この機能を使用できるユーザー
Quollio Data Intelligence Cloud (以下 QDIC )と Microsoft Azure Entra ID (旧称 Azure Active Directory ) などとの Idp 連携は、QDIC にログイン後、設定 > 組織管理 > SSO設定 で設定します。また、SSO の確認項目としては上記の SSO設定以外に、QDIC の 設定 > 組織管理 > ユーザーグループ の設定内容が関係します。
各項目に対する確認事項をまとめました。連携がうまくいかない場合のご参考になれば幸いです。、Quollio が動作検証しているIdp連携は、
- Microsoft Azure Entra ID
- Okta
となります。
以下、Microsoft Azure Entra ID の場合で説明します。
1. 認証プロトコル
連携先サービスが提供しているメタデータの参照先が正しいことを確認します。
URL 利用している場合
メタデータURL が正しいことを確認します。
Azure portal の Entra ID > Enterprise applications > [ Quollio と連携するアプリケーション名] > 左メニューの Single sign-on に記載された、App Federation Metadata Url のリンクが、QDIC 上のメタデータURL と一致していることを確認してください。
※ Microsoft Entra ID 上の画面イメージ
図では、prd-quollio-sso という Enterprise Application を指定しています。
※ QDIC 上の設定例
メタデータファイルを利用している場合
メタデータファイルを改めてアップロードしてください。
Azure portal の Entra ID > Enterprise applications > [ Quollio と連携するアプリケーション名] > 左メニューの Single sign-on に記載された、Federation Metadata XML をダウンロードし、QDIC 上のメタデータファイルにアップロードします。
※アップロード後、再度この SSO設定の画面を表示すると、ファイル名が metadata_file.xml になっていますが、問題ありません。
※ Microsoft Entra ID 上の画面イメージ
2. 属性マッピング
Microsoft Entra ID 上の設定値と一致していることを確認します。
Azure portal の Entra ID > Enterprise applications > [ Quollio と連携するアプリケーション名] > 左メニューの Single sign-on から Attributes & Claims に表示された Edit ボタンをクリックします。
Microsoft Entra ID 上に表示された各種 Claim と QDIC 上の値が一致していることを確認してください。
※ Microsoft Entra ID の設定値の画面イメージ
※ QDIC 上の設定値の画面イメージ
Microsoft Entra ID について、Additional claims の Claim name に groups が存在しない場合は、[+ Add a group claim ] から追加してください。
上図で、 Advanced options を設定している理由は、Microsoft Entra ID 上にグループの数が多い場合、 QDIC にグループ属性を連携するとエラーが発生するためです。例えば、 QDIC 用のグループを作成し(上図の場合は、グループ名に Quollio を含むもののみグループ属性を連携するよう限定していることになります)、管理することを推奨します。
3. entity_id と redirect_url
QDIC 上に表示された、entity_id と redirect_url が Microsoft Entra ID 上に正しく設定されていることを確認します。
Azure portal の Entra ID > Enterprise applications > [ Quollio と連携するアプリケーション名] > 左メニューの Single sign-on から Basic SAML Configuration に表示された Identifier と Reply URL の内容と QDIC 上の値を比較してください。
また、Sign on URL に https://app.quollio.com が設定されていることもご確認ください。
※ Microsoft Entra ID の設定値の画面イメージ
※ QDIC の画面イメージ
4. ユーザーグループ
Microsoft Entra ID 上に存在するグループの Object ID が QDIC 上の グループ管理で設定されていることを確認します。
QDIC 上の設定は、設定 > 組織管理 > ユーザーグループ に移動し、
- すでに QDIC 上で グループタイプ:自動 で設定しており、ロールの設定を特定の( Microsoft Entra ID 上の)グループで設定しているユーザーグループ
を選択します(ユーザーグループを作成していない場合は、新規で作成してください)。
グループの管理 をクリックし、グループの設定画面に移動します。
※下図は、 azure-ad-demo のユーザーグループを選択したときのイメージ
プロバイダー名 の下にある 関連するグループ で、 選択されたグループ に Microsoft Entra ID のグループの Object ID が設定されていることを確認します。
※ QDIC 上のグループの管理
尚、Microsoft Entra ID のグループの Object ID を確認するには、 Entra ID > Enterprise applications > [ Quollio と連携するアプリケーション名] > 左メニューの Manage > Users and groups を選択し、該当のグループを指定します。
※グループが表示されない場合、 [+ Add user/group ] から必要なグループを追加してください。
※ Microsoft Entra ID 上の Object ID( QUOLLIO_EDITOR グループを選択した場合の例)
QDIC 上に Object ID が登録されていない場合、もしくは、値が異なっている場合は、正しい値を入力してください。
2024年12月2日公開