Skip to main content

Azure Active Directory用のAlteryx ServerでSAML 2.0を設定する

Alteryx Serverは、SAML 2.0標準に準拠し、Alteryx Serverへのシングルサインオンを可能にするIDプロバイダー(IdP)接続の大部分をサポートしています。この記事では、 Azure Active Directory Alteryx Server の両方の構成とセットアップについて説明します。

必要条件

  • Alteryx Server (バージョン2022.3以降)

  • Alteryxシステム設定を設定する権限を持つAlteryx Serverアクセス

  • Server URL (HTTPS)のSSLが有効

  • Microsoft Azureポータル

    • Azure Active Directory内でエンタープライズアプリケーションを作成および編集できるアクセス権限 (通常は管理者)

Azure ADの設定

  1. Microsoft Azureポータルに移動し、[ Azure Active Directory ] > [ エンタープライズアプリケーション ] を選択します。[ アプリの登録 ] を選択し、[ 独自のアプリケーションの作成 ] を選択します。

  2. [ 独自のアプリケーションの作成 ] で、アプリケーションの名前を選択します(AlteryxServerをお勧めします)。[ ギャラリーに見つからないその他のアプリケーションを統合します(ギャラリー以外) ] を選択し、[ 作成 ] を選択します。

  3. SAML設定に使用する新しいアプリケーションのページが開きます。[ はじめに ] で、[ Set up single sign on ] を選択し、[ SAML ] を選択します。SAML情報の設定ページが表示されます。必須フィールドとその設定方法を以下に示します。

SAML基本設定

  1. [編集] を選択します。

  2. SAML設定に必要な情報を取得するには、Alteryxの [ システム設定 ] > [ Server UI ] > [ 一般 ] > [ URL の設定 ] に移動します。

    • 識別子 (エンティティID) : 識別子(エンティティID)のURLは、[システム設定] の [URL の設定] の下の、[ Web API アドレス ] フィールドで取得します。WebAPI URLを挿入し、末尾に/Saml2を追加: [WEBAPIURL]/Saml2 。「 Alteryxシステム設定構成の手順1 」を参照してください。

    • 応答URL (Assertion Consumer Service URL) : 応答URLのURLは、[システム設定] の [URL の設定] の下の [ Web API アドレス ] フィールドで取得します。WebAPI URLを挿入し、末尾に/Saml2/acsを付加: [WEBAPIURL]/Saml2/acs 。「 Alteryxシステム設定構成の手順1 」を参照してください。

  3. [ Basic SAML Configuration ] ボックスを閉じます。

注記

これらのフィールドはHTTPS URLのみを受け入れます。

属性とクレーム

属性とクレームを更新するには、[ 編集 ] を選択します。

  1. 必要な要求: 編集するクレームを選択します。必要な要求は既定で存在します。

    • Unique User Identifier(Name ID) = Email address

      • Name identifier format = Email address

      • Source = Attribute

      • Source attribute = user.userprincipalname

        注記

        user.userprincipalnameを使用することをお勧めしますが、組織に最適な独自の属性を選択することもできます。

  2. 追加の要求: 追加のクレームを追加するには、[ + Add new claim ] を選択します。

    • Eメールアドレス

      • Name = emailaddress

        注記

        その他にサポートしているクレームは、email、user.email、mail、emailaddress、http://schedmas.xmlsoap.org//ws/2005/05/identityclaims/emailaddressです。

      • Namespace= http://schemas.xmlsoap.org/ws/2005/05/identity/claims

      • Source= Attribute

      • Source attribute= user.mail

    • First Name

      • Name = givenname

        注記

        その他にサポートしているクレームは、firstName、User.Firstname、givenName、http://schedmas.xmlsoap.org//ws/2005/05/identityclaims/givennameです。

      • Namespace= http://schemas.xmlsoap.org/ws/2005/05/identity/claims

      • Source= Attribute

      • Source attribute= user.givenname

    • 氏名(姓)

      • Name = surname

        注記

        その他にサポートしているクレームには、lastName、last_name、User.LastName、surName、sn、http://schedmas.xmlsoap.org//ws/2005/05/identityclaims/surnameがあります。

      • Namespace= http://schemas.xmlsoap.org/ws/2005/05/identity/claims

      • Source= Attribute

      • Source attribute= user.surname

    注記

    すべての追加のクレームに対してのみ自動入力される名前空間を削除し、firstNameとlastNameがキャメルケースになっていることを確認します。

SAML証明書

  • この部分は事前に入力されているため、変更は必要ありません。

  • App Federation Metadata URL: [ Alteryxシステム設定 ] で [ IDP Metadata URL ] を設定するために、このURLが必要です。

注記

ここでX509証明書を手動でダウンロードできます。

AlteryxServer (アプリケーション名)のセットアップ

  • この部分は事前に入力されているため、変更は必要ありません。

  • Microsoft Entra Identifier: [ Alteryxシステム設定 ]で [ IDP URL ] を設定するには、このURLが必要です。

  • ログインURL: [IDPに必要なメタデータを取得するためのオプションを選択します] で、[X509証明書とIDP SSO URL] を選択した場合、[ Alteryxシステム設定 ] で [ IDP SSO URL ] を設定するには、このURLが必要になります。

Alteryxシステム設定の設定手順

  1. Alteryxの [ システム設定 ] で、[ Server UI ] > [ General ] (一般) に移動します。ここの [Web API Address] は、Microsoft AzureのSSOページの [Basic SAML Configuration] セクションに入力するものです。[ Enable Server UI SSL/TLS ] (Server UIのSSL/TLSを有効化) を選択して、SSLが有効であることを確認します。Serverに証明書がインストールされている必要があります。詳細については、「 SSL用Alteryx Serverの設定: 証明書の取得とインストール 」を参照してください。

    SystemSettings_ServerUI_General4.png
  2. Alteryxの [ システム設定 ] > [ Server UI ] > [ Authentication ] (認証) に移動します。[ Authentication Type ] (認証タイプ) として、[ SAML authentication ] (SAML認証) を選択します。

  3. ServerでSAMLを設定するには、2つのオプションがあります。[ Select an option for obtaining metadata required by the IDP ] (IDPに必要なメタデータを取得するためのオプションを選択) で、[ IDP Metadata URL ] または [ X509 certificate and IDP SSO URL ] を選択します。

    • [ IDP Metadata URL ] を選択した場合は、次の3つのURLを入力します。

      • ACS Base URL: このフィールドは、自動的に入力され、HTTPSで設定されます。

      • IDP URL: これは、Microsoft AzureのSSOページの [ Microsoft Entra Identifier URL ] です。

      • IDP Metadata URL: これは、Microsoft AzureのSSOページの [ App Federation Metadata URL ] です。

      SystemSettings_ServerUI_Authentication4.png
    • [ X509 certificate and IDP SSO URL ] を選択した場合は、以下の情報を入力します。

      • ACS Base URL: このフィールドは、自動的に入力され、HTTPSで設定されます。

      • IDP URL: これは、Microsoft AzureのSSOページの [ Microsoft Entra Identifier URL ] です。

      • IDP SSO URL: これは、Microsoft AzureのSSOページの [ ログインURL ] です。

      • X509 certificate: X509証明書を取得するには、Microsoft AzureのSSOページの [ SAML証明書 ] セクションに移動します。

        • [ Federation Metadata XML ] の [ ダウンロード ] を選択します。

        • ダウンロードしたXMLファイルを開きます。

        • XMLファイルで「X509Certificate」を検索します。

        • X509証明書全体をコピーします。X509証明書は、XMLファイルの<X509certicicate>と</X509certicicate>の間のテキストです(XMLタグを除く)。

        • 証明書を [Alteryxシステム設定] の [ X509 certificate ] フィールドに貼り付けます。

      SystemSettings_ServerUI_Authentication5.png
  4. これらのURLを入力したら、[ Verify IDP ] を選択して接続をテストします。

    注記

    Microsoft Azureポータルから接続をテストすることもできます。これを行うには、[ SAMLベースのサインオン ] ページの下にある [ Test single sign-on ] セクションで、[ テスト ] を選択し、[ Test sign in ] を選択します。Microsoft Azureポータルから接続をテストするには、Serverが実行されている必要があります。

  5. Microsoft資格情報を入力してサインインします。サインインに成功すると、[システム設定] に成功メッセージが表示されます。IDPを正しく検証するには、使用するMicrosoft資格情報が、作成したギャラリー以外のアプリケーションにアクセスできる必要があります。

  6. 構成を保存するには、[ Next ] を選択し、残りの設定を行います。

  7. すべてが保存されたら、ブラウザでServer UIに移動し、[ ログイン ] を選択します。Microsoft Azureのサインインページが表示されます。

    MS_singin_page.png