TiDB ダッシュボードの SSO を構成する

TiDB ダッシュボードは、 OIDCベースのシングル サインオン (SSO) をサポートしています。 TiDB ダッシュボードの SSO 機能を有効にすると、構成された SSO サービスがサインイン認証に使用され、SQL ユーザー パスワードを入力せずに TiDB ダッシュボードにアクセスできるようになります。

OIDC SSO の構成

SSO を有効にする

  1. TiDB ダッシュボードにサインインします。

  2. 左側のサイドバーでユーザー名をクリックして、構成ページにアクセスします。

  3. [シングル サインオン] セクションで、[有効にする] を選択して、TiDB ダッシュボードにサインインするときに SSO を使用します

  4. フォームのOIDC クライアント IDOIDC 検出 URLフィールドに入力します。

    通常、SSO サービス プロバイダーから次の 2 つのフィールドを取得できます。

    • OIDC クライアント ID は、OIDC トークン発行者とも呼ばれます。
    • OIDC Discovery URL は、OIDC Token Audience とも呼ばれます。
  5. Authorize Impersonationをクリックし、SQL パスワードを入力します。

    TiDB ダッシュボードはこの SQL パスワードを保存し、SSO サインインが完了した後に通常の SQL サインインを偽装するために使用します。

    Sample Step

    ノート:

    入力したパスワードは暗号化されて保存されます。 SQL ユーザーのパスワードが変更されると、SSO サインインは失敗します。この場合、パスワードを再入力して SSO を元に戻すことができます。

  6. [**認証して保存] を**クリックします。

    Sample Step

  7. 更新(更新) をクリックして構成を保存します。

    Sample Step

これで、TiDB ダッシュボードで SSO サインインが有効になりました。

ノート:

セキュリティ上の理由から、一部の SSO サービスでは、信頼できるサインイン URI やサインアウト URI など、SSO サービスの追加構成が必要です。詳細については、SSO サービスのドキュメントを参照してください。

SSO を無効にする

SSO を無効にすると、保存されている SQL パスワードが完全に消去されます。

  1. TiDB ダッシュボードにサインインします。

  2. 左側のサイドバーでユーザー名をクリックして、構成ページにアクセスします。

  3. [シングル サインオン] セクションで、 [TiDB ダッシュボードにサインインするときに SSO を使用するには有効にする]の選択を解除します。

  4. 更新(更新) をクリックして構成を保存します。

    Sample Step

パスワード変更後のパスワード再入力

SQL ユーザーのパスワードが変更されると、SSO サインインは失敗します。この場合、SQL パスワードを再入力することで、SSO サインインを元に戻すことができます。

  1. TiDB ダッシュボードにサインインします。

  2. 左側のサイドバーでユーザー名をクリックして、構成ページにアクセスします。

  3. [ Single Sign-On ] セクションで、[ Authorize Impersonation]をクリックし、更新された SQL パスワードを入力します。

    Sample Step

  4. [**認証して保存] を**クリックします。

SSO 経由でサインインする

SSO が TiDB ダッシュボード用に構成されたら、次の手順を実行して SSO 経由でサインインできます。

  1. TiDB ダッシュボードのサインイン ページで、 [ Sign in via Company Account ] をクリックします。

    Sample Step

  2. SSO サービスが構成されたシステムにサインインします。

  3. サインインを完了するために、TiDB ダッシュボードにリダイレクトされます。

例 1: TiDB ダッシュボードの SSO サインインに Okta を使用する

オクタは、TiDB ダッシュボードの SSO 機能と互換性のある OIDC SSO ID サービスです。以下の手順は、Okta を TiDB ダッシュボード SSO プロバイダーとして使用できるように、Okta と TiDB ダッシュボードを構成する方法を示しています。

ステップ 1: Okta を構成する

まず、Okta アプリケーション統合を作成して SSO を統合します。

  1. Okta 管理サイトにアクセスします。

  2. 左側のサイドバーから [アプリケーション] > [アプリケーション] に移動します。

  3. [**アプリ統合の作成]**をクリックします。

    Sample Step

  4. ポップアップしたダイアログで、 OIDC - OpenID Connect in Sign-in methodを選択します。

  5. Application TypeSingle-Page Applicationを選択します。

  6. [次へ] ボタンをクリックします。

    Sample Step

  7. サインイン リダイレクト URIを次のように入力します。

    http://DASHBOARD_IP:PORT/dashboard/?sso_callback=1
    

    DASHBOARD_IP:PORTを、ブラウザーで TiDB ダッシュボードにアクセスするために使用する実際のドメイン (または IP アドレス) とポートに置き換えます。

  8. サインアウト リダイレクト URIを次のように入力します。

    http://DASHBOARD_IP:PORT/dashboard/
    

    同様に、 DASHBOARD_IP:PORTを実際のドメイン (または IP アドレス) とポートに置き換えます。

    Sample Step

  9. [割り当て] フィールドで SSO サインインを許可する組織内のユーザーのタイプを構成し、[保存] をクリックして構成を保存します。

    Sample Step

ステップ 2: OIDC 情報を取得し、TiDB ダッシュボードに入力する

  1. Okta で作成した Application Integration で、 Sign Onをクリックします。

    Sample Step 1

  2. OpenID Connect ID TokenセクションからIssuerフィールドとAudienceフィールドの値をコピーします。

    Sample Step 2

  3. TiDB ダッシュボードの構成ページを開き、 OIDC クライアント IDに最後の手順で取得した発行者を入力し、 OIDC 検出 URLAudienceを入力します。次に、承認を完了し、構成を保存します。例えば:

    Sample Step 3

これで、サインインに Okta SSO を使用するように TiDB ダッシュボードが構成されました。

例 2: TiDB ダッシュボードの SSO サインインに Auth0 を使用する

Okta と同様に、 Auth0も OIDC SSO ID サービスを提供します。次の手順では、Auth0 を TiDB ダッシュボード SSO プロバイダーとして使用できるように、Auth0 と TiDB ダッシュボードを構成する方法について説明します。

ステップ 1: Auth0 を構成する

  1. Auth0 管理サイトにアクセスします。

  2. 左側のサイドバーの [アプリケーション] > [アプリケーション] に移動します。

  3. [**アプリ統合の作成]**をクリックします。

    Create Application

    ポップアップしたダイアログで、「TiDB ダッシュボード」などの名前を入力します。 Choose an application typeSingle Page Web Applicationsを選択します。 [作成]をクリックします。

  4. [**設定]**をクリックします。

    Settings

  5. 許可されたコールバック URLを次のように入力します。

    http://DASHBOARD_IP:PORT/dashboard/?sso_callback=1
    

    DASHBOARD_IP:PORTを、ブラウザで TiDB ダッシュボードにアクセスするために使用する実際のドメイン (または IP アドレス) とポートに置き換えます。

  6. 許可されたログアウト URLを次のように入力します。

    http://DASHBOARD_IP:PORT/dashboard/
    

    同様に、 DASHBOARD_IP:PORTを実際のドメイン (または IP アドレス) とポートに置き換えます。

    Settings

  7. その他の設定はデフォルト値のままにして、[ Save Changes ] をクリックします。

ステップ 2: OIDC 情報を取得し、TiDB ダッシュボードに入力する

  1. TiDB ダッシュボードのOIDC クライアント IDに、Auth0 の[設定] タブの [基本情報] にあるクライアント IDを入力します。

  2. OIDC 検出 URLに、接頭辞https://と接尾辞/を付けたDomainフィールド値を入力します (例: https://example.us.auth0.com/ )。承認を完了し、構成を保存します。

    Settings

これで、サインインに Auth0 SSO を使用するように TiDB ダッシュボードが構成されました。

例 3: TiDB ダッシュボードの SSO サインインに Casdoor を使用する

カスドアは、独自のホストにデプロイできるオープンソースの SSO プラットフォームです。 TiDB ダッシュボードの SSO 機能と互換性があります。次の手順では、Casdoor を TiDB ダッシュボード SSO プロバイダーとして使用できるように Casdoor と TiDB ダッシュボードを構成する方法について説明します。

ステップ 1: Casdoor を構成する

  1. Casdoor 管理サイトをデプロイしてアクセスします。

  2. 上部のサイドバーアプリケーションから移動します。

  3. [**アプリケーション - 追加] を**クリックします。 Settings

  4. 名前表示名を入力します (例: TiDB Dashboard )。

  5. 次のようにリダイレクト URLを追加します。

    http://DASHBOARD_IP:PORT/dashboard/?sso_callback=1
    

    DASHBOARD_IP:PORTを、ブラウザで TiDB ダッシュボードにアクセスするために使用する実際のドメイン (または IP アドレス) とポートに置き換えます。

    Settings

  6. 他の設定はデフォルト値のままにして、[保存して終了] をクリックします。

  7. ページに表示されたクライアント IDを保存します。

ステップ 2: OIDC 情報を取得し、TiDB ダッシュボードに入力する

  1. TiDB ダッシュボードのOIDC クライアント IDに、前の手順で保存したクライアント IDを入力します。

  2. OIDC 検出 URLに、接頭辞https://と接尾辞/を付けたDomainフィールド値を入力します (例: https://casdoor.example.com/ )。承認を完了し、構成を保存します。

    Settings

これで、サインインに Casdoor SSO を使用するように TiDB ダッシュボードが構成されました。

エコシステム
TiDB
TiKV
TiSpark
Chaos Mesh
© 2022 PingCAP. All Rights Reserved.