Azure Active Directoryを使用してSCIM用にAlteryx Serverを設定する
このドキュメントでは、System for Cross-domain Identity Management (SCIM)を使用してAlteryx ServerとAzure Active Directory (AD)を統合する管理者向けの手順を説明します。このガイドを使用すると、ServerでSCIMを有効にする方法、Azure ADを設定してSCIMプロビジョニング用にServerと接続する方法、Azure ADでユーザーとグループをプロビジョニングする方法を身に付けることができます。この統合によって、ユーザーとグループの管理を合理化することができ、Alteryx ServerとAzure ADとの間で同期が確立された手間のかからない環境が手に入ります。
注記
この設定では、AzureがHTTPS(SSL/TLS)接続を介してAlteryx Serverと通信できることが必要となります。ネットワークチームとセキュリティチームに確認のうえ、ネットワーク、ファイアウォール、ルーティングがこの通信を許可するよう適切に設定された状態を確保してください。この通信をサポートするには、Alteryx ServerでTLSを有効にする必要があります。TLSの詳細については、Server SSL/TLSを設定を使用してください。
SCIMサポートを有効化する
SCIMでは、Alteryx ServerがSAMLシングルサインオンをサポートするよう設定されている必要があります。
新しい環境の場合は、Alteryx Server認証を設定するで説明されている手順に従ってSAMLを設定してください。
管理者(サーバー管理者)としてAlteryx Serverにサインインし、[管理者]>[設定]>[Configuration(設定)]>[SCIM] の順に移動します。
[編集] を選択します。
スイッチをオンにしてSCIMを有効化します。
必要に応じて [トークンの有効期間] を選択します。詳細については社内のセキュリティチームにお問い合わせください。
[保存] を選択します。
Azureで接続を設定するために必要となる ベースURI と トークン をメモします。
Azureを設定する
Azure Portalにサインインします。
Alteryx Server用にアプリケーションを作成していない場合は、[エンタープライズアプリケーション] を選択します。
[アプリの登録] を選択します。
[独自のアプリケーションの作成] を選択します。
右側のパネルで、たとえば「Alteryx Server」のようにアプリケーションの名前を入力します。
[ギャラリーに見つからないその他のアプリケーションを統合します(ギャラリー以外)] を選択します。
作成を選択します。
アプリの作成が完了したら、[シングルサインオン] を選択してSAML用に設定します。詳細については、Configuring SAML 2.0 on Alteryx Server for Azure AD (Alteryx ServerでAzure AD用にSAML 2.0を設定する)を使用してください。
Alteryx Server用のアプリケーション作成が完了したら、そのアプリケーションに移動します。
[プロビジョニング] を選択します。
プロビジョニングモード は [自動] を選択します。
テナントURL には、SCIMサポートを有効化するのセクションでメモしたベースURIを入力します(たとえば
https://host.domain.tld/webapi/scim/v2
など)。シークレットトークン には、SCIMサポートを有効化するのセクションでメモしたトークンを入力します。
[接続テスト] を選択して、AzureがAlteryx Serverに接続できることを確認します。
接続テストが失敗する場合:
注記
SAMLサインインはユーザーによる内部からパブリックへの通信を含むため、既定では動作する可能性がありますが、これは、Azureインスタンスが、SCIMが適切に機能するために必要なAlteryx Serverインスタンスへの直接のラインオブサイトを持っていることを意味するものではありません(これには、Azureのパブリッククラウドからプライベートネットワークへの正常な通信が必要です)。
「An error occurred while sending the request. (この要求の送信中にエラーが発生しました)」というエラーが表示された場合は、以下のオプションを確認して、これらのシステム間で適切な通信が行われるようにしてください。
正しいURLとトークンを入力していることを確認します。
ネットワークチームとセキュリティチームに、Alteryx ServerとAzureの間のネットワーク接続が許可されていることを確認します。
AzureからAlteryx Serverへの直接接続を許可できない場合は、この設定の代わりにAzureのプロビジョニングエージェントを使用できることがあります。詳細については、社内のAzure管理者にお問い合わせいただくか、SCIM対応アプリへのAzure ADオンプレミスアプリケーションのプロビジョニングを参照してください。
ユーザーとグループのプロビジョニング
Azure Portalにログインします。
Azureを設定する のセクションで、Alteryx Server用に作成したアプリケーションに移動します。
[ユーザーとグループ] を選択します。
[ユーザーまたはグループの追加] を選択します。
右側のパネルで、追加するユーザーとグループを検索し、選択します。
選択したユーザーとグループがパネルの下部に表示されます。
選択を確定するには、パネルの下部にある [選択] ボタンを押します。
すると画面が ユーザーとグループ ページに戻り、そのアプリケーションに関連付けられているユーザーとグループのリストが表示されます。
[プロビジョニング] を選択します。
[プロビジョニングの開始] を選択してプロビジョニングを有効化します。これにより、AzureがユーザーとグループをAlteryx Serverと同期する際に利用される、増分プロビジョニングサイクルが開始されます。この同期が完了すると、Azureのユーザーまたはグループへのすべての変更内容がServerに反映されます。Azureでの変更の同期には最大で40分かかります。
正常に同期されたことを確認する
Azureが確実にプロビジョニングサイクルを完了するよう、40分以上待ちます。
管理者(サーバー管理者)としてAlteryx Serverにサインインします。
管理者>ユーザー の順に進みます。
Azureでプロビジョニングされたユーザーとグループが、Serverで正常に作成または更新されていることを確認します。