重要
このページは英語版のページを機械翻訳しています。原文はこちらからご覧ください。

TiDBダッシュボードのSSOを構成する

TiDBダッシュボードは、 OIDCベースのシングルサインオン(SSO)をサポートします。 TiDBダッシュボードのSSO機能を有効にすると、構成済みのSSOサービスがサインイン認証に使用され、SQLユーザーパスワードを入力せずにTiDBダッシュボードにアクセスできるようになります。

OIDCSSOを構成する

SSOを有効にする

  1. TiDBダッシュボードにサインインします。

  2. 左側のサイドバーのユーザー名をクリックして、構成ページにアクセスします。

  3. [シングルサインオン]セクションで、[ TiDBダッシュボードにサインインするときにSSOを使用するに[有効にする]]を選択します。

  4. フォームのOIDCクライアントIDフィールドとOIDCディスカバリーURLフィールドに入力します。

    通常、SSOサービスプロバイダーから2つのフィールドを取得できます。

    • OIDCクライアントIDは、OIDCトークン発行者とも呼ばれます。
    • OIDCディスカバリURLは、OIDCトークンオーディエンスとも呼ばれます。
  5. [**偽装の承認]**をクリックして、SQLパスワードを入力します。

    TiDBダッシュボードはこのSQLパスワードを保存し、SSOサインインが完了した後、これを使用して通常のSQLサインインになりすます。

    Sample Step

    ノート:

    入力したパスワードは暗号化されて保存されます。 SQLユーザーのパスワードが変更された後、SSOサインインは失敗します。この場合、パスワードを再入力してSSOを元に戻すことができます。

  6. [**承認して保存]を**クリックします。

    Sample Step

  7. [更新(更新)]をクリックして、構成を保存します。

    Sample Step

これで、TiDBダッシュボードでSSOサインインが有効になりました。

ノート:

セキュリティ上の理由から、一部のSSOサービスでは、信頼できるサインインおよびサインアウトURIなど、SSOサービスの追加構成が必要です。詳細については、SSOサービスのドキュメントを参照してください。

SSOを無効にする

SSOを無効にすると、保存されているSQLパスワードが完全に消去されます。

  1. TiDBダッシュボードにサインインします。

  2. 左側のサイドバーのユーザー名をクリックして、構成ページにアクセスします。

  3. [シングルサインオン]セクションで、 [TiDBダッシュボードにサインインするときにSSOを使用するには[有効にする]]の選択を解除します。

  4. [更新(更新)]をクリックして、構成を保存します。

    Sample Step

パスワード変更後、パスワードを再入力してください

SQLユーザーのパスワードが変更されると、SSOサインインは失敗します。この場合、SQLパスワードを再入力することにより、SSOサインインを元に戻すことができます。

  1. TiDBダッシュボードにサインインします。

  2. 左側のサイドバーのユーザー名をクリックして、構成ページにアクセスします。

  3. [シングルサインオン]セクションで、[偽装の承認]をクリックし、更新されたSQLパスワードを入力します。

    Sample Step

  4. [**承認して保存]を**クリックします。

SSO経由でサインイン

TiDBダッシュボード用にSSOを構成したら、次の手順を実行してSSO経由でサインインできます。

  1. TiDBダッシュボードのサインインページで、[会社のアカウントからサインイン]をクリックします。

    Sample Step

  2. SSOサービスが構成された状態でシステムにサインインします。

  3. サインインを完了するために、TiDBダッシュボードにリダイレクトされます。

例1:TiDBダッシュボードのSSOサインインにOktaを使用する

オクタはOIDCSSOIDサービスであり、TiDBダッシュボードのSSO機能と互換性があります。以下の手順は、OktaをTiDBダッシュボードSSOプロバイダーとして使用できるようにOktaとTiDBダッシュボードを構成する方法を示しています。

ステップ1:Oktaを構成する

まず、SSOを統合するためのOktaアプリケーション統合を作成します。

  1. Okta管理サイトにアクセスします。

  2. 左側のサイドバーから[アプリケーション]>[アプリケーション]に移動します。

  3. [**アプリ統合の作成]**をクリックします。

    Sample Step

  4. ポップアップダイアログで、[ **OIDC]-[OpenID ConnectinSign** -inメソッド]を選択します。

  5. アプリケーションタイプシングルページアプリケーションを選択します。

  6. [次へ]ボタンをクリックします。

    Sample Step

  7. サインインリダイレクトURIを次のように入力します。

    http://DASHBOARD_IP:PORT/dashboard/?sso_callback=1
    

    DASHBOARD_IP:PORTを、ブラウザでTiDBダッシュボードにアクセスするために使用する実際のドメイン(またはIPアドレス)とポートに置き換えます。

  8. サインアウトリダイレクトURIを次のように入力します。

    http://DASHBOARD_IP:PORT/dashboard/
    

    同様に、 DASHBOARD_IP:PORTを実際のドメイン(またはIPアドレス)とポートに置き換えます。

    Sample Step

  9. 組織内のどのタイプのユーザーにSSOサインインを許可するかを[割り当て]フィールドで構成し、[保存]をクリックして構成を保存します。

    Sample Step

ステップ2:OIDC情報を取得し、TiDBダッシュボードに入力します

  1. Oktaで作成したばかりのアプリケーション統合で、[サインオン]をクリックします。

    Sample Step 1

  2. OpenID ConnectIDTokenセクションからIssuerフィールドとAudienceフィールドの値をコピーします。

    Sample Step 2

  3. TiDBダッシュボード構成ページを開き、最後の手順で取得した発行者OIDCクライアントIDに入力し、 OIDCディスカバリーURLオーディエンスを入力します。次に、認証を終了し、構成を保存します。例えば:

    Sample Step 3

これで、TiDBダッシュボードはサインインにOktaSSOを使用するように構成されました。

例2:TiDBダッシュボードのSSOサインインにAuth0を使用する

Oktaと同様に、 Auth0もOIDCSSOIDサービスを提供します。次の手順では、Auth0をTiDBダッシュボードSSOプロバイダーとして使用できるようにAuth0とTiDBダッシュボードを構成する方法について説明します。

ステップ1:Auth0を構成する

  1. Auth0管理サイトにアクセスします。

  2. 左側のサイドバー[アプリケーション]>[アプリケーション]に移動します。

  3. [**アプリ統合の作成]**をクリックします。

    Create Application

    ポップアップダイアログで、「名前」(「TiDBダッシュボード」など)を入力します。アプリケーションタイプの選択でシングルページWebアプリケーションを選択します。 [作成]をクリックします。

  4. [**設定]**をクリックします。

    Settings

  5. 許可されたコールバックURLを次のように入力します。

    http://DASHBOARD_IP:PORT/dashboard/?sso_callback=1
    

    DASHBOARD_IP:PORTを、ブラウザでTiDBダッシュボードにアクセスするために使用する実際のドメイン(またはIPアドレス)とポートに置き換えます。

  6. 許可されたログアウトURLを次のように入力します。

    http://DASHBOARD_IP:PORT/dashboard/
    

    同様に、 DASHBOARD_IP:PORTを実際のドメイン(またはIPアドレス)とポートに置き換えます。

    Settings

  7. 他の設定のデフォルト値を保持し、[変更を保存]をクリックします。

ステップ2:OIDC情報を取得し、TiDBダッシュボードに入力します

  1. Auth0の[設定]タブの[基本情報]に、TiDBダッシュボードのOIDCクライアントIDクライアントIDを入力します。

  2. OIDC Discovery URLに、プレフィックスhttps://とサフィックス/ドメインフィールド値を入力します(例: https://example.us.auth0.com/ )。承認を完了し、構成を保存します。

    Settings

これで、TiDBダッシュボードはサインインにAuth0SSOを使用するように構成されました。

例3:TiDBダッシュボードのSSOサインインにCasdoorを使用する

キャスドアは、独自のホストに展開できるオープンソースのSSOプラットフォームです。 TiDBダッシュボードのSSO機能と互換性があります。次の手順では、CasdoorをTiDBダッシュボードSSOプロバイダーとして使用できるようにCasdoorとTiDBダッシュボードを構成する方法について説明します。

ステップ1:Casdoorを構成する

  1. Casdoor管理サイトをデプロイしてアクセスします。

  2. 上部のサイドバーアプリケーションから移動します。

  3. [**アプリケーション]-[追加]を**クリックします。 Settings

  4. 塗りつぶし表示名TiDBダッシュボードなど)。

  5. 次のようにリダイレクトURLを追加します。

    http://DASHBOARD_IP:PORT/dashboard/?sso_callback=1
    

    DASHBOARD_IP:PORTを、ブラウザでTiDBダッシュボードにアクセスするために使用する実際のドメイン(またはIPアドレス)とポートに置き換えます。

    Settings

  6. 他の設定のデフォルト値を保持し、[保存して終了]をクリックします。

  7. ページに表示されているクライアントIDを保存します。

ステップ2:OIDC情報を取得し、TiDBダッシュボードに入力します

  1. TiDBダッシュボードのOIDCクライアントIDに、前の手順で保存したクライアントIDを入力します。

  2. OIDC Discovery URLに、プレフィックスhttps://とサフィックス/ドメインフィールド値を入力します(例: https://casdoor.example.com/ )。承認を完了し、構成を保存します。

    Settings

これで、TiDBダッシュボードはサインインにCasdoorSSOを使用するように構成されました。