20210126実施のTECHTALK「Qlik Sense SaaSの 認証連携を詳細解説」の資料

1. 2021年1月26日
Qlik Sense SaaSの
認証連携を詳細解説！

2. 2
TECH TALKとは？
Qlikの製品や機能の中から
特定のテーマを取り上げて、
技術的な情報を発信していくセミナーです。

3. 3
Q&Aについて
• 質問はZoom画面下のQAアイコンをクリックして入力してください。
• 質問に対してQlikパネラーが随時QAパネルで回答します。
• 質問と回答については、セミナーの最後に他の参加者に情報共有させていただき
ます。

4. 4
アジェンダ Qlik Sense SaaSでは、サイトでID/パスワードの登録を行うQlikアカウントを利用した
認証が可能ですが、その他に企業内で利用するIdP(アイデンティティ・プロバイダ)と連携を
行ってAuth0、Okta、ADFS、Salesforceなどとの認証連携を行うことが可能です。この
セッションでは、その概要や設定方法の詳細についてデモを交えて解説します。
• 概要
• IdPの設定方法
• Auth0
• Okta
• Azure AD
• SFDC
• 認証方法の補足
• その他の情報

5. 5
概要

6. 6
Qlik SenseのSaaS対応を加速
セットアップの時間・手間を最小限に組織・グループにQlik Senseを展開
アプリサイズ(インメモリ)
ストレージサイズ
リロード同時実行
1日のリロード数上限
共有・管理スペース
認証
リ
ソ
ー
ス
Qlikアカウント、ADFS、Auth0、Keycloak、Okta、OIDC標準準拠のIdP
Qlikアカウント
Qlik Sense Business(QSB) Qlik Sense Enterprise SaaS(QSE SaaS)
1.25GB
250GB
3
50
5GB
(10GBまでのExpanded Capacity, 10GB以上のDedicated Capacityのプランも別途ご提供)
制限なし
制限なし
制限なし
共有・管理スペース共に制限なし
共有スペース: 5個まで、管理スペース：不可
価格
(年単位での請求)
$30/ユーザー/月 Professional/Analyzer/Capacity
$70/$40/$100
Qlik Sense Desktop利用 ● ●(Professionalユーザーのみ)
https://www.qlik.com/ja-jp/pricing
詳細は価格ご説明ページを参照:
データアラート ●
×

7. 7
Qlik Sense Enterprise SaaSの認証
QSE SaaSでは企業内で利用するIdpと連携を行うことが可能
以下の認証方式をサポート
• Qlikアカウント(QSE SaaSのサイト上で管理されるメール、パスワードを利用、
Qlik Sense Businessではこの方式のみ対応)
• ADFS
• Auth0
• Azure AD
• Keycloak
• Okta
• Salesforce
• 汎用
認証のプロトコルとしてOpenID Connect(OIDC)に対応
• OAuth2.0(認可に対応)を拡張した認証のためのプロトコル
• OIDCは標準ではなく仕様であり、ベンダーごとにコア使用以外の機能を実装
する場合があるなど、この点の考慮が必要

8. 8
OpenID Connect(OIDC)のフロー
ユーザー Relaying Party OpenID Provider
アクセス
認可リクエスト
(リダイレクト)
ログイン・同意
認可コード
(リダイレクト)
トークン要求
ID Tokenと
Access Tokenを返却
UserInfoの要求
UserInfoの返却
用語 説明
OpenID Provider (OP)
ユーザーの認証を行うサーバー
(Auth0,Okta,Azure AD,SFDCなど)
Relying Party (RP)
OpenID ProviderにID Tokenとアイデ
ンティティ情報を要求するサーバー
(Qlik Sense Enterprise SaaS)
ID Token
認証と認可の情報を含むJWT(JSON
Web Token)形式のトークン
Access Token
UserInfoエンドポイントにアクセスするため
のトークン
UserInfo ユーザーのアイデンティティ情報
Claim(クレーム)
ID TokenやUserInfoに含まれるユー
ザー属性情報群(sub:ユーザーの一意識
別子、name:フルネームなどを含
み、 5.1. Standard Claimsの標準ク
レーム群が定義されている）
標準的なOIDCのフローは以下になります。

9. 9
標準的なIdPの設定の流れ
Applicationの作成
以下の情報をIdPに入力
• リダイレクト(callback)URL: https://テナントURL/login/callback
Applicationに含まれる以下の情報をQlik Sense側に入力
• ドメイン： https://IdPのドメイン名/.well-known/openid-configuration
• Client ID
• Client Secret
Claimの設定
Groupの設定
Claimの設定に応じてQlik Sense側でクレームのマッピングを実施
• sub, name, groups, emailなど
• この資料では後段で標準的なClaimの設定を行いますが、実際には要件
や環境に応じて異なる値をClaimの設定を行う場合があります
ユーザー、グループの
作成・設定
IdPの種類によって設定方法や名称は異なりますが、大きくは以下の様な設定をおこないます。
このユーザーを利用してログオンを実施

10. 10
Qlik Sense Enterprise SaaSのIDプロバイダ設定
• Qlik Senseの管理コンソール上(https://テナント名/console/)で、[IDプロバイダー] > [新規作成]を選択して設定
IdP側の設定に基づいて、ドメイン、Client ID、Client
Seccret、クレームマッピングなどの情報を入力
IdPの種類を選択

11. 11
Qlik Sense Enterprise SaaSでの認証設定の検証
• ウィザードの流れに従って、正常に設定されていることを確認し、IdPを有効化
ユーザー情報を入力して
ログイン
IdPから渡されたクレームの
内容を表示
検証に問題なければアクティブ化し、
次回より新たなIdPでログイン(検証に
失敗した場合には元のIdPのまま)
https://help.qlik.com/ja-JP/cloud-services/Subsystems/Hub/Content/Sense_Hub/Admin/mc-create-idp-configuration.htm
Idp設定ガイド

12. 12
Claim(クレーム)の内容の確認
https://tenant-name.region.qlikcloud.com/api/v1/diagnose-claims
QSE SaaSの以下のAPIを利用してClaimの内容を確認可能
グループ情報などが正しくIdPから渡されているか等に利用

13. 13
グループ情報の受け取りの有効化
管理コンソールの[Setting] > [Groups]で
[Enable creation of groups]を有効化すること
でIdPからのグループ情報受け取りを有効化

14. 14
登録済みのグループの確認
https://tenant-name.region.qlikcloud.com/api/v1/qlik-groups
QSE SaaSの以下のAPIを利用して登録済みのグループを確認可能
https://community.qlik.com/t5/Support-Knowledge-Base/How-to-
Enable-User-Groups-in-Qlik-Sense-Enterprise-SaaS/ta-p/1735945
※グループ追加の詳細については以下を参照

15. 15
IdPの設定方法

16. 16
Auth0の設定

17. 17
Auth0へのログイン
https://auth0.com/jp/
• 左記サイトから、トライアルの登録、ログイン
が可能
• Auth0を利用したQlik Sense
Enterprise SaaSの認証設定方法につい
ては以下のサイトも要参照
https://community.qlik.com/t5/Qlik-Sense-Documents/How-
To-Configure-Qlik-Sense-Enterprise-SaaS-to-use-Auth0-
as-an/ta-p/1724074
https://community.qlik.com/t5/Support-Knowledge-Base/Example-
auth0-authentication-setup-on-Qlik-Sense-Enterprise-SaaS/ta-
p/1713295?_ga=2.230077468.1276464113.1610896353-
1206983913.1600254791
How To: Configure Qlik Sense Enterprise SaaS to use Auth0 as an IdP
Example auth0 authentication setup on Qlik Sense
Enterprise SaaS

18. 18
Applicationの作成①
• [Application] > [Create Application]を選択 • [Single Page Web Applications]を選択して[Create]をクリック

19. 19
Applicationの作成②
• [Domain]、[Client ID]、[Client Secret]をメモして保存 • [Allowed callback URLs]に「https://テナントURL/login/callback」、[Allowed
Logout URLs]にテナントURLを入力
• [Save Changes]をクリック
QSE SaaS側の設定の際に
この情報を利用します

20. 20
User Databaseの作成①
• [Connection] > [Databaseon]>[Create DB Connection]を選択 • [Name]を入力し、[Create]をクリック
ログイン画面上でのユーザーサイ
ンアップをOFFにする場合には、
この設定をOFFにする

21. 21
User Databaseの作成②
• [Application]タブを開いて、先ほど作成したApplicationのみをONにして再度保存

22. 22
Tenantの設定
• 画面右上のメニューから[Settings]を開く • [Allowed Logout URLs]にテナントURLを入力

23. 23
ApplicationでのConnectionの設定
• [Application]から先ほど作成したApplicationを選択し、[Connections]タブを開いて、作成したUser DatabaseのみをONにする

24. 24
Ruleの追加：グループのClaimへの追加
• [Empty rule]を選択
• [Rules] > [Create Rule]を選択
function (user, context, callback) {
if((user.user_metadata || {} ).groups){
context.idToken.groups = user.user_metadata.groups;
}
callback(null, user, context);}
• 「Add groups claim」という名称で、以下の様なルールを追加

25. 25
ユーザーの登録
• [Users & Roles] > [Users]>[Create User]を選択 • ユーザー情報を入力し、[Create]をクリック

26. 26
ユーザーのグループ設定
{
"groups": [
"Everyone"
]
}
• 作成したユーザーを選択
• [user_metadata]に以下の様な形でグループ情報を追加

27. 27
接続のテスト
• [Connection] > [Databaseon]から先ほど作成したDatabaseを選択
• [Try Connection] のタブを選択
• ログイン情報を入力して[Log in]をクリック
• 「It Works!」と表示されたことを確認

28. 28
Qlik Sense Enterprise SaaSでの設定②
• 以下の形で入力して[作成]をクリック
メモしたAuth0 Domainの情報を利用し、
「https://Auth0のドメイン名/.well-
known/openid-configuration」を入力
Auth0のApplication作成時にメモした
Client IDとSecretを入力
「https://テナントURL/v2/logout?returnTo=https://テ
ナントURL/」を入力

29. 29
Oktaの設定

30. 30
Oktaへのログイン
https://www.okta.com/free-trial/
• 左記サイトから、トライアルの登録、ログイン
が可能
• Oktaを利用したQlik Sense
Enterprise SaaSの認証設定方法につい
ては以下のサイトも要参照
How to setup a Tenant and Identity Provider (Okta) on Qlik Cloud
Services Deployment
https://support.qlik.com/articles/000082140

31. 31
Applicationの作成①
• [Application] > [Add Application]を選択
• [Web]を選択して[Next]をクリック

32. 32
Applicationの作成②
• 以下の形で入力して[作成]をクリック
「https://テナントURL/」を入力
「https://テナントURL/login/callback」を
入力
「https://テナントURL/」を入力
• [Client ID]と[Client Secret]をメモして保存
• [Okta domain]をメモして保存
QSE SaaS側の設定の際に
この情報を利用します
QSE SaaS側の設定の際に
この情報を利用します

33. 33
グループのClaimへの追加
• 画面左上のメニューで[Classic UI]に切り替え
• [OpenID Connect ID Token]の[Edit]をクリック
• [group claim filter]に「groups」を入力し、「Matched
regex」を選択して「.*」を入力して[Save]をクリック
• 作業完了後、[Developer Console]に切り替え

34. 34
ユーザーの追加
• [Users] > [People]>[Add Person]を選択 • ユーザー情報を入力し、[Save]をクリック

35. 35
グループの追加
• [Users] > [Groups]>[Add Person]を選択
• グループ名を入力し、[Add Group]をクリック
• 追加したグループを選択し、[Manage People]をクリック
• Membersにユーザーを追加して[Save]をクリック

36. 36
Qlik Sense Enterprise SaaSでの設定
• 管理コンソール上で、[IDプロバイダー] > [新規作成]を選択し、以下の形で入力して[作成]をクリック
メモしたOkta domainの情報を利用し、
「https://Oktaのドメイン名/.well-
known/openid-configuration」を入力
OktaのApplication作成時にメモしたClient
IDとSecretを入力

37. 37
Azure ADの設定

38. 38
Microsoft Azure Portalのログイン
https://azure.microsoft.com/ja-jp/features/azure-portal/
• 左記サイトから、トライアルの登録、ログイン
が可能
• Azure ADを利用したQlik Sense
Enterprise SaaSの認証設定方法につい
ては以下のサイトも要参照
How To: Configure Qlik Sense Enterprise SaaS to use Azure AD as an IdP
https://community.qlik.com/t5/Support-Knowledge-
Base/How-To-Configure-Qlik-Sense-Enterprise-SaaS-to-use-
Azure-AD-as/ta-p/1704442
https://community.qlik.com/t5/Support-Updates-Blog/Qlik-Sense-
Enterprise-SaaS-and-Identity-Providers-Balancing-Open/ba-
p/1704578?_ga=2.268368398.1276464113.1610896353-
1206983913.1600254791#
Qlik Sense Enterprise SaaS and Identity Providers: Balancing
Open Standards & Supportability
https://www.youtube.com/watch?v=d3WpPGTmmC0
Qlik Enterprise SaaS: Configure Azure Active Directory as an IdP

39. 39
Applicationの登録
• [Azure Active Directory]の画面を開き、[App registrations]>
[New registration]を選択
• 名前を入力して、[Redirect URI (optional)]にテナントURLを入力
• [Register]をクリック

40. 40
Applicationの登録
• [Authentication]を選択すると、 「https://テナントURL/login/callback」が登録されたことを確認
（当画面では確認のみで作業は不要です）

41. 41
Client Secretの追加
• [Certificates & secrets]を選択し、[New client secret]をクリック
• [Description]に名前を入力して有
効期間を選択し、[Add]をクリック
• [Value]の値をメモして保存
QSE SaaS側の設定の際に
この情報を利用します

42. 42
Tokenの設定
• [Token configuration]を選択し、[Add optional
claim]をクリック
• city, email, tenant_city, verified_primary_email
を選択して[Add]をクリック
• [Add]をクリック
※ ここでは標準的なClaimの設定を行いますが、実際には要件や
環境に応じて異なる値をClaimの設定を行う必要があります

43. 43
Tokenの設定
• [Add groups claim]をクリック
• [Secirotu groups]を選択

44. 44
API Permissions
• [API permissions]を選択し、[Add a permission]をクリック
• [Microsoft Graph]を選択

45. 45
API Permissions
• city, openid, profileを選択 • GroupMember.Read.Allを選択
• [Add permissions]をクリック

46. 46
API Permissions
• [Grant admin consent for …]をクリック
• [Yes]をクリック

47. 47
Client IDの取得
QSE SaaS側の設定の際に
この情報を利用します
QSE SaaS側の設定の際に
この情報を利用します
• [Overview]を選択して、[Application(client) ID]の値をメモして保存し、[Endpoints]をクリック
• [OpenID Connect metadata document]の値をメモして保存

48. 48
Qlik Sense Enterprise SaaSでの設定
• 管理コンソール上で、[IDプロバイダー] > [新規作成]を選択し、以下の形で入力して[作成]をクリック
メモした[OpenID Connect metadata
document]の値をを入力
[メール確認済みオーバーライド]をON
メモした[Application(client)
ID]の値を入力
メモした[Client secret]の値を
入力

49. 49
SFDCの設定

50. 50
SFDCのログイン
• 左記サイトから、トライアルの登録、ログイン
が可能
• SFDCを利用したQlik Sense
Enterprise SaaSの認証設定方法につい
ては以下のサイトも要参照
Qlik Sense Enterprise SaaS Configuration with Saleforce (SFDC)
https://www.youtube.com/watch?v=p2-a5D97y6U
https://developer.salesforce.com/ja/

51. 51
Applicationの作成
• [アプリケーションマネージャ]> [新規接続アプリケーション]を選択

52. 52
Applicationの作成
• 以下の形で設定
• [IDトークンを設定]をONにし、[標準要求を含
める]と[カスタム属性を含める]をON
• [保存]をクリック
OauthをONにして、コール
バックURLとOAuthの範囲
を指定

53. 53
Applicationの作成
• [次へ]をクリック
• [コンシューマ鍵]の[コピー]をクリックしてメモに保存
• [コンシューマの秘密]の[クリックして公開]をクリックし、
[Copy]をクリックしてメモに保存
QSE SaaS側の設定の際に
この情報を利用します
QSE SaaS側の設定の際に
この情報を利用します

54. 54
カスタム属性の追加
• [カスタム属性]の[新規]クリック
• [キー]に「UserId」と入力して、[項目の挿入]をクリック
• [$User]>[ユーザーID]を選択して、[挿入]をクリック
• [保存]をクリック
※ ここでは標準的なClaimの設定を行いますが、実際には要件や
環境に応じて異なる値をClaimの設定を行う必要があります

55. 55
カスタム属性の追加
• 同様の手順で「Groups」と「DisplayName」を以下の形で追加
• 上記の３つの属性が追加されたことを確認
※ ここでは標準的なClaimの設定を行いますが、実際には要件や
環境に応じて異なる値をClaimの設定を行う必要があります

56. 56
プロファイルの設定
• [プロファイル]> [新規プロファイル]を選択
• 既存のプロファイルを選択し、[プロファイル名]を入力して[保存]をクリック
• 作成したプロファイルを開いて[編集]をクリック
• 先ほど作成したアプリケーションへのアクセスをON
※ ここでは新規のプロファイルを作成していますが、既存プロファイ
ルでQlik Sense SaaSへのアプリケーションのアクセスを許可するこ
とも可能です。

57. 57
ユーザーの追加
• ユーザー情報を入力し、[プロファイル]に先ほど作成したプロファイルを選択し
て[保存]をクリック
• [ユーザー]> [新規ユーザー]を選択

58. 58
Qlik Sense Enterprise SaaSでの設定
• 管理コンソール上で、[IDプロバイダー] > [新規作成]を選択し、以下の形で入力して[作成]をクリック
以下のいずれかを入力
https://組織のURL/.well-
known/openid-configuration
https://login.salesforce.com/.well-
known/openid-configuration
https://test.salesforce.com/.well-
known/openid-configuration
メモした[コンシューマ鍵]の値をを入力
メモした[コンシューマの秘密]の値をを入力
「/custom_attiributes/属性名」の
形式で追加したカスタム属性を入力
ログオン後のリダイレクトURLに
「https://組織のURL
/services/auth/rp/oi.my.sale
sforce.comdc/logout」を入力

59. 59
認証方法の補足

60. 60
JWTを使った認証
Create Signed Tokens for JWT Authorization
https://qlik.dev/tutorials/create-signed-tokens-for-jwt-
authorization
JWTを使ったサンプル認証サイト(sportal)
https://github.com/eapowertools/sportal/wiki/Getting-
Started
• JWTを使ったカスタムの外部認証ウェブサイトをプログラム
で実装することが可能
• 2021年1月時点では既定では無効化された機能となっ
ています。ご利用頂くにはQlik社員にご連絡ください。
• 詳細は以下のサイトをご参照ください

61. 61
その他の情報

62. 62
各種情報のご提供
QlikSpace Qlik Community Japan
Youtube – Qlik Japan Qlik Partner Portal
製品最新情報、イベント情報、チュートリアル、サンプルアプリ 製品・技術Q&A、製品関連資料
新製品リリースの説明ムービーなど 製品プレゼンテーション資料など（PPT)

63. 63
デモアプリの公開サイト：Qlik Showcase
『Qlik Showcase』はユーザー登録を行って頂くことで、公開された数多くのQlik Sense及びQlikViewの日本語版
デモアプリをご自由に試して利用頂くためのパブリックサイト
2020年11月のサイト公開時点
で100個以上のアプリを公開

64. 64
Qlik Showcaseへのアクセス方法
前頁のURLを直接入力頂くか、以下の流れでアクセスが可能です
① 「qlik space」で検索して公認ブログサイトへアクセス ② ページトップの「Qlik Showcaseの利用」をクリック
③ Qlik Showcaseへの
リンクをクリック
Qlik Showcase URL: https://qtjsc.ap.qlikcloud.com/

65. 65
Qlik Senseの書籍ご紹介
Qlik Sense ユーザーのためのデータ分析実践バイブル
■仕様等
・判型：B5 変 ・総ページ数：500ページ程度
・予価本体：4,200円 (+税)
・刊行日：2020年9月
• QlikSpaceの記事をベースに、書籍用に大幅にカスタマイズ＆加筆
• 1 冊でQlik Sence の基本をマスターし（＝基本編）、ニーズの高い
分析例（＝応用編）をできるだけ丁寧に紹介

66. 66
今後のQlik Tech Talkの予定
https://techplay.jp/community/qlik

67. 67
Qlikのイベントコミュニティのフォローをお願いします
イベントの最新情報をお届けしま
すので、Qlikのイベントコミュニ
ティを是非フォローください。
TECH PLAYのQlikコミュニティサイト:
https://techplay.jp/community/qlik