Alteryx ServerとOktaを連携してAlteryx Serverへのシングルサインオンを試してみた
2024.08.26こんにちは、スズです。
Alteryx Serverでは、以下の4つから認証タイプを選択することができます。
- Built-in
- Integrated Windows authentication
- Integrated Windows authentication with Kerberos
- SAML authentication
SAML認証の場合、SAMLをサポートしているアイデンティティープロバイダー(IdP)を設定して、シングルサインオン(SSO)に対応することも可能です。
Alteryx ServerとOktaを連携してSSOできる環境を作ってみましたので、本記事でご紹介します。
検証環境
本記事の執筆には、以下の検証環境を使用しています。
- Okta: Okta Developer を使用
- Alteryx Server 2024.1
- Window Server 2022
Oktaの設定
AlteryxのナレッジベースにあるOktaを使ったSAML認証について紹介する記事と、Alteryxのドキュメントを参考に設定を進めていきます。
Oktaにサインインし、「アプリケーション」 > 「アプリ統合を作成」をクリックします。
「新しいアプリ統合を作成」の画面が表示されますので、「SAML 2.0」を選択し、「次へ」をクリックします。
「SAML統合を作成」の画面が表示されます。一般設定では、アプリ名や表示するアイコンなどを設定し、「次へ」をクリックします。
SAMLを構成の画面では、Alteryx Serverの情報を設定していきます。今回は2024.1を使用していますので、シングルサインオンURLとオーディエンスURIに以下のURLを設定します。以下のURLの「host.domain.com」については、Alteryx ServerのGalleryにアクセスする際のURLの「/gallery」を除いたURLになります。
| 項目 | 設定内容 |
|---|---|
| シングルサインオンURL | http(s)://host.domain.com/webapi/Saml2/acs |
| オーディエンスURI | http(s)://host.domain.com/webapi/Saml2 |
属性ステートメントとして、以下の項目を設定します。
| 名前 | 値 |
|---|---|
| user.email | |
| firstName | user.firstName |
| lastNAme | user.lastName |
設定後、「次へ」をクリックします。
「終了」をクリックします。
続いて、作成したアプリにユーザーを割り当てていきます。ここで割り当てたユーザーは、SAML認証の設定後、Alteryx Serverを利用できるユーザーとなります。
「割り当て」タブの「割り当て」 > 「ユーザーに割り当てる」をクリックします。
割り当てるユーザーは、名前の右側にある「割り当て」ボタンをクリックして割り当てていきます。ユーザーを割り当てた後は、「終了」をクリックします。ここまででOkta側の設定は完了となります。
Alteryx Serverの設定
Alteryx Server側の設定を行っていきます。Alteryx ServerをインストールしたWindows Serverにログインし、Alteryxシステム設定を起動、「Gallery Authentication」まで進みます。
「Gallery Authentication」ではAuthentication Typeなどを設定していきます。今回はSAML認証でSSOできる環境を設定していくため、以下のとおり設定しています。
| 項目 | 設定内容 |
|---|---|
| Authentication Type | SAML authentication |
| select an option for obtaining metaata required by the IDP | X509 certificate and IDP SSO URL |
| ACS Base URL | http(s)://host.domain.com/webapi/ |
| IDP URL | OktaのIDプロバイダー発行者 |
| IDP SSO URL | OktaのIDプロバイダーのシングルサインオンURL |
| X509 certificate | OktaのX.509証明書 |
OktaのIDプロバイダー発行者、OktaのIDプロバイダーのシングルサインオンURL、OktaのX.509証明書については、Okta側にて確認します。Oktaにて、Alteryx Serverのアプリケーションから「サインオン」 > を開き、「SAMLの設定手順を表示」をクリックします。
「SAML 2.0の構成方法」というページが表示されます。こちらで、OktaのIDプロバイダー発行者、OktaのIDプロバイダーのシングルサインオンURL、OktaのX.509証明書を取得できます。
Alteryx Serverのシステム設定に必要な項目を設定したのち、「Verify IDP」をクリックします。Oktaのサインインの画面が表示されますので、Alteryx Galleryの管理者とするOktaのアカウントにてサインインします。サインインに成功しますと、「Default Gallery Administrator」にサインインしたアカウントのメールアドレスが表示されます。
Alteryxシステム設定の画面は最後の画面まで進み、「Done」をクリックして完了します。
Alteryx Galleryへのアクセス
OktaとAlteryx Serverの設定が完了しましたので、Alteryx Galleryにアクセスして動作を確認してみます。
Oktaにログインしていない状態でAlteryx Galleryにアクセスすると、以下の画面が表示されました。Alteryx Galleryにサインインするため、右上の「サインイン」ボタンをクリックします。
Oktaのアカウントを使ってサインインします。
サインインできました。今回初めてAlteryx Galleryにサインインしたため、タイムゾーンの設定画面が表示されています。タイムゾーンを設定して「Save」をクリックします。
これで、Alteryx Galleryを利用できるようになりました。
補足となりますが、Alteryxシステム設定のDefault Gallery Administratorに設定したメールアドレスにてAlteryx Galleryにサインインすると、Alteryx Galleryを管理者権限で利用することができます。
さいごに
Alteryx ServerとOktaを連携し、Alteryx ServerにSSOできる環境を作ってみました。
