、Azure 仮想プロキシ構成の識別情報を入力します。

   

   a. [Description] フィールドは、仮想プロキシ構成のフレンドリ名です。 値として説明を入力します。

   b。 [Prefix] フィールドでは、Microsoft Entra シングル サインオンで Qlik Sense に接続するための仮想プロキシ エンドポイントを指定します。 この仮想プロキシに一意のプレフィックス名を入力します。

   c. [セッション非アクティブ タイムアウト (分)] は、この仮想プロキシを経由する接続のタイムアウトです。

   d. [Session cookie header name] は、認証が成功した後にユーザーが受け取る Qlik Sense セッション用のセッション識別子を格納する Cookie 名です。 この名前は一意である必要があります。

6. [認証] メニュー オプションを選択して表示します。 [Authentication (認証)] 画面が表示されます。

   

   a. [Anonymous access mode](匿名アクセス モード) ドロップダウン リストでは、匿名ユーザーによる仮想プロキシを介した Qlik Sense へのアクセスを許可するかどうかを設定します。 既定のオプションは、 [No anonymous user (匿名ユーザーを許可しない)] です。

   b。 [認証方法] ドロップダウン リストでは、仮想プロキシで使用する認証スキームを設定します。 ドロップダウン リストから [SAML] を選択します。 その結果、さらにオプションが表示されます。

   c. [SAML host URI] フィールドに、ユーザーがこの SAML 仮想プロキシを介して Qlik Sense にアクセスする際に入力するホスト名を入力します。 ホスト名は、Qlik Sense サーバーの URI です。

   d. [SAML entity ID] に、[SAML host URI] フィールドに入力したのと同じ値を入力します。

   e. [SAML IdP メタデータ] に、Microsoft Entra 構成からのフェデレーション メタデータの編集に関するセクションで編集したファイルを指定します。 IdP メタデータをアップロードする前に、このファイルを編集する必要があります。Microsoft Entra ID と Qlik Sense サーバーの間で処理が正しく行われるように、ファイルの情報を削除してください。 まだファイルを編集していない場合は、上記の手順に従ってください。 ファイルが編集されている場合は、[参照] ボタンを選択し、編集したメタデータ ファイルを選択して仮想プロキシ構成にアップロードします。

   f. これらは Microsoft Entra ID が Qlik Sense サーバーに送信する UserID を表します。 スキーマ リファレンス情報は、構成が終了した後に Azure アプリの画面から取得できます。 名前属性を使用するには、「http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name」と入力します。

   g. Microsoft Entra ID を使用して Qlik Sense サーバーに対して認証を行うときにユーザーにアタッチされるユーザー ディレクトリ の値を入力します。 ハードコーディングされた値は角かっこ [] で囲む必要があります。 Microsoft Entra SAML アサーション内で送信される属性を使用するには、属性の名前をこのボックスに角かっこなしで入力します。

   h. [SAML signing algorithm] で、仮想プロキシ構成用のサービス プロバイダー (この場合は Qlik Sense サーバー) 証明書の署名を設定します。 Microsoft Enhanced RSA and AES Cryptographic Provider を使用して生成された、信頼された証明書を Qlik Sense サーバーで使用する場合は、SAML 署名アルゴリズムを [SHA-256] に変更します。

   一. [SAML attribute mapping (SAML 属性マッピング)] セクションでは、セキュリティ規則での使用を目的とした、Qlik Sense への他の属性 (グループなど) の送信を許可します。

7. [負荷分散] メニュー オプション を 選択して表示します。 [Load balancing (負荷分散)] 画面が表示されます。

   

8. [ 新しいサーバー ノードの追加 ] ボタンを選択し、負荷分散のために Qlik Sense がセッションを送信するエンジン ノードまたはノードを選択し、[ 追加 ] ボタンを選択します。

   

9. [詳細設定] メニュー オプションを選択して表示します。 [Advanced (詳細設定)] 画面が表示されます。

   

   ホストの許可リストでは、Qlik Sense サーバーへの接続時に受け入れられるホスト名を指定します。 ユーザーが Qlik Sense サーバーへ接続する際に指定するホスト名を入力します。 ホスト名は、[SAML host URI (SAML ホスト URI)] の値から https:// を除いたものです。

10. [適用] ボタンを選択します。

    

11. [OK] を選択して、仮想プロキシにリンクされているプロキシが再起動されたことを示す警告メッセージを受け入れます。

    

12. 画面の右側に、[Associated items (関連項目)] メニューが表示されます。 [プロキシ] メニュー オプション を 選択します。

    

13. [Proxies (プロキシ)] 画面が表示されます。 下部にある [リンク] ボタンをクリックして、仮想プロキシにプロキシをリンクさせます。

    

14. この仮想プロキシ接続をサポートするプロキシ ノードを選択し、[リンク] ボタンを選択します。 リンク後、関連付けられているプロキシの下にプロキシが一覧表示されます。

    

    

15. 約 5 ~ 10 秒後に、更新された QMC メッセージが表示されます。 [QMC の更新] ボタンをクリックします。

    

16. QMC が更新されたら、[ 仮想プロキシ ] メニュー項目を選択します。 新しい SAML 仮想プロキシのエントリが画面の表に表示されます。 仮想プロキシ エントリを 1 つ選択します。

    

17. 画面の下部にある [SP メタデータのダウンロード] ボタンがアクティブになります。 [SP メタデータのダウンロード] ボタンを選択して、メタデータをファイルに保存します。

    

18. SP メタデータ ファイルを開きます。 entityID エントリと AssertionConsumerService エントリを確認します。 これらの値は、Microsoft Entra アプリケーション構成の識別子、サインオン URL、応答 URL に対応しています。 一致しない場合は Microsoft Entra アプリケーションの構成の [Qlik Sense Enterprise のドメインと URL] セクションにこれらの値を貼り付けて、Microsoft Entra アプリケーションの構成ウィザードで置換する必要があります。

    

Qlik Sense Enterprise のテスト ユーザーの作成

Qlik Sense Enterprise はジャストインタイム プロビジョニングをサポートしているため、ユーザーは SSO 機能を使用すると、Qlik Sense Enterprise の "USERS" リポジトリに自動的に追加されます。 加えて、クライアントは QMC を使用して UDC (User Directory Connector) を作成することにより、任意の LDAP (Active Directory など) から Qlik Sense Enterprise にユーザーを事前設定することができます。

SSO のテスト

このセクションでは、次のオプションを使用して Microsoft Entra のシングル サインオン構成をテストします。

• [ このアプリケーションをテストする] を選択すると、このオプションは、サインイン フローを開始できる Qlik Sense Enterprise のサインオン URL にリダイレクトされます。

• Qlik Sense Enterprise のサインオン URL に直接移動し、そこからサインイン フローを開始します。

• Microsoft マイ アプリを使用することができます。 マイ アプリで [Qlik Sense Enterprise] タイルを選択すると、このオプションは Qlik Sense Enterprise のサインオン URL にリダイレクトされます。 マイ アプリの詳細については、マイ アプリの概要に関するページを参照してください。

関連コンテンツ

Qlik Sense Enterprise を構成したら、組織の機密データを流出と侵入からリアルタイムで保護するセッション制御を適用することができます。 セッション制御は、条件付きアクセスを拡張したものです。 Microsoft Defender for Cloud Apps でセッション制御を強制する方法をご覧ください。