SSO 接続
SSO 認証
| サービスプロバイダ | Okta | OneLogin | ADFS | AzureAD |
| Amazon S3 | Y | Y | Y | |
| Azure Blob Storage | ||||
| Azure Data Lake Store Gen1 | ||||
| Azure Data Lake Store Gen2 | ||||
| Azure Data Lake Store Gen2 with SSL | ||||
| Google Drive | ||||
| OneDrive | ||||
| Box | ||||
| Dropbox | ||||
| SharePoint Online SOAP | Y | Y | Y | |
| SharePoint Online REST | ||||
| Wasabi | ||||
| Google Cloud Storage | ||||
| Oracle Cloud Storage | ||||
| Azure File |
AzureAD
Azure AD の設定
この構成の背景にあるメインテーマはOAuth 2.0 On-Behalf-Of flow です。 これにはAzure AD アプリケーションが2つ必要です。
- 特定のサービスプロバイダーへのシングルサインオンプロセスに使用されるアプリケーション。
- Amazon S3: このアプリケーションを作成する方法については、こちらのlink詳しい手順を参照してください。接続をテストして、Azure AD からAWS コンソールにログイン可能であることを確認してください。
"Azure AD テストユーザーの割り当て" の手順は、ユーザーを割り当てる際にAWS ロールを選択できるように、プロビジョニング後まで保存しておきます。
- Amazon S3: このアプリケーションを作成する方法については、こちらのlink詳しい手順を参照してください。接続をテストして、Azure AD からAWS コンソールにログイン可能であることを確認してください。
- 前の手順で作成したSSO アプリケーションに対するuser_impersonation 権限を持つ「コネクタ」プリケーション。 [Azure Active Directory]->[アプリの登録]に進み、新しいアプリケーションを登録します。アプリケーションを登録したら、SSO アプリケーションへのAPI 呼び出しを許可する必要があります。 登録したアプリのAPI のアクセス許可セクションに移動して、[アクセス許可の追加]ボタンをクリックします。API 名またはアプリケーションId を指定してSSO アプリケーションのAPI を選択し、 user_impersonation アクセス許可を追加します。
CData ドライバーの共通プロパティ
次のSSOProperties がAzure Active Directory への認証に必要です。すべてのサービスプロバイダーに指定する必要があります。
- Resource:アプリ登録の概要セクションにリストされている、SSO アプリケーションのアプリケーションId URI。
- Tenant:アプリケーションが登録されているAzure AD テナントのId。この値はhere で確認できます。
OAuth 2.0 On-Behalf-Of フローからSSO SAML レスポンスを取得するので、次のOAuth 接続プロパティを指定する必要があります。
- OAuthClientId:アプリ登録の概要セクションにリストされている、コネクタアプリケーションのアプリケーションId。
- OAuthClientSecret:コネクタアプリケーションのクライアントシークレット値。新しいクライアントシークレットを作成すると、Azure AD にこれが表示されます(証明書 & シークレットのセクション)。
Amazon S3
Amazon S3 サービスプロバイダーに接続するときは、共通プロパティに加えて、次のプロパティを指定する必要があります。
- AuthScheme:AuthScheme をAzureAD に設定します。
- AWSRoleARN:IAM ロールのARN。IAM ロールの概要ページに示されています。
- AWSPrincipalARN:ID プロバイダーのARN。ID プロバイダーの概要ページに示されています。
AuthScheme=AzureAD;InitiateOAuth=GETANDREFRESH;OAuthClientId=d593a1d-ad89-4457-872d-8d7443aaa655;OauthClientSecret=g9-oy5D_rl9YEKfN-45~3Wm8FgVa2F;SSOProperties='Tenant=94be7-edb4-4fda-ab12-95bfc22b232f;Resource=https://signin.aws.amazon.com/saml;';AWSRoleARN=arn:aws:iam::2153385180:role/AWS_AzureAD;AWSPrincipalARN=arn:aws:iam::215515180:saml-provider/AzureAD;
OneLogin
OneLogin の設定
特定のプロバイダーへのシングルサインオン処理に使用するアプリケーションを、作成する必要があります。
- SharePoint SOAP: このアプリケーションを作成する方法については、こちらのlink詳しい手順を参照してください。接続をテストして、OneLogin からOffice 365 にログイン可能であることを確認してください。 アプリケーション内でWS-Trust を有効化してください。有効化されていない場合、CData ドライバーは接続できません。
SharePoint SOAP
以下のプロパティは、SharePoint SOAP サービスプロバイダーに接続する際には指定する必要があります。
- AuthScheme:AuthScheme をOneLogin に設定。
- User:OneLogin アカウントのユーザー名。
- Password:OneLogin アカウントのパスワード。
- SSOProperties:
- Domain(オプション):SSO のドメインで設定されたドメインがUser のドメインと異なる場合には、このプロパティを設定する必要がある場合があります。
AuthScheme='OneLogin';User=test;Password=test;SSOProperties='Domain=test.cdata;';
Okta
Okta の設定
特定のプロバイダーへのシングルサインオン処理に使用するアプリケーションを、作成する必要があります。
- SharePoint SOAP: このアプリケーションを作成してSSO を設定する方法については、こちらのlink詳しい手順を参照してください。接続をテストして、Okta からOffice 365 にログイン可能であることを確認してください。 アプリケーション内でWS-Federation を使用してSSO を設定してください。設定されていない場合、CData ドライバーは接続できません。
- Amazon S3: このアプリケーションを作成してSSO を設定する方法については、こちらのlink詳しい手順を参照してください。接続をテストして、Okta からAWS にログイン可能であることを確認してください。 アプリケーション内でSAML 2.0でSSO を設定してください。設定されていない場合、CData ドライバーは接続できません。 Okta アプリで割り当てられたAWS ロールが、接続するS3バケットにアクセスできることを確認します。
SharePoint SOAP
以下のプロパティは、SharePoint SOAP サービスプロバイダーに接続する際には指定する必要があります。
- AuthScheme:AuthScheme をOkta に設定。
- User:Okta アカウントのユーザー名。
- Password:Okta アカウントのパスワード。
- SSOProperties:
- Domain(オプション):SSO のドメインで設定されたドメインがUser のドメインと異なる場合には、このプロパティを設定する必要がある場合があります。
AuthScheme='Okta';User=test;Password=test;SSOProperties='Domain=test.cdata;';
Amazon S3
以下のプロパティは、Amazon S3サービスプロバイダーに接続する際には指定する必要があります。
- AuthScheme:AuthScheme をOkta に設定。
- User:Okta アカウントのユーザー名。
- Password:Okta アカウントのパスワード。
- SSOLoginURL:AWS Okta SSO アプリの埋め込みURL に設定。
- AWSRoleARN(オプション):IAM ロールのARN。IAM ロールの概要ページに示されています。
- AWSPrincipalARN(オプション):ID プロバイダーのARN。ID プロバイダーの概要ページに示されています。
- SSOProperties:
- APIToken(オプション):顧客がOkta 組織で作成したAPI Token に設定。Okta クライアントリクエストコンテキストをオーバーライドする、信頼されたアプリケーションまたはプロキシ経由でユーザーを認証する場合に使用してください。
AuthScheme=Okta;User=OktaUser;Password=OktaPassword;SSOLoginURL='https://{subdomain}.okta.com/home/amazon_aws/0oan2hZLgQiy5d6/272';
ADFS
ADFS の設定
特定のプロバイダーへのシングルサインオン処理に使用するアプリケーションを、作成する必要があります。
- SharePoint SOAP: Office 365 のシングルサインオン用にADFS を設定するには、こちらのlink詳しい手順を参照してください。接続をテストして、ADFS からOffice 365 にログイン可能であることを確認してください。
- Amazon S3: AWS のシングルサインオン用にADFS を設定するには、こちらのlink詳しい手順を参照してください。接続をテストして、ADFS からAWS にログイン可能であることを確認してください。
SharePoint SOAP
以下のプロパティは、SharePoint SOAP サービスプロバイダーに接続する際には指定する必要があります。
- AuthScheme:AuthScheme をADFS に設定。
- User:ADFS アカウントのユーザー名。
- Password:ADFS アカウントのパスワード。
- SSOProperties:
- Domain(オプション):SSO のドメインで設定されたドメインがUser のドメインと異なる場合には、このプロパティを設定する必要がある場合があります。
AuthScheme='ADFS';User=test;Password=test;SSOProperties='Domain=test.cdata;';
Amazon S3
以下のプロパティは、SharePoint SOAP サービスプロバイダーに接続する際には指定する必要があります。
- AuthScheme:AuthScheme をADFS に設定。
- SSOLoginURL:ADFS インスタンスのURL に設定。
- User:ADFS アカウントのユーザー名。
- Password:ADFS アカウントのパスワード。
- AWSRoleARN(オプション):IAM ロールのARN。IAM ロールの概要ページに示されています。
- AWSPrincipalARN(オプション):ID プロバイダーのARN。ID プロバイダーの概要ページに示されています。
AuthScheme=ADFS;User=username;Password=password;SSOLoginURL='https://sts.company.com';ADFS 統合
ADFS 統合フローでは、現在ログインしているWindows ユーザーの資格情報で接続します。 ADFS 統合フローを使用するには、User およびPassword を指定せず、それ以外の設定は上記のADFS ガイドと同じステップを実行してください。