#概要
Cognos Analytics 11.0.7の新機能として、OpenIDとSAMLへの対応があります。
以下の英語の記事に記載がありますが、以降に記事を読んで理解した内容を記載します。
Administration – OpenID Connect is available in #Cognos Analytics 11.0.7
https://www.ibm.com/communities/analytics/cognos-analytics-blog/administration-openid-connect-is-available-in-cognos-analytics-11-0-7/
#内容
Cognos Analytics 11.0.7では、以下の7種のOpenID ConnectのIdentity Provider(IDP)をサポートするようになりました。
・Active Directory Federation Service
・Azure AD
・Google
・IBMiD
・Okta
・Ping
・SalesForce
Cognos Analyticsは、オンプレで動作していても、クラウドで動作していても、OpenIDでの認証が可能です。
Cognos AnalyticsでOpenIDを使用するためには、Cognos Configurationのネームスペースの追加時に、以下のようにType(Group)で「OpenID Connect」を指定し、TypeでOpenIDのIPDを指定します。
OpenIDのIPDとの接続のために、「Namespace ID」、「Discovery Endpoint」、「Client Identifer」、「OpenID Connect client secret」、「Return URL」を指定します。
Return URLは、OpenIDでの認証後の戻り先、つまりCognos AnalyticsのURLを指定します。
Gatewayを立てていればGatewayのURL、立ててなければDispatcherのURLを指定します。
ロードバランサーの配下にCognos Analyticsがある環境の場合、ロードバランサーのDNSを指定する必要があります。
最後に、OIDC root Certificate AuthorityをCognos AnalyticsのKeystoreにインポートしてセットアップは完了です。
OpenIDのIPDがSSOや二要素認証をサポートしている場合、Cognos Analyticsでもそれぞれのメリットが享受できます。
もし、IDPがOpenIDをサポートしていないが、SAML2をサポートしている場合、先のネームスペースのセットアップ手順で、IBMidタイプを指定して、IBMidチームにSAML2のIDPの接続先を指定しておくことで、Cognos Analytics認証時にIBMidの認証画面が呼び出され、メールアドレスを入力すると自社のSAML2のIDPの認証画面にリダイレクトされ、SAML2 IDPで認証が行える、という使い方ができるようです。
なかなか難しい話ですね。
実際にどこかの環境でやってみたら、またフィードバックします。
#追加情報
Cognos Analytics 11.0.10で、IDPにOKTAを使用し、Active Directoryと連携させる場合の具体的な設定内容の記事が公開されています。
実際に構築される方は、是非ご一読頂けると良いと思います。
Administration: How to setup #Cognos Analytics OpenID Authentication Proxy federating with Active Directory and LDAP over AD
https://community.ibm.com/community/user/businessanalytics/blogs/antonio-marziano/2018/06/04/administration-how-to-setup-cognos-analytics-openid-authentication-proxy-federating-with-active-directory-and-ldap-over-ad
