SSO:Okta

QuollioとOktaとの連携方法について知りたい。

SAML認証を利用する場合の手順は次の通りです。

手順概要

  1. Okta の操作
  2. Quollio Data Catalog の操作
  3. ログインテスト

[1]Okta の操作

  1.  管理画面のDirectoryメニューにある[Groups]に移動し、Quollio Data Catalogにログインするユーザーグループを作成します。便宜上、ここでは以下の3種類のグループを作成し、各々のグループに該当のユーザーを配置します。
    Quollio_Admin
    Quollio_Editor
    Quollio_Viewer
    ※3つのグループを作成するのは、ログインしたユーザーが属するグループに応じてQuollio Data Catalog上のユーザーの権限を分けるためです。
    ※ログインのみ利用する場合は、Quollio用のグループを1つ作成します。
    ※ログインのみ利用した場合、デフォルトで閲覧者の権限が割り当てられます。権限を変更したい場合は、[3]まで実施した後に、管理者がQuollio Data Catalog上のユーザー管理画面にて、該当のユーザーの権限を変更します。
  2. 管理画面のApplicationsメニューにある[Applications]に移動し、[Create App Integration]をクリックします。
  3. [SAML 2.0]にチェックを入れ、[Next]をクリックします。
  4. [App name]に任意のアプリケーション名を入れます。
  5. SAML Settingsの画面で、下記項目を入力します。
    1. Single sign-on URL
      (authorized_domain)/saml2/idpresponse
      ※(authorized_domain)について:Quollio Data Catalogにログインし、設定画面に移動してから、組織管理のメニューにある[SSO設定]をクリックします。SSO設定詳細に記載された、[authorized_domain]のリンクをコピーしてください。
    2. Audience URI (SP Entity ID) 
      (entity_id)
       ※(entity_id)について:Quollio Data Catalogにログインし、設定画面に移動してから、組織管理のメニューにある[SSO設定]をクリックします。SSO設定詳細に記載された、[entity_id]のリンクをコピーしてください。
    3. Attribute Statements (optional)
      次の3つを追加します。
      1. Name:email
        Name format:Unspecified
        Value:user.email
      2. Name:firstname
        Name format:Unspecified
        Value:user.firstName
      3. Name:lastname
        Name format:Unspecified
        Value:user.lastName
    4. (※こちらは任意設定です。)Group Attribute Statements (optional)
      Name:groups
      Name format:Unspecified
      Filter:Starts with, Quollio
      ※グループごとに権限の割り当てを行わない場合(ログインのみ利用する場合)は不要です。
  6. [Next]をクリックします。
  7. [I'm an Okta customer adding an internal app]にチェックを入れ、[Finish]をクリックします。
  8. [Metadata URL]をコピーして控えておきます。
  9. 作成したApplicationのAssignmentsタブを開きます。
  10. [Assign]をクリックし、ドロップダウンのリストから[Assign to Groups]を選択します。
  11. 1.で作成したグループを選択し、[Done]をクリックします。

[2]Quollio Data Catalog の操作

  1. 設定画面に移動します。
  2. 設定メニューの[組織管理]、[SSO設定]を選択します。
  3. [新規追加する]をクリックします。
  4. 各項目を設定します。
    1. プロバイダー名
      任意の名称を記載します
    2. 認証プロトコル
      [SAML]を選択
      メタデータURL:([1]8.で控えておいたURL)
    3. 属性マッピング
      email:email
      family_name:lastname
      given_name:firstname
      groups:groups
      ※Okta側で設定したAttribute StatementsのNameを入れてください。
      ※groupsは次のロールマッピングを利用する場合に記入してください。
    4. ロールマッピング
      例)
      管理者, Quollio_Admin
      編集者, Quollio_Editor
  5. [新規作成]をクリックします。

[3]ログインテスト

  1. Quollioのログイン画面にアクセスし、workspace IDを入力後、画面に表示されたプロバイダー名([2]4. a.の値)をクリックします。

※groupsの属性を利用しない場合、管理者はユーザー管理の画面にて、閲覧者の権限を別の権限に変更することができます。