Skip to main content

Alteryx ServerでMicrosoft Entra ID用にSAML 2.0を設定する

Alteryx Serverは、SAML 2.0標準に準拠し、Alteryx Serverへのシングルサインオンを可能にするIDプロバイダー(IdP)接続の大部分をサポートしています。この記事では、Microsoft Entra IDAlteryx Serverの両方の設定とセットアップについて説明します。

必要条件

  • Alteryx Server (バージョン2022.3以降)

  • Alteryxシステム設定を設定する権限を持つAlteryx Serverアクセス

  • Server URL (HTTPS)のSSLが有効

  • Microsoft Entra IDポータル

    • Microsoft Entra ID内でエンタープライズアプリケーションを作成および編集できるアクセス権限(通常は管理者)

Microsoft Entra IDの設定

  1. Microsoft Entra IDポータルに移動し、[Microsoft Entra ID] > [エンタープライズアプリケーション]を選択します。[アプリの登録] を選択し、[独自のアプリケーションの作成] を選択します。

  2. [独自のアプリケーションの作成] で、アプリケーションの名前を選択します(AlteryxServerをお勧めします)。[ギャラリーに見つからないその他のアプリケーションを統合します(ギャラリー以外)] を選択し、[作成] を選択します。

  3. SAML設定に使用する新しいアプリケーションのページが開きます。[はじめに] で、[Set up single sign on] を選択し、[SAML] を選択します。SAML情報の設定ページが表示されます。必須フィールドとその設定方法を以下に示します。

SAML基本設定

  1. [編集] を選択します。

  2. SAML設定に必要な情報を取得するには、Alteryxの [システム設定] > [Server UI] > [一般] > [URL の設定] に移動します。

    • 識別子 (エンティティID): 識別子(エンティティID)のURLは、[システム設定] の [URL の設定] の下の、[Web API アドレス] フィールドで取得します。WebAPI URLを挿入し、末尾に/Saml2を追加: [WEBAPIURL]/Saml2。「Alteryxシステム設定構成の手順1」を参照してください。

    • 応答URL (Assertion Consumer Service URL): 応答URLのURLは、[システム設定] の [URL の設定] の下の [ Web API アドレス] フィールドで取得します。WebAPI URLを挿入し、末尾に/Saml2/acsを付加: [WEBAPIURL]/Saml2/acs。「Alteryxシステム設定構成の手順1」を参照してください。

  3. [Basic SAML Configuration] ボックスを閉じます。

注記

これらのフィールドはHTTPS URLのみを受け入れます。

属性とクレーム

属性とクレームを更新するには、[編集] を選択します。

  1. 必要な要求: 編集するクレームを選択します。必要な要求は既定で存在します。

    • Unique User Identifier(Name ID) = Email address

      • Name identifier format = Email address

      • Source = Attribute

      • Source attribute = user.userprincipalname

        注記

        user.userprincipalnameを使用することをお勧めしますが、組織に最適な独自の属性を選択することもできます。

  2. 追加の要求: 追加のクレームを追加するには、[+ Add new claim] を選択します。

    • Eメールアドレス

      • Name = emailaddress

        注記

        その他にサポートしているクレームは、email、user.email、mail、emailaddress、http://schedmas.xmlsoap.org//ws/2005/05/identityclaims/emailaddressです。

      • Namespace= http://schemas.xmlsoap.org/ws/2005/05/identity/claims

      • Source= Attribute

      • Source attribute= user.mail

    • First Name

      • Name = givenname

        注記

        その他にサポートしているクレームは、firstName、User.Firstname、givenName、http://schedmas.xmlsoap.org//ws/2005/05/identityclaims/givennameです。

      • Namespace= http://schemas.xmlsoap.org/ws/2005/05/identity/claims

      • Source= Attribute

      • Source attribute= user.givenname

    • Last Name

      • Name = surname

        注記

        その他にサポートしているクレームには、lastName、last_name、User.LastName、surName、sn、http://schedmas.xmlsoap.org//ws/2005/05/identityclaims/surnameがあります。

      • Namespace= http://schemas.xmlsoap.org/ws/2005/05/identity/claims

      • Source= Attribute

      • Source attribute= user.surname

    注記

    すべての追加のクレームに対してのみ自動入力される名前空間を削除し、firstNameとlastNameがキャメルケースになっていることを確認します。

SAML証明書

  • この部分は事前に入力されているため、変更は必要ありません。

  • App Federation Metadata URL: [Alteryxシステム設定] で [IDP Metadata URL] を設定するために、このURLが必要です。

注記

ここでX509証明書を手動でダウンロードできます。

AlteryxServer (アプリケーション名) のセットアップ

  • この部分は事前に入力されているため、変更は必要ありません。

  • Microsoft Entra Identifier: [Alteryxシステム設定]で [IDP URL] を設定するには、このURLが必要です。

  • ログインURL: [IDPに必要なメタデータを取得するためのオプションを選択します] で、[X509証明書とIDP SSO URL] を選択した場合、[Alteryxシステム設定] で [IDP SSO URL] を設定するには、このURLが必要になります。

Alteryxシステム設定の設定手順

  1. Alteryxの[システム設定]で、[Server UI] > [General] (一般)に移動します。ここの[Web API Address]は、Microsoft Entra IDのSSOページの[Basic SAML Configuration]セクションに入力するものです。[Enable Server UI SSL/TLS] (Server UIのSSL/TLSを有効化) を選択して、SSLが有効であることを確認します。Serverに証明書がインストールされている必要があります。詳細については、「SSL用Alteryx Serverの設定: 証明書の取得とインストール」を参照してください。

    SystemSettings_ServerUI_General4.png

  2. Alteryxの [システム設定] > [Server UI] > [Authentication] (認証) に移動します。[Authentication Type] (認証タイプ) として、[SAML authentication] (SAML認証) を選択します。

  3. ServerでSAMLを設定するには、2つのオプションがあります。[Select an option for obtaining metadata required by the IDP] (IDPに必要なメタデータを取得するためのオプションを選択) で、[IDP Metadata URL] または [X509 certificate and IDP SSO URL] を選択します。

    • [IDP Metadata URL] を選択した場合は、次の3つのURLを入力します。

      • ACS Base URL: このフィールドは、自動的に入力され、HTTPSで設定されます。

      • IDP URL: これは、Microsoft Entra IDのSSOページの[Microsoft Entra Identifier URL]です。

      • IDP Metadata URL: これは、Microsoft Entra IDのSSOページの[App Federation Metadata URL]です。

      SystemSettings_ServerUI_Authentication4.png

    • [X509 certificate and IDP SSO URL] を選択した場合は、以下の情報を入力します。

      • ACS Base URL: このフィールドは、自動的に入力され、HTTPSで設定されます。

      • IDP URL: これは、Microsoft Entra IDのSSOページの[Microsoft Entra Identifier URL]です。

      • IDP SSO URL: これは、Microsoft Entra IDのSSOページの[ログインURL]です。

      • X509 certificate: X509証明書を取得するには、Microsoft Entra IDのSSOページの[SAML証明書]セクションに移動します。

        • [Federation Metadata XML] の [ダウンロード] を選択します。

        • ダウンロードしたXMLファイルを開きます。

        • XMLファイルで「X509Certificate」を検索します。

        • X509証明書全体をコピーします。X509証明書は、XMLファイルの<X509certificate>と</X509certificate>の間のテキストです (XMLタグを除く)。

        • 証明書を [Alteryxシステム設定] の [X509 certificate] フィールドに貼り付けます。

      SystemSettings_ServerUI_Authentication5.png

  4. これらのURLを入力したら、[Verify IDP] を選択して接続をテストします。

    注記

    Microsoft Entra IDポータルから接続をテストすることもできます。これを行うには、[SAMLベースのサインオン]ページの下にある[Test single sign-on]セクションで、[テスト]を選択し、[Test sign in]を選択します。Microsoft Entra IDポータルから接続をテストするには、Serverが実行されている必要があります。

  5. Microsoft資格情報を入力してサインインします。サインインに成功すると、[システム設定] に成功メッセージが表示されます。IDPを正しく検証するには、使用するMicrosoft資格情報が、作成したギャラリー以外のアプリケーションにアクセスできる必要があります。

  6. 構成を保存するには、[Next] を選択し、残りの設定を行います。

  7. すべてが保存されたら、ブラウザでServer UIに移動し、[ログイン]を選択します。Microsoft Entra IDのサインインページが表示されます。

    MS_singin_page.png
このセクションの内容: