Versions Compared

Version Old Version 8 New Version Current
Changes made by

Sachiko Winzer

YUKA SAITO

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.
Comment: Migration of unmigrated content due to installation of a new plugin

...

パラメーター説明必須かどうかデフォルト
アイデンティティプロバイダーのEntityId

「オーディエンスURl」、または「オーディエンス制限」と呼ばれることもあります。これは、サービスプロバイダーのエンティティを特定します。
これは一般的に、次のような形式になります。

<your_idp_domain>/<sp_id>

例えば、

www.okta.com/ekti172b2ac0843Xf
必須なし
アイデンティティプロバイダーのSSO URLSAMLアイデンティティプロバイダーの Single Sign On エンドポイントURLであり、 IdPは独自の設定ページ内で明確に表示しなくてはいけません。
これは、次のような形式になります。
<your_sso_domain>/<path_to_sp_sso_login>

例えば、

login.mybusiness.com/app/yellowfin1/ekti172b2ac0843Xf/sso

必須なし
アイデンティティプロバイダーSLO URL

SAML ID プロバイダのシングル・ログアウト・エンドポイントの URL であり、IdP は自身の設定ページに明確に表示する必要があります。このオプションは、YellowfinにSLOのレスポンスをどこに向けるかを指示します。

次のような形式になります。

<your_slo_domain>/<path_to_idp_slo_logout>

例えば、

login.mybusiness.com/app/yellowfin1/ekti172b2ac0843Xf/slo
必須なし
アイデンティティプロバイダー SLO URL 回答

これは、IdpのSLO回答のエンドポイントとSLOリクエスト用のエンドポイントが異なる場合のみ必要となるオプションのパラメーターです。何も入力されていない場合、YellowfinはアイデンティティプロバイダーSLO URLフィールドに入力されたURLを使います。

これは、次のような形式になります。

<your_slo_domain>/<path_to_idp_slo_logout_response>

例えば、

login.mybusiness.com/app/yellowfin1/ekti172b2ac0843Xf/sloreponse
任意なし
アイデンティティプロバイダー証明書

この証明書は、アイデンティティプロバイダーからのリクエストを復号化します。アイデンティティプロバイダーは、この証明書を設定で明らかにする必要があります。

必須なし
サービスプロバイダー秘密鍵

この秘密鍵

は、アイデンティティプロバイダーから受信する暗号化されたSAMLリクエストを復号化します。このページで前述したように、独自のSSLキーペアを生成し、その秘密鍵をここで提供する必要があります。必須

は、アイデンティティプロバイダーから受信する暗号化されたSAMLリクエストを復号化します。このパラメーターを有効にする場合、独自のSSLキーペアを生成し、秘密鍵をここで提供する必要があります。

これは任意ではありますが、Yellowfinがリクエストにサインするために、この秘密鍵を提供することをお勧めします。

任意なし
サービスプロバイダー証明書この証明書は、アイデンティティプロバイダーから受信する暗号化されたSAMLリクエストを復号化します。このページで前述したように、独自のSSLキーペアを生成し、その証明書をここで提供する必要があります。必須

この証明書はサービスプロバイダーのアイデンティティを確認し、アイデンティティプロバイターがサービス間の通信を暗号化することを可能にします。このパラメーターを有効にする場合、独自のSSLキーペアを生成し、ここで暗号化証明書を提供する必要があります。

これは任意ではありますが、Yellowfinがリクエストにサインするために、この秘密鍵を提供することをお勧めします。

任意なし
シグネチャーアルゴリズム

このアルゴリズムは、受信したアイデンティティプロバイダーの証明書を検証します。ハッシュの長さは3種類から選べますので、受信する証明書の種類に合わせてお選びください。

  • RSA-SHA256
  • RSA-SHA384
  • RSA-SHA512

どれか分からない場合は、デフォルトを使用してください。

必須RSA-SHA256
ダイジェストアルゴリズム

このアルゴリズムは、受信したアイデンティティプロバイダーの証明書を検証します。ハッシュの長さは3種類から選べますので、受信する証明書の種類に合わせてお選びください。

  • SHA256
  • SHA384
  • SHA512

どれか分からない場合は、デフォルトを使用してください。

必須SHA256
受信したリクエストの暗号化このトグルは、受信する SAML リクエストを ID アイデンティティプロバイダーが暗号化するかどうかを決定します。セキュリティを高めるには、スイッチをオンにしてください。トグル
ユーザーID 属性こちらの項目は、Yellowfin ユーザーIDを保持します (システム構成に応じて、これは通常ユーザー名、または電子メールアドレスになります)。必須なし
クライアント参照ID 属性このパラメーターは、ユーザーが所属するクライアント組織のクライアント参照Idの位置を提供します。通常、関連するクライアント組織を持たないYellowfin インスタンスでは、空欄、または「1」に設定します。必須ではないなし
SSOエントリーオプション属性このパラメータには、SAML SSOプロセスで作成されたセッションに渡されるカンマ区切りのWebサービスセッションパラメータ値を保持するSAML属性を指定します。ユーザーをデフォルトの入力ページに誘導する場合は、空白にします。詳細および例については、「CustomParameters と Parameters でデータをカスタマイズする」セクションを参照してください。必須ではない

なし

カスタムセッションパラメーター 属性このパラメーターは、SSO Webサービスの呼び出しの時に、パラメーターオプションを、SAML SSLプロセスで作成されるセッションに渡すことができます。必須ではないなし
新規ユーザー作成こちらのトグルを有効にすることで、SAMLは自動的に新規ユーザーをプロビジョニングします。新規ユーザーをプロビジョニングしない場合は、こちらのトグルを有効にしてはいけません。必須ではない無効

...

  1. Yellowfin レフトサイドメニューから、管理をクリックし、システム構成を選択します。
  2. 認証タブをクリックし、認証方法項目へ移動します。



  3. SAML シングルサインオンのトグルをクリックし、有効にします。
    SAML 設定という新しい項目が表示されます。こちらから、SAML SSOに関連するすべての設定を行います。



    SAML設定をクリックして、項目を展開します。
  4. 前述の表を参考にして、必要な項目に値を入力します。:IdPのEntityIdIdPのSSO URL、Idp SLO URL、IdPの証明書、シグネチャーアルゴリズム、ダイジェストアルゴリズム、ユーザーアイデンティティ属性
  5. 前述の表を参考にして、必要に応じて、必須ではないその他項目に値を入力します(以下のイメージを参照してください)。


新規ユーザー作成の有効化

Yellowfinは、システム内に存在しないユーザーの新規ユーザーアカウントを作成するよう設定することができます。この機能は「オンボーディング」と呼ばれ、SAMLリクエストから新規ユーザーを作成するために必要な情報と合わせて、Yellowfinにいくつかの追加設定を提供しなくてはいけません。以下のパラメーターはすべて、上記の他の属性マッピングパラメーターと一致するように、アイデンティティプロバイダーおよびYellowfinで設定・構成する必要があります。

...

必須ではない

...

新規ユーザー作成を設定するには、以下の手順に従います。

...

CustomParametersおよびParametersを使用したデータのカスタマイズ

SSO web サービスの呼び出しで、既にCustomParametersおよびParameters オプションを使用している場合は、SSO エントリーオプションおよびSSO カスタムセッションパラメーター 属性項目を使用して、これらをSAMLに追加することもできます。

SSO エントリーオプション

このSSOエントリーオプション属性フィールドは、SSO WebサービスのCustomParametersオプションで渡すことができるユーザーごとのカスタムデータを、SAML SSOプロセスで作成されるセッションに渡すことができます。これは属性ベースなので、個々のユーザーに適用することができます。

このSSOエントリーオプション属性フィールドは、SAML Single Sign On使用時にセッションごとにカスタムセッション変数を設定できます。この属性には、SAML SSOプロセスで作成されたセッションに適用されるWebサービスのSSOセッションオプションを含めることができます。

例えば、ユーザーのログイン時に、お気に入りに登録したレポートやダッシュボード、ストーリーが表示されるようにしたい場合、TIMELINEおよびDISABLEHEADER パラメーター (または、ログインセッションオプションの定義ページに表示されている任意のパラメーター) を使用することができます。今回は、こちらの例を使用して説明します。

...

トークンを使用してログインし、指定したログインオプションが表示されていることを確認することで、変更内容が機能していることを確認することができます。

カスタムセッションパラメーター 属性

カスタムセッションパラメーター属性項目は、ユーザーが SAML経由でログインした後に生成されるYellowfin セッションに、カスタム値を渡すことができます。これらは、「Parameters」オプションを使用してweb サービスのSSO ログインに渡すことのできるオプションと同様です。これは属性ベースのため、個別のユーザーに適用することができます。

この項目を使用するためには、独自のJava プラグインを記述しなくてはいけません。Yellowfin セッションには、任意の数の変数を渡すことができるので、カスタム要件にさらなる柔軟性を提供します。

例えば、Yellowfinの一般的なヘッダーを置き換えるために、カスタムヘッダーを実装したい場合、この項目にJSON配列を配置することで、ヘッダーは情報を取得し、ページの上部に表示することができます。これには、ロールやプロフィール写真などのユーザー固有の詳細や、ユーザーが作業をしていた最新の3つのレポートへのリンクなどを含めることができます。

...