組織のSSO認証
シングル サインオン (SSO) は、TiDB Cloud 組織のメンバーが電子メール アドレスとパスワードの代わりに ID プロバイダー (IdP) の ID を使用してTiDB Cloudにログインできるようにする認証スキームです。
TiDB Cloud は、次の 2 種類の SSO 認証をサポートしています。
標準SSO : メンバーはGitHub、Google、またはMicrosoftの認証方法を使用してTiDB Cloudコンソールにログインできます。TiDB TiDB Cloudのすべての組織では、標準SSOがデフォルトで有効になっています。
Cloud Organization SSO: メンバーは、組織で指定された認証方法を使用して、 TiDB Cloudのカスタムログインページにログインできます。Cloud Organization SSO はデフォルトで無効になっています。
標準のSSOと比較して、Cloud Organization SSOはより柔軟でカスタマイズ性に優れているため、組織のセキュリティとコンプライアンス要件をより適切に満たすことができます。例えば、ログインページに表示される認証方法を指定したり、ログインに使用できるメールアドレスドメインを制限したり、メンバーがOpenIDコネクト(OIDC)またはSecurityアサーションマークアップ言語(SAML)アイデンティティプロトコルを使用するIDプロバイダ(IdP)を使用してTiDB Cloudにログインできるようにしたりできます。
このドキュメントでは、組織の認証スキームを標準 SSO から Cloud Organization SSO に移行する方法について説明します。
注記:
Cloud Organization SSO 機能は有料組織でのみご利用いただけます。
始める前に
Cloud Organization SSO に移行する前に、組織についてこのセクションの項目を確認してください。
注記:
- Cloud Organization SSO を有効にすると、無効にすることはできません。
- Cloud Organization SSOを有効にするには、 TiDB Cloud組織の
Organization Owner
ロールに属している必要があります。ロールの詳細については、 ユーザーロールご覧ください。
組織のTiDB Cloudログインページのカスタム URL を決定します
Cloud Organization SSO が有効になっている場合、メンバーはTiDB Cloudにログインするために、パブリック ログイン URL ( https://tidbcloud.com
) ではなくカスタム URL を使用する必要があります。
カスタム URL は有効化後に変更することはできないため、事前に使用する URL を決定する必要があります。
カスタム URL の形式はhttps://tidbcloud.com/enterprise/signin/your-company-name
で、会社名をカスタマイズできます。
組織メンバーの認証方法を決定する
TiDB Cloud は、組織 SSO に次の認証方法を提供します。
- ユーザー名とパスワード
- グーグル
- GitHub
- マイクロソフト
- OIDC
- サムエル
Cloud Organization SSO を有効にすると、最初の 4 つの認証方法がデフォルトで有効になります。組織で SSO の使用を強制したい場合は、ユーザー名とパスワードによる認証方法を無効にできます。
有効になっているすべての認証方法はカスタムTiDB Cloudログイン ページに表示されるため、事前に有効または無効にする認証方法を決定する必要があります。
自動プロビジョニングを有効にするかどうかを決定する
自動プロビジョニングは、 Organization Owner
またはProject Owner
からの招待を必要とせずにメンバーが組織に自動的に参加できるようにする機能です。TiDB TiDB Cloudでは、サポートされているすべての認証方法でデフォルトで無効になっています。
- 認証方法の自動プロビジョニングが無効になっている場合、
Organization Owner
またはProject Owner
によって招待されたユーザーのみがカスタム URL にログインできます。 - 認証方法の自動プロビジョニングを有効にすると、その認証方法を使用するすべてのユーザーがカスタムURLにログインできるようになります。ログイン後、組織内のデフォルトのメンバーロールが自動的に割り当てられます。
セキュリティ上の理由から、自動プロビジョニングを有効にする場合は、 認証方法の詳細を設定するときに認証に許可される電子メール ドメインを制限することをお勧めします。
Cloud Organization SSO 移行計画についてメンバーに通知する
Cloud Organization SSO を有効にする前に、次の点についてメンバーに必ず通知してください。
- TiDB CloudのカスタムログインURL
- ログインに
https://tidbcloud.com
代わりにカスタムログインURLを使い始める時間 - 利用可能な認証方法
- カスタム URL にログインするためにメンバーに招待が必要かどうか
ステップ1. クラウド組織のSSOを有効にする
Cloud Organization SSO を有効にするには、次の手順を実行します。
Organization Owner
ロールを持つユーザーとしてTiDB Cloudコンソールにログインし、左上隅のコンボ ボックスを使用してターゲット組織に切り替えます。左側のナビゲーション ペインで、 [組織設定] > [認証]をクリックします。
[認証]ページで、 [有効にする]をクリックします。
ダイアログで、組織のカスタム URL を入力します。この URL はTiDB Cloud内で一意である必要があります。
注記:
Cloud Organization SSO を有効にすると、URL を変更できなくなります。組織のメンバーは、カスタム URL を使用してのみTiDB Cloudにログインできるようになります。後で設定済みの URL を変更する必要がある場合は、 TiDB Cloudサポートお問い合わせください。
[理解して確認します]チェックボックスをクリックし、 [有効にする]をクリックします。
注記:
ダイアログに、Cloud Organization SSO に再招待して再参加する必要があるユーザーのリストが含まれている場合、Cloud Organization SSO を有効にすると、 TiDB Cloud はこれらのユーザーに招待メールを自動的に送信します。招待メールを受け取った後、各ユーザーはメール内のリンクをクリックして本人確認を行う必要があり、その後、カスタムログインページが表示されます。
ステップ2. 認証方法を構成する
TiDB Cloudで認証方法を有効にすると、その方法を使用するメンバーはカスタム URL を使用してTiDB Cloudにログインできるようになります。
ユーザー名とパスワード、Google、GitHub、またはMicrosoftの認証方法を設定します
Cloud Organization Cloud を有効にした後、次のようにユーザー名とパスワード、Google、GitHub、または Microsoft の認証方法を構成できます。
「組織設定」ページで、必要に応じて Google、GitHub、または Microsoft の認証方法を有効または無効にします。
有効な認証方法の場合は、 メソッドの詳細を設定します。
メソッドの詳細では、以下を設定できます。
デフォルトでは無効になっています。必要に応じて有効にすることができます。セキュリティ上の理由から、自動プロビジョニングを有効にする場合は、認証に許可するメールドメインを制限することをお勧めします。
許可されたメールドメイン
このフィールドを設定すると、この認証方法で指定されたメールドメインのユーザーのみが、カスタムURLを使用してTiDB Cloudにログインできるようになります。ドメイン名を入力する際は、
@
記号を除外し、カンマで区切る必要があります。例:company1.com,company2.com
注記:
電子メール ドメインを構成している場合は、設定を保存する前に、 TiDB Cloudによってロックアウトされないように、現在ログインに使用している電子メール ドメインを必ず追加してください。
[保存]をクリックします。
OIDC認証方式を設定する
OIDC ID プロトコルを使用する ID プロバイダーがある場合は、 TiDB Cloudログインに OIDC 認証方法を有効にすることができます。
TiDB Cloudでは、OIDC認証方式はデフォルトで無効になっています。Cloud Organization Cloudを有効にした後、以下の手順でOIDC認証方式を有効にして設定できます。
TiDB Cloud Organization SSO の ID プロバイダーから次の情報を取得します。
- 発行者URL
- クライアントID
- クライアントシークレット
組織設定ページで認証タブをクリックし、認証方法領域でOIDCの行を見つけてクリックします。 OIDC メソッドの詳細を表示します。
メソッドの詳細では、以下を設定できます。
名前
カスタム ログイン ページに表示される OIDC 認証方法の名前を指定します。
発行者 URL 、クライアント ID 、クライアント シークレット
IdP から取得した対応する値を貼り付けます。
デフォルトでは無効になっています。必要に応じて有効にすることができます。セキュリティ上の理由から、自動プロビジョニングを有効にする場合は、認証に許可するメールドメインを制限することをお勧めします。
許可されたメールドメイン
このフィールドを設定すると、この認証方法で指定されたメールドメインのユーザーのみが、カスタムURLを使用してTiDB Cloudにログインできるようになります。ドメイン名を入力する際は、
@
記号を除外し、カンマで区切る必要があります。例:company1.com,company2.com
注記:
電子メール ドメインを構成している場合は、設定を保存する前に、 TiDB Cloudによってロックアウトされないように、現在ログインに使用している電子メール ドメインを必ず追加してください。
[保存]をクリックします。
SAML認証方法を設定する
SAML ID プロトコルを使用する ID プロバイダーがある場合は、 TiDB Cloudログインに SAML 認証方法を有効にすることができます。
注記:
TiDB Cloudは、メールアドレスをユーザー固有の識別子として使用します。そのため、組織メンバーの
TiDB Cloudでは、SAML認証方式はデフォルトで無効になっています。Cloud Organization Cloudを有効にした後、以下の手順でSAML認証方式を有効にして設定できます。
TiDB Cloud Organization SSO の ID プロバイダーから次の情報を取得します。
- サインオンURL
- 署名証明書
組織設定ページで、左側のナビゲーションペインの認証タブをクリックし、認証方法領域でSAMLの行を見つけてクリックします。 SAML メソッドの詳細を表示します。
メソッドの詳細では、以下を設定できます。
名前
カスタム ログイン ページに表示される SAML 認証方法の名前を指定します。
サインオンURL
IdP から取得した URL を貼り付けます。
署名証明書
開始行
---begin certificate---
と終了行---end certificate---
を含む、IdP からの署名証明書全体を貼り付けます。デフォルトでは無効になっています。必要に応じて有効にすることができます。セキュリティ上の理由から、自動プロビジョニングを有効にする場合は、認証に許可するメールドメインを制限することをお勧めします。
許可されたメールドメイン
このフィールドを設定すると、この認証方法で指定されたメールドメインのユーザーのみが、カスタムURLを使用してTiDB Cloudにログインできるようになります。ドメイン名を入力する際は、
@
記号を除外し、カンマで区切る必要があります。例:company1.com,company2.com
注記:
電子メール ドメインを構成している場合は、設定を保存する前に、 TiDB Cloudによってロックアウトされないように、現在ログインに使用している電子メール ドメインを必ず追加してください。
SCIM プロビジョニングアカウント
デフォルトでは無効になっています。TiDB TiDB Cloud組織のユーザーとグループのプロビジョニング、デプロビジョニング、およびID管理をIDプロバイダから一元化・自動化したい場合は、有効にすることができます。詳細な設定手順については、 SCIMプロビジョニングを構成するご覧ください。
[保存]をクリックします。
SCIMプロビジョニングを構成する
クロスドメイン ID 管理システム (SCIM) 、アイデンティティドメインとITシステム間のユーザーアイデンティティ情報の交換を自動化するオープンスタンダードです。SCIMプロビジョニングを設定することで、アイデンティティプロバイダのユーザーグループをTiDB Cloudに自動的に同期し、 TiDB Cloudでこれらのグループのロールを一元管理できるようになります。
注記:
SCIM プロビジョニングはSAML認証方法でのみ有効にできます。
TiDB Cloudで、 SAML認証方法のSCIM プロビジョニング アカウントオプションを有効にし、後で使用するために次の情報を記録します。
- SCIM コネクタのベース URL
- ユーザーの一意の識別子フィールド
- 認証モード
ID プロバイダーで、 TiDB Cloudの SCIM プロビジョニングを構成します。
ID プロバイダーで、 TiDB Cloud組織の SCIM プロビジョニングを SAML アプリ統合に追加します。
たとえば、アイデンティティプロバイダーが Okta の場合は、 アプリ統合に SCIM プロビジョニングを追加する参照してください。
SAML アプリ統合を ID プロバイダー内の目的のグループに割り当て、グループのメンバーがアプリ統合にアクセスして使用できるようにします。
たとえば、アイデンティティプロバイダーが Okta の場合は、 アプリ統合をグループに割り当てる参照してください。
アイデンティティ プロバイダーからTiDB Cloudにユーザー グループをプッシュします。
たとえば、アイデンティティプロバイダーが Okta の場合は、 グループプッシュを管理する参照してください。
TiDB Cloudで、アイデンティティ プロバイダーからプッシュされたグループを表示します。
- TiDB Cloudコンソールで、左上隅のコンボ ボックスを使用して対象の組織に切り替えます。
- 左側のナビゲーション ペインで、 [組織設定] > [認証]をクリックします。
- 「グループ」タブをクリックします。IDプロバイダーから同期されたグループが表示されます。
- グループ内のユーザーを表示するには、 [ビュー]をクリックします。
TiDB Cloudで、アイデンティティ プロバイダーからプッシュされたグループにロールを付与します。
注記:
グループにロールを付与すると、グループ内のすべてのメンバーがそのロールを取得します。グループにTiDB Cloud組織に既に所属しているメンバーが含まれている場合、これらのメンバーにもグループの新しいロールが付与されます。
アイデンティティ プロバイダーでプッシュされたグループのメンバーを変更すると、これらの変更はTiDB Cloud内の対応するグループに動的に同期されます。
- アイデンティティ プロバイダー内のグループに新しいメンバーが追加されると、これらのメンバーは対応するグループのロールを取得します。
- アイデンティティ プロバイダー内のグループから一部のメンバーが削除されると、これらのメンバーはTiDB Cloud内の対応するグループからも削除されます。