Versions Compared

Version Old Version 1 New Version 2
Changes made by

YUKA SAITO

YUKA SAITO

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

...

Yellowfinは、以下の項目を必要とします。

パラメーター説明必須かどうかデフォルト
アイデンティティプロバイダーエンティティIdIdPのEntityId

「オーディエンスURl」、または「オーディエンス制限」と呼ばれることもあります。これは、サービスプロバイダーのエンティティを特定します。
これは一般的に、次のような形式になります。

<your_idp_domain>/<sp_id>

例えば、

www.okta.com/ekti172b2ac0843Xf
必須なし
アイデンティティプロバイダーSSO IdPのSSO URLSAMLアイデンティティプロバイダーのSSO エンドポイントURLであり、 IdPは独自の設定ページ内で明確に表示しなくてはいけません。
これは、次のような形式になります。
<your_sso_domain>/<path_to_sp_sso_login>

例えば、

login.mybusiness.com/app/yellowfin1/ekti172b2ac0843Xf/sso

必須なし
アイデンティティプロバイダー証明書IdPの証明書この証明書は、アイデンティティプロバイダーからのリクエストを復号化します。アイデンティティプロバイダーは、構成内でこの証明書を明確にしなくてはいけません。必須なし
受信証明書検証アルゴリズム証明書の署名アルゴリズムこのアルゴリズムは、受信するアイデンティティプロバイダー証明書を検証します。受信する証明書に合わせて、3つの異なるハッシュ長から一致するものを選択します。
  • SHA256
  • SHA384
  • SHA512
必須SHA256
受信するリクエストの暗号化リクエストの暗号化こちらのトグルは、受信するSAMLリクエストが、アイデンティティプロバイダーにより暗号化されるかどうかを示します。有効にすることで、より強力なセキュリティを提供します。トグル無効
暗号化秘密鍵暗号化の秘密鍵この秘密鍵は、アイデンティティプロバイダーから受信する暗号化されたSAMLリクエストを復号化します。前述したように、独自のSSLキーペアを生成し、こちらの項目に秘密鍵を提供する必要があります。受信するリクエストの暗号化を有効にしている場合は必須リクエストの暗号化を有効にしている場合は必須なし
暗号化証明書暗号化の証明書この証明書は、アイデンティティプロバイダーから受信する暗号化されたSAMLリクエストを検証します。前述したように、独自のSSLキーペアを生成し、こちらの項目に暗号化証明書を提供しなくてはいけません。受信するリクエストの暗号化を有効にしている場合は必須リクエストの暗号化を有効にしている場合は必須なしユーザーId属性
ユーザーID 属性こちらの項目は、Yellowfin ユーザーIDを保持します (システム構成に応じて、これは通常ユーザー名、または電子メールアドレスになります)。必須なしクライアント参照Id属性
クライアント参照ID 属性このパラメーターは、ユーザーが所属するクライアント組織のクライアント参照Idの位置を提供します。通常、関連するクライアント組織を持たないYellowfin インスタンスでは、空欄、または「1」に設定します。必須ではないなし
SSO エントリーオプションSSOエントリーオプションこれは、セッションパラメーターのカンマ区切りの一覧であり、ユーザーを自動的に特定のページやログインに誘導したい場合に使用します。ユーザーをデフォルトのエントリーページに誘導する場合は、空欄のままにします。必須ではない

なし

カスタムセッションパラメーター属性カスタムセッションパラメーター 属性こちらの項目は、SAML SSOが作成したセッションに渡すカスタム変数の値を保持します。渡すカスタムデータがない場合は、空欄のままにします。必須ではないなし
新規ユーザーのオンボーティング新規ユーザー作成こちらのトグルを有効にすることで、SAMLは自動的に新規ユーザーをプロビジョニングします。新規ユーザーをプロビジョニングしない場合は、こちらのトグルを有効にしてはいけません。必須ではない無効

...

  1. Yellowfin レフトサイドメニューから、管理をクリックし、システム構成を選択します。
  2. 認証タブをクリックし、認証方法項目へ移動します。

    Image Added

  3. SAML シングルサインオンのトグルをクリックし、有効にします。
    SAML 設定という新しい項目が表示されます。こちらから、SAML SSOに関連するすべての設定を行います。
    SAML 設定
    Image Added

    SAML設定をクリックして、項目を展開します。
  4. 前述の表を参考にして、必要な項目に値を入力します。
  5. 前述の表を参考にして、必要に応じて、必須ではないその他の項目に値を入力します。前述の表を参考にして、必要な項目に値を入力します。:IdPのEntityIdIdPのSSO URLIdPの証明書
  6. 前述の表を参考にして、必要に応じて、必須ではないその他項目に値を入力します(以下のイメージを参照してください)

SAML オンボーディングの有効化

Yellowfinは、システム内に存在しないユーザーの新規ユーザーアカウントを作成するよう設定することができます。この機能は「オンボーディング」と呼ばれ、SAMLリクエストから新規ユーザーを作成するために必要な情報と合わせて、Yellowfinにいくつかの追加設定を提供しなくてはいけません。以下のパラメーターはすべて、上記の他の属性マッピングパラメーターと一致するように、アイデンティティプロバイダーとYellowfinで設定・構成する必要があります。

First Name

このパラメーターは、新規ユーザーの名を取得するために、SAML属性の名前を定義します。

Last Name

このパラメーターは、新規ユーザーの姓を取得するために、SAML属性の名前を定義します。

Email

このパラメーターは、新規ユーザーの電子メールアドレスを取得するために、SAML属性の名前を定義します。

Language

このパラメーターは、新規ユーザーの言語コードを取得するために、SAML属性の名前を定義します。SAML応答のコンテンツは、管理コンソールの地域設定で既に設定された既存の言語コードと一致しなくてはいけません。言語コードは標準的なISO形式で、言語を2文字で表し、必要に応じてアンダースコアとさらなる2文字で国を表します。

Password

このパラメーターは、新規ユーザーのパスワードを取得するために、SAML属性の名前を定義します。こちらを空欄にすると、新規ユーザーにはランダムなパスワードが作成されます。

Role

このパラメーターは、新規ユーザーのロールを取得するために、SAML属性の名前を定義します。こちらを省略した場合、新規ユーザーにはデフォルトロールが割り当てられます。SAML応答のコンテンツは、管理コンソールで既に設定された既存のロールコードと一致しなくてはいけません。

Fallback Role

こちらのドロップダウンリストには、新規ユーザーのプロビジョニング時に、Role Attribute項目に入力したロールが利用できない場合に、フォールバックするロールを選択する方法を提供します。こちらを省略した場合、新規ユーザーにはデフォルトロールが割り当てられます。

SAML オンボーディングを設定するには、以下の手順に従います。

前述の手順で説明したのと同じ設定画面にいることを確認します。

新規ユーザーのオンボーディングトグルをクリックして有効化します。

前述の表を参考にして、必要な項目に値を入力します。

前述の表を参考にして、必要に応じて、必須ではないその他の項目に値を入力します。

...



  1. Image Added

新規ユーザー作成の有効化

Yellowfinは、システム内に存在しないユーザーの新規ユーザーアカウントを作成するよう設定することができます。この機能は「オンボーディング」と呼ばれ、SAMLリクエストから新規ユーザーを作成するために必要な情報と合わせて、Yellowfinにいくつかの追加設定を提供しなくてはいけません。以下のパラメーターはすべて、上記の他の属性マッピングパラメーターと一致するように、アイデンティティプロバイダーおよびYellowfinで設定・構成する必要があります。

パラメーター説明必須かどうかデフォルト
名(First Name) 属性このパラメーターは、新規ユーザーの名を取得するために、SAML属性の名前を定義します。必須なし
姓(Last Name) 属性このパラメーターは、新規ユーザーの姓を取得するために、SAML属性の名前を定義します。必須なし
Email 属性このパラメーターは、新規ユーザーの電子メールアドレスを取得するために、SAML属性の名前を定義します。必須なし
言語コード Attributeこのパラメーターは、新規ユーザーの言語コードを取得するために、SAML属性の名前を定義します。SAML応答のコンテンツは、管理コンソールの地域設定で既に設定された既存の言語コードと一致しなくてはいけません。言語コードは標準的なISO形式で、言語を2文字で表し、必要に応じてアンダースコアとさらなる2文字で国を表します (例: オランダ語の場合はnl、スイスフランス語の場合はfr_ch)。必須ではないシステムのデフォルト
パスワード 属性このパラメーターは、新規ユーザーのパスワードを取得するために、SAML属性の名前を定義します。こちらを空欄にすると、新規ユーザーにはランダムなパスワードが作成されます。

必須ではない

ランダムパスワード (32の英数字文字列)
ロール Attributeこのパラメーターは、新規ユーザーのロールを取得するために、SAML属性の名前を定義します。こちらを省略した場合、新規ユーザーにはデフォルトロールが割り当てられます。SAML応答のコンテンツは、管理コンソールで既に設定された既存のロールコードと一致しなくてはいけません。必須ではないデフォルトロール
予備のロールこちらのドロップダウンリストには、新規ユーザーのプロビジョニング時に、ロール Attribute項目に入力したロールが利用できない場合、予備のロールを選択する方法を提供します。こちらを省略した場合、新規ユーザーにはデフォルトロールが割り当てられます。必須ではないデフォルトロール


新規ユーザー作成を設定するには、以下の手順に従います。

  1. 前述の手順で説明したのと同じ設定画面にいることを確認します。
  2. 新規ユーザー作成トグルをクリックして有効化します。

    Image Added

  3. 前述の表を参考にして、必要な項目に値を入力します。: 名(First Name) 属性姓(Last Name) 属性Email 属性
  4. 前述の表を参考にして、必要に応じて、必須ではないその他の項目に値を入力します (以下のイメージを参照してください)。


CustomParametersおよびParametersを使用したデータのカスタマイズ

SSO web サービスの呼び出しで、既にCustomParametersおよびParameters オプションを使用している場合は、SSO エントリーオプションおよびSSO カスタムセッション変数属性項目を使用して、これらをSAMLに追加することもできます。カスタムセッションパラメーター 属性項目を使用して、これらをSAMLに追加することもできます。

SSO エントリーオプション

SSO エントリーオプション項目は、ユーザーが SAML経由でログインした後に生成されるYellowfin セッションで利用できる機能を設定することができます。これらは、「CustomParameters」オプションを使用してweb サービスのSSO ログインに設定できるオプションと同様です。これは属性ベースではないため、すべてのユーザーに適用されます。

例えば、ユーザーのログイン時に、お気に入りに登録したレポートやダッシュボード、ストーリーが表示されるようにしたい場合、TIMELINEおよびDISABLEHEADER パラメーター (または、ログインセッションオプションの定義ページに表示されている任意のパラメーターまたは、ログインセッションオプションの定義ページに表示されている任意のパラメーター) を使用することができます。今回は、こちらの例を使用して説明します。YellowfinのSAML 設定項目で、SSO エントリーオプション項目に移動します。

  1. YellowfinのSAML設定項目で、SSO エントリーオプション項目に移動します。
  2. 使用する任意のパラメーターを、カンマ区切りで入力します。
    今回の例では、ENTRY=TIMELINE,DISABLEHEADER=TRUEを使用します。

    Image Added

...


  2. 保存ボタンをクリックし、変更内容を保存します。

JWT トークンを使用してログインし、指定したログインオプションが表示されていることを確認することで、変更内容が機能していることを確認することができます。カスタムセッションパラメーター属性

カスタムセッションパラメーター 属性

カスタムセッションパラメーター属性項目は、ユーザーが SAML経由でログインした後に生成されるYellowfin セッションに、カスタム値を渡すことができます。これらは、「Parameters」オプションを使用してweb サービスのSSO ログインに渡すことのできるオプションと同様です。これは属性ベースのため、個別のユーザーに適用することができます。

...