Free Trial

ナレッジベース

エキスパートから学ぶ。
 資格情報とは、コンピューター上またはネットワーク上で、誰が何に対するアクセス権限を持っているかをコントロールする方法です。資格情報は、意図されていない人物がデータ、フォルダ、あるいはコンテンツに触れないよう防ぐ手段です。     ギャラリーのワークフローは、ギャラリーがホストされているサーバーマシン上で実行されます。デフォルトでは、すべてのワークフローはサービスアカウントとして実行されます。マシンのサービスアカウントは、IT部門がセットアップした基本のアカウントの許可を持っています。   ワークフローが、サービスアカウントが正常に実行できるよう付与されている許可よりも多くの許可が必要な場合には、Run As ユーザー、サブスクリプションレベル資格情報、またはワークフロー資格情報の3つのオプションを利用できます。   ギャラリーワークフローの資格情報は、優先順位に基づくオーバーライドシステムです。何も設定されていない場合、デフォルトでは、ギャラリーはすべてのワークフローをサービスアカウントとして実行します。資格情報でRun As が設定されていると、ギャラリーはデフォルトで資格情報で実行する、といった具合になります。これを以下の資格情報のピラミッドで図式化しています。     すべてのワークフロー資格情報は、バッチジョブとしてログオンする許可、あるいはサービスマシンへのローカルログオン許可を持っている必要があります。これらの許可無しでは、認証ができなくなります。詳細な情報は、許可権限で実行に関するヘルプドキュメントをご覧ください。   お客様のプライベート Gallery に資格情報を設定する Run As ユーザーは、システム設定 > ワーカー > Run As にあり、ここでワークフローを実行するデフォルトアカウントを、サービスアカウントからお客様が選択するアカウントに変更できます。       このオプションが設定されると、ギャラリーにあるすべてのワークフローはデフォルトでこれらの資格情報の下で実行されることになります。   サービスと資格情報での実行は、サブスクリプションレベルとワークフローレベルで上書きされます。次のステップはサブスクリプションです。Alteryx Gallery ではスタジオとも呼ばれています。   サブスクリプションレベル資格情報は、サブスクリプション下にある管理者ビューのギャラリー管理者で設定できます。デフォルトワークフロー資格情報オプションは、サブスクリプション設定の終盤にあります。ギャラリー管理者は、アカウントオプションの変更を選択して、デフォルトワークフロー資格情報を変更できます。     この選択ウィンドウでは、ギャラリーで作成されたワークフロー資格情報からどれでも選択することができます(ワークフロー資格情報は、ワークフロー資格情報タブで作成されています。この記事を少しスクロールダウンすると説明をご覧いただけます)。     サブスクリプション資格情報は部署レベルの許可向けに便利です(例:人事部署ワークフロー資格情報はIT部署の資格情報とは異なる許可を付与するなど)。   ワークフロー資格情報はレベルが最も細分化された資格情報です。そのため、他のワークフロー資格情報設定をすべて上書きします。ワークフロー資格情報は、ギャラリーの管理者ビューのワークフロー資格情報オプション下で追加することができます。     ここで注意すべき重要なことが2点あります。1つ目は、ワークフローの資格情報設定を変更するオプションです。     この設定には、デフォルト資格情報を使用する、ユーザー資格情報を要求する、ユーザーが資格情報オプションを選択できる、の3つのオプションがあります。   デフォルト資格情報を使用するオプションは、デフォルトで選択されています。このオプションは、システム設定でRun As ユーザーとして設定されているすべてのワークフローを実行します。あるいは、利用可能であれば、サブスクリプション資格情報として実行します。   ユーザー資格情報を要求するオプションは、ユーザーがワークフローを実行するときにいつでも自分の資格情報を入力するためのユーザー用のプロンプトを有効にします。     資格情報選択をユーザーが選択できるようにすると、ユーザーはデザイナーからギャラリーにワークフローを公開する際にワークフロー用の資格要件を特定できます。3つのオプションがあります。     ワークフロー資格情報タブで覚えておきたいことの2つ目は、新しい資格情報を追加するオプションにより、お客様のギャラリーに新しい資格情報を追加できる点です。これらの資格情報は、ワークフローに適用、あるいはスタジオ資格情報として使用されます。      ギャラリーに資格情報が作成された後、その資格情報を使用するためにユーザーとスタジオに共有する必要があります。資格情報をクリックして、資格情報を誰と共有するか編集することができます。     次に、ユーザーとスタジオタブに移動します。     Alteryx Server バージョン2018.1以降の諸々のトラブルシューティングでは、ワークフロー結果タブで、ワークフローがどの資格情報として実行されたかわかります。        これは、ワークフローを実行できなかった理由を探す際に役に立ちます。おそらく、必要な許可がなかったのでしょう。   まとめ   この記事の最初の方に説明されている通り、ギャラリーワークフローの資格情報は、優先順位に基づくオーバーライドシステムです。優先順位の高い資格情報が使用されます。資格情報オプションが何も設定されていない場合、ギャラリーはサービスアカウントをデフォルトとしますが、サービスアカウントは限られた許可しか持っていないことが多いため、問題が起こる可能性があります。   追加の情報は、Gallery ヘルプドキュメンテーションをご確認ください。  
記事全体を表示
SAML(セキュリティ・アサーション・マークアップ言語)は異なる当事者間の認証と認証資格情報をやり取りするための標準化された手段です。SAML の最も一般的な使用は、Web ブラウザのシングルサインオンで見られます。2018年2月以降、Alteryx Server は SAML に対応しています。現在のところ、Alteryx Server における SAML は、具体的に Ping One と Okta の二社のプロバイダーで検証されています。この記事では、Alteryx Server でOkta用に SAML を設定する方法を詳しく見ていきます。   Part 1:Okta に Alteryx を追加   このプロセス全体は、まず始めにシングルサインオンプロバイダー側の設定を行います。ここでは、Okta にアプリケーションとして Alteryx を追加する方法の概略を段階を追って示しています。   注記:これらのインストラクションは、Classic UI 用です。開発者のコンソールは表示が異なります。表示は、管理者ビューの左上隅で切り替えることができます。   1. Okta の管理者ビューで、アプリケーションへ移動し、[アプリケーションの追加] ボタンをクリックします。   2. 新しいアプリの作成を選択します。     3. SAML 2.0 をサインオン方法として選択します。     4. アプリ名とロゴ(任意)を入力して、[次へ] をクリックします。    5. SAML の設定画面で、URLとしてシングルサインオンに以下を入力します:http://YOURGALLERYNAMEHERE/aas/Saml2/Acs        対称ユーザーURI(SP エンティティ ID)に以下を入力します:http://YOURGALLERYNAMEHERE/aas/Saml2 そして、下にスクロールします。     6. email、firstName、lastNameの属性を、user.email、user.firstName、user.lastNameの値にそれぞれマップし、このページで [次へ] をクリックし、次のページで [完了] をクリックします。     7. アプリを自分自身と他の必要なユーザーに割り当てます。このオプションはアプリビューのユーザーの割り当てです。       Part 2:Alteryx システム設定の構成   Alteryx が Okta に追加されたら、Alteryx Server のシステム設定にSAMLを構成可能になります。   1. Alteryx システム設定では、ギャラリー > 認証 に到達するまで [次へ] をクリックし、認証タイプに SAML 認証を選択します。ACE Base URL フィールドはギャラリーの URL が自動入力されているはずです。     2. IDP が要求するメタデータを取得するためのオプションの選択のところで、IDP Metadata URL または X509 認証と IDP SSO URL のどちらかを選択します。Okta ではどちらのオプションでも機能します。IDP Metadata URL オプションを使うと設定が簡素化されるため、こちらを推奨します。X509 証明書と IDP SSO URL の設定に興味のある方は、PingOne の記事をご覧ください。    IDP メタデータ URL:   1. Okta で、アプリケーションページ > サインオン > 設定 に進み、セットアップインストラクションオプションを表示の部分のすぐ下にある、ID プロバイダメタデータのリンクをクリックします。     2.  このリンクから、SAML メタデータを含む XML ファイルに行くことができます。このリンクをクリックして表示されるブラウザタブに格納されているURLをコピーします。     3.  コピーした URL リンクを Alteryx システム設定の IDP メタデータ URL フィールドに貼り付けます。     4. サインオン > セットアップインストラクションを表示 にあるアプリビューの Okta セットアップインストラクションを表示し、ID プロバイダ発行者URLをコピーし、これを Alteryx システム設定の IDP URL フィールドに貼り付けます。           5. ボタンをクリックして、IDP を検証します!       ポップアップウィンドウからスクリプトを実行している警告がポップアップされる場合があります。これは既知の問題です。[はい] をクリックして(何度か繰り返す必要があります)これを回避できます。   6. Okta ログイン画面が表示されます。お客様の Okta 資格情報を入力し、サインインを選択します。     7. 検証が済んだら、システム設定画面の右下にポップアップメッセージが表示されます。注記:検証から IDP へのサインインに成功した最初のユーザーは、デフォルトのギャラリー管理者(キュレーター)になります。     これで、残りの構成オプションを [次へ]、[完了] の順にクリックし、Alteryx システム設定構成を完了します。   Gallery に移動し、サインインをクリックするときは、お客様の Okta 資格情報でサインインできます。やったー!    
記事全体を表示
SAML(セキュリティ アサーション マークアップ言語)は異なる当事者間の認証と認証資格情報をやりとりするための標準技術です。SAML の最も一般的な使用は、Web ブラウザのシングルサインオン(以下、SSO と略す)です。2018年2月以降、Alteryx Server は SAML に対応しています。現在のところ、Alteryx Server における SAML は、具体的に Ping One と Okta の2社のプロバイダーで検証されています。この記事では、Alteryx Server でPingOne用に SAML を設定する方法を詳しく見ていきます。   Part 1:PingOne に Alteryx を追加   このプロセス全体は、まず始めにシングルサインオンプロバイダー側の設定を行います。ここでは、PingOne にアプリケーションとして Alteryx を追加する方法の概略を段階を追って示しています。   PingOne の設定ウィンドウで、アプリケーション > マイアプリケーション に進み、アプリケーションの追加をクリックして、新しい SAML アプリケーションを選択します。     2. 名前、説明、Alteryx の詳細を入力し、[続行] をクリックして次のステップに進みます。     3. 次の画面で、SAML メタデータファイルをダウンロードし、保持します。Alteryx Server 側でシステム設定を構成するときにこれが必要になります。         アサーションコンシューマーサービスフィールドに以下を入力します:https://YOURGALLERYURLHERE/aas/Saml2/Acs         エンティティ ID フィールドに以下を入力します:https://YOURGALLERYURLHERE/aas/Saml2    [続行] をクリックして次のステップに進みます。   4. SSO属性マッピングで、アプリケーション属性に、Eメール、名、性を追加し、それぞれのブリッジ属性の識別もしくはリテラル値を、Eメール、名、姓にそれぞれ設定します。要求に応じて、属性にマップされた3つの SSO をすべて設定します。     保存して公開を選択します。     Part 2:Alteryx システム設定の構成    Alteryx が PingOne に追加されたら、Alteryx Server のシステム設定にS AML を構成可能になります。   Alteryx システム設定では、ギャラリー > 認証 に到達するまで [次へ] をクリックし、認証タイプに SAML 認証を選択します。   2.  IDP(アイデンティティプロバイダ)が要求するメタデータを取得するには2つのオプションがありますが、現在 PingOne は、X509 認証と IDP SSO URL のみを許可するよう設定されているため、このオプションを選択することになります。     3. ACE Base URL フィールドは、自動入力値にしておきます。       IDP URL は PingOne からエクスポートされた SAML メタデータ(Part 1、Step 3)にリストされたエンティティ IDになります。     IDP SSO URL は、同じメタデータドキュメントの SingleSignOnService バインディングロケーション属性になります。     X509 証明書は SAML メタデータドキュメントからコピー ペーストできます。     注記:現在、このコピー ペーストがキャリッジリターンを含む場合、認証サービスのクラッシュが起こるという既知の問題があります。  まず証明書をノートパッドなどにコピーペーストして、フォーマットを取り除いてください。   4. これらのフィールドのそれぞれが入力されたら、[IDP の検証] ボタンをクリックします!     5. PingOne ログイン画面が表示されます。お客様の PingOne 資格情報を入力し、サインオンを選択します。     6. 検証が済んだら、システム設定画面の右下にポップアップメッセージが表示されます。注記:検証から IDP へのサインインに成功した最初のユーザーは、デフォルトのギャラリー管理者(キュレーター)になります。     残りの構成オプションを [次へ]、[完了] の順にクリックし、Alteryx システム設定構成を完了します。 ギャラリーに移動して、サインインをクリックするときは、お客様の PingOne 資格情報でサインインできます。やったー!  
記事全体を表示