Alteryx ServerでSAML認証を試す〜OneLogin編〜
Alteryx Serverではユーザー認証の方式が以下の4種類あります。SAML認証を使えばIdPに認証情報を持ってもらうことが可能ですし、Alteryx Serverをシングルサインオンに対応させることもできます。
- Build-in
- Integrated Windows Authentication(Windows統合認証)
- Integrated Windows Authentication with Kerberos
- 関連エントリ:Alteryx ServerでWindows認証してみる | DevelopersIO
- SAML Authentication
- 関連エントリ:Alteryx ServerでSAML認証を試す(Auth0編) | DevelopersIO
今回はIDaaS(ID as a Service)であるOneLoginをAlteryx Serverと連携させてシングルサインオンする方法をご紹介します。夏はやっぱりシングルサインオン!
もくじ
検証環境
今回の検証に当たって使用した環境は以下の通りです。
- Alteryx Server 2019.2.5.62427
- Windows Server 2012 Standard R2 on AWS EC2
OneLoginの設定を行う
アプリケーションの作成
まずはOneLogin側でアプリケーション(連携するシステム)の設定を行います。管理者のアカウントでOneLoginにアクセスし、[Apps]->[Add Apps]をクリックします。
OneLogin SAML Test (IdP)を選択します。
Display Nameに任意の名前を登録しておきましょう。わかりやすいようにアイコンも変更可能です。入力後、SAVEで保存します。
Configuration
保存後に諸々の設定が行えるようになります。まずはConfigurationを選択し、各項目を以下の通り埋めていきましょう。
| 項目 | 入力内容 |
|---|---|
| SAML Consumer URL | http(s)://[Alteryx ServerのFQDN名]/aas/Saml2/Acs |
| SAML Audience | http(s)://[Alteryx ServerのFQDN名]/aas/Saml2 |
| SAML Recipient | http(s)://[Alteryx ServerのFQDN名]/aas/Saml2/Acs |
| SAML Single Logout URL | http(s)://[Alteryx ServerのFQDN名]/aas/Saml2/Acs |
Parameters
次にSAML連携時に属性情報となるParametersの設定を行います。[Add Parameters]より以下内容を登録します。
| OneLogin SAML Test (IdP) Field | Value |
|---|---|
| firstName | First Name |
| lastName | Last Name |
[Include in SAML assertion]にはチェックを入れておきましょう。(チェックを入れずに進めてAlteryx Server側で認証が通らず苦戦しました…)
SSO
Alteryx ServerはSAML連携時の暗号化方式としてSHA-256のみをサポートしています。SSOタブの[SAML Signature Algorithm]をSHA-256に変更しておきます。ここに記載されている情報はAlteryx Server側での設定時に必要となりますので心の準備をしておきましょう。
Users
UsersタブにはAlteryx Serverへのシングルサインオンが可能なユーザーが一覧で表示されます。
シングルサインオンを許可するユーザーを追加するには、OneLoginユーザー画面から設定を行う必要があります。メニューバーの[USERS]から[All Users]へ遷移して追加したいユーザーを選択します。
Applicationsタブより[New App]を選択します。
先ほど追加したアプリケーションを選択し、Continueをクリックします。
ユーザー情報をSAVEするとAlteryx Serverのアプリケーションが追加されます。アプリケーション側のUsersタブにも同時にユーザーが追加されます。
これでOneLogin側の設定は完了です。画面右上のSAVEボタンを必ず押して変更内容を反映させてください。
Alteryx Server側の設定を行う
Alteryx Server上にあるAlteryx System Settingsを起動します。アイコンをダブルクリックでもいいですし、Alteryx Designerのメニューから[Options]->[Advanced Options]->[System Settings]を選択しても設定画面にアクセス可能です。
右下のNextをクリックし、[Gallery General]まで遷移します。Base Addressを以下の通り設定します。
http(s)://[Alteryx ServerのFQDN名]/gallery
次に[Gallery Authentication]の画面まで遷移します。OneLogin側のSSOタブに記載された情報を元に以下の通り項目を設定します。
| 項目 | 設定内容 |
| -- | -- |
| Authentication Type | SAML authentication |
| Select an Option for Obtaining metadata required by the IDP | X509 certificate and IDP SSO URL
※今回はこちらの方式で検証しています |
| ACS Base URL | http(s)://[Alteryx ServerのFQDN名]/aas |
| IDP URL | Issuer URL |
| IDP SSO URL | SAML 2.0 Endpoint (HTTP) |
| X509 certificate | X.509 Certificate
※OneLogin側アプリケーションのSSOタブ[View Detail]より取得可能
|
[Verify IDP]ボタンを押すとOneLoginのログイン画面が表示されます。
ログインして認証がうまくいくとSuccessのメッセージが出ます。ここに入力したユーザーがAlteryx ServerのCurator(Administratorユーザー)となります。
動作確認
WebブラウザからAlteryx ServerのWebインターフェースであるAnalytics Galleryへログインします。右上のSIGN INボタンを選択します。
OneLoginの画面が表示されました。
OneLoginに登録した認証情報でログインできました!
最後に
OneLoginを使用したシングルサインオンの設定方法についてご紹介しました。OneLogin側でAlteryx Server認証のためのアプリケーションは用意されていませんが、OneLogin SAML Test (IdP)を使って設定を行うことができます。認証にお悩みの方のお役に立てれば幸いです。
Alteryxの導入なら、クラスメソッドにおまかせください
日本初のAlteryxビジネスパートナーであるクラスメソッドが、Alteryxの導入から活用方法までサポートします。14日間の無料トライアルも実施中ですので、お気軽にご相談ください。
