QuollioとOktaとの連携方法について知りたい。
SAML認証を利用する場合の手順は次の通りです。
手順概要
- Okta の操作
- Quollio Data Catalog の操作
- ログインテスト
[1]Okta の操作
- 管理画面のDirectoryメニューにある[Groups]に移動し、Quollio Data Catalogにログインするユーザーグループを作成します。便宜上、ここでは以下の3種類のグループを作成し、各々のグループに該当のユーザーを配置します。
Quollio_Admin
Quollio_Editor
Quollio_Viewer
※3つのグループを作成するのは、ログインしたユーザーが属するグループに応じてQuollio Data Catalog上のユーザーの権限を分けるためです。
※ログインのみ利用する場合は、Quollio用のグループを1つ作成します。
※ログインのみ利用した場合、デフォルトで閲覧者の権限が割り当てられます。権限を変更したい場合は、[3]まで実施した後に、管理者がQuollio Data Catalog上のユーザー管理画面にて、該当のユーザーの権限を変更します。 - 管理画面のApplicationsメニューにある[Applications]に移動し、[Create App Integration]をクリックします。
- [SAML 2.0]にチェックを入れ、[Next]をクリックします。
- [App name]に任意のアプリケーション名を入れます。
- SAML Settingsの画面で、下記項目を入力します。
- Single sign-on URL
(authorized_domain)/saml2/idpresponse
※(authorized_domain)について:Quollio Data Catalogにログインし、設定画面に移動してから、組織管理のメニューにある[SSO設定]をクリックします。SSO設定詳細に記載された、[authorized_domain]のリンクをコピーしてください。 - Audience URI (SP Entity ID)
(entity_id)
※(entity_id)について:Quollio Data Catalogにログインし、設定画面に移動してから、組織管理のメニューにある[SSO設定]をクリックします。SSO設定詳細に記載された、[entity_id]のリンクをコピーしてください。 - Attribute Statements (optional)
次の3つを追加します。
- Name:email
Name format:Unspecified
Value:user.email - Name:firstname
Name format:Unspecified
Value:user.firstName - Name:lastname
Name format:Unspecified
Value:user.lastName
- Name:email
- (※こちらは任意設定です。)Group Attribute Statements (optional)
Name:groups
Name format:Unspecified
Filter:Starts with, Quollio
※グループごとに権限の割り当てを行わない場合(ログインのみ利用する場合)は不要です。
- Single sign-on URL
- [Next]をクリックします。
- [I'm an Okta customer adding an internal app]にチェックを入れ、[Finish]をクリックします。
- [Metadata URL]をコピーして控えておきます。
- 作成したApplicationのAssignmentsタブを開きます。
- [Assign]をクリックし、ドロップダウンのリストから[Assign to Groups]を選択します。
- 1.で作成したグループを選択し、[Done]をクリックします。
[2]Quollio Data Catalog の操作
- 設定画面に移動します。
- 設定メニューの[組織管理]、[SSO設定]を選択します。
- [新規追加する]をクリックします。
- 各項目を設定します。
- プロバイダー名
任意の名称を記載します - 認証プロトコル
[SAML]を選択
メタデータURL:([1]8.で控えておいたURL) - 属性マッピング
email:email
family_name:lastname
given_name:firstname
groups:groups
※Okta側で設定したAttribute StatementsのNameを入れてください。
※groupsは次のロールマッピングを利用する場合に記入してください。 - ロールマッピング
例)
管理者, Quollio_Admin
編集者, Quollio_Editor
- プロバイダー名
- [新規作成]をクリックします。
[3]ログインテスト
- Quollioのログイン画面にアクセスし、workspace IDを入力後、画面に表示されたプロバイダー名([2]4. a.の値)をクリックします。
※groupsの属性を利用しない場合、管理者はユーザー管理の画面にて、閲覧者の権限を別の権限に変更することができます。