組織のSSO認証

シングルサインオン (SSO) は、 TiDB Cloud組織のメンバーが、電子メールアドレスとパスワードの代わりにアイデンティティプロバイダー (IdP) からのアイデンティティを使用してTiDB Cloudにログインできるようにする認証スキームです。

TiDB Cloud は、次の 2 種類の SSO 認証をサポートしています。

基本的な SSO : メンバーは、GitHub、Google、または Microsoft の認証方法を使用してTiDB Cloudコンソールにログインできます。基本 SSO は、 TiDB Cloudのすべての組織に対してデフォルトで有効になっています。
クラウド組織 SSO: メンバーは、組織が指定した認証方法を使用して、 TiDB Cloudのカスタムログインページにログインできます。クラウド組織 SSO はデフォルトでは無効になっています。

基本的な SSO と比較して、クラウド組織 SSO は柔軟性とカスタマイズ性が高いため、組織のセキュリティとコンプライアンスの要件をより適切に満たすことができます。たとえば、ログインページに表示する認証方法を指定したり、ログインを許可する電子メールアドレスドメインを制限したり、 OpenID Connect (OIDC)またはSecurityアサーションマークアップ言語 (SAML) ID プロトコルを使用する ID プロバイダー (IdP) を使用してメンバーがTiDB Cloudにログインできるようにしたりできます。。

このドキュメントでは、組織の認証スキームを基本 SSO からクラウド組織 SSO に移行する方法について説明します。

注記：
クラウド組織 SSO 機能はベータ版であり、リクエストがあった場合にのみ利用可能です。この機能をリクエストするには、 「?」をクリックしてください。 TiDB Cloudコンソールの右下隅にある[サポートをリクエスト]をクリックします。次に、「説明」フィールドに「クラウド組織 SSO の申請」と入力し、 「送信」をクリックします。
現在の TiDB ログイン URL がhttps://tidbcloud.com/enterprise/で始まる場合は、クラウド組織 SSO が組織ですでに有効になっていることを意味します。

あなたが始める前に

クラウド組織 SSO に移行する前に、組織に関するこのセクションの項目を確認してください。

注記：
クラウド組織 SSO を一度有効にすると、無効にすることはできません。
クラウド組織 SSO を有効にするには、 TiDB Cloud組織のOrganization Ownerロールに所属する必要があります。役割の詳細については、ユーザーの役割を参照してください。

クラウド組織 SSO が有効になっている場合、メンバーは、パブリックログイン URL ( https://tidbcloud.com ) の代わりにカスタム URL を使用してTiDB Cloudにログインする必要があります。

カスタム URL は有効化後に変更できないため、どの URL を使用するかを事前に決定する必要があります。

カスタム URL の形式はhttps://tidbcloud.com/enterprise/signin/your-company-nameで、会社名をカスタマイズできます。

組織メンバーの認証方法を決定する

TiDB Cloud は、組織 SSO 用に次の認証方法を提供します。

グーグル
GitHub
マイクロソフト
OIDC
SAML

クラウド組織 SSO を有効にすると、最初の 3 つの方法がデフォルトで有効になります。

有効な認証方法はすべてカスタムTiDB Cloudログインページに表示されるため、どの認証方法を有効または無効にするかを事前に決定する必要があります。

自動プロビジョニングを有効にするかどうかを決定する

自動プロビジョニングは、メンバーがOrganization OwnerまたはProject Ownerからの招待を必要とせずに自動的に組織に参加できるようにする機能です。 TiDB Cloudでは、サポートされているすべての認証方法に対してデフォルトで無効になっています。

認証方法の自動プロビジョニングが無効になっている場合、 Organization OwnerまたはProject Ownerによって招待されたユーザーのみがカスタム URL にログインできます。
認証方法で自動プロビジョニングが有効になっている場合、この認証方法を使用するすべてのユーザーがカスタム URL にログインできます。ログイン後、組織内のデフォルトのメンバー役割が自動的に割り当てられます。

セキュリティを考慮して、自動プロビジョニングを有効にすることを選択した場合は、認証方法の詳細を構成する時に許可される電子メールドメインを制限することをお勧めします。

クラウド組織の SSO 移行計画についてメンバーに通知する

クラウド組織 SSO を有効にする前に、次のことをメンバーに必ず通知してください。

TiDB Cloudのカスタムログイン URL
ログインにhttps://tidbcloud.comの代わりにカスタムログイン URL の使用を開始する時期
利用可能な認証方法
メンバーがカスタム URL にログインするための招待が必要かどうか

ステップ 1. クラウド組織 SSO を有効にする

クラウド組織 SSO を有効にするには、次の手順を実行します。

Organization Owner役割を持つユーザーとしてTiDB Cloudコンソールにログインします。
TiDB Cloudコンソールの左下隅にあるをクリックします。をクリックし、 [組織の設定]をクリックします。
[組織の設定]ページで、 [認証]タブをクリックし、 [有効にする]をクリックします。
ダイアログで、組織のカスタム URL を入力します。これはTiDB Cloud内で一意である必要があります。
注記：
クラウド組織 SSO を有効にすると、URL を変更できなくなります。組織内のメンバーは、カスタム URL を使用してのみTiDB Cloudにログインできます。構成された URL を後で変更する必要がある場合は、 TiDB Cloudのサポートにお問い合わせください。
[理解して確認します] チェックボックスをクリックし、 [有効にする]をクリックします。
注記：
ダイアログに、クラウド組織 SSO に再招待して再参加するユーザーのリストが含まれている場合、クラウド組織 SSO を有効にした後、 TiDB Cloud はそれらのユーザーに招待メールを自動的に送信します。招待メールを受信した後、各ユーザーはメール内のリンクをクリックして身元を確認する必要があり、カスタムログインページが表示されます。

ステップ 2. 認証方法を構成する

TiDB Cloudで認証方法を有効にすると、その方法を使用するメンバーがカスタム URL を使用してTiDB Cloudにログインできるようになります。

Google、GitHub、または Microsoft の認証方法を構成する

Cloud Organization Cloud を有効にした後、次のように Google、GitHub、または Microsoft 認証方法を構成できます。

[組織の設定]ページで、必要に応じて Google、GitHub、または Microsoft の認証方法を有効または無効にします。
有効な認証方法については、メソッドの詳細を設定します。
メソッドの詳細では、以下を設定できます。
- アカウントの自動プロビジョニング
  デフォルトでは無効になっています。必要に応じて有効にすることができます。セキュリティを考慮して、自動プロビジョニングを有効にする場合は、認証に許可される電子メールドメインを制限することをお勧めします。
- 許可された電子メールドメイン
  このフィールドを構成すると、この認証方法で指定された電子メールドメインのみがカスタム URL を使用してTiDB Cloudにログインできるようになります。ドメイン名を入力する場合は、 @記号を除外し、カンマで区切る必要があります。たとえば、 company1.com,company2.com 。
  注記：
  電子メールドメインを構成している場合は、 TiDB Cloudによってロックアウトされないように、設定を保存する前に、現在ログインに使用している電子メールドメインを必ず追加してください。
「保存」をクリックします。

OIDC 認証方法を構成する

OIDC アイデンティティプロトコルを使用するアイデンティティプロバイダーがある場合は、 TiDB Cloudログインの OIDC 認証方法を有効にすることができます。

TiDB Cloudでは、OIDC 認証方法はデフォルトで無効になっています。 Cloud Organization Cloud を有効にした後、次のように OIDC 認証方法を有効にして構成できます。

TiDB Cloud Organization SSO のアイデンティティプロバイダーから次の情報を取得します。
- 発行者のURL
- クライアントID
- クライアントシークレット
[組織の設定]ページで、 [認証]タブをクリックし、 [認証方法]領域で OIDC の行を見つけて、[認証] をクリックします。 OIDC メソッドの詳細を表示します。
メソッドの詳細では、以下を設定できます。
- 名前
  カスタムログインページに表示される OIDC 認証方法の名前を指定します。
- 発行者 URL 、クライアント ID 、およびクライアントシークレット
  IdP から取得した対応する値を貼り付けます。
- アカウントの自動プロビジョニング
  デフォルトでは無効になっています。必要に応じて有効にすることができます。セキュリティを考慮して、自動プロビジョニングを有効にする場合は、認証に許可される電子メールドメインを制限することをお勧めします。
- 許可された電子メールドメイン
  このフィールドを構成すると、この認証方法で指定された電子メールドメインのみがカスタム URL を使用してTiDB Cloudにログインできるようになります。ドメイン名を入力する場合は、 @記号を除外し、カンマで区切る必要があります。たとえば、 company1.com,company2.com 。
  注記：
  電子メールドメインを構成している場合は、 TiDB Cloudによってロックアウトされないように、設定を保存する前に、現在ログインに使用している電子メールドメインを必ず追加してください。
「保存」をクリックします。

SAML 認証方法を構成する

SAML ID プロトコルを使用する ID プロバイダーがある場合は、 TiDB Cloudログインの SAML 認証方法を有効にすることができます。

TiDB Cloudでは、SAML 認証方法はデフォルトで無効になっています。 Cloud Organization Cloud を有効にした後、次のように SAML 認証方法を有効にして構成できます。

TiDB Cloud Organization SSO のアイデンティティプロバイダーから次の情報を取得します。
- サインオン URL
- 署名証明書
[組織の設定]ページで、 [認証]タブをクリックし、 [認証方法]領域で SAML の行を見つけて、[認証] をクリックします。 SAML メソッドの詳細を表示します。
メソッドの詳細では、以下を設定できます。
- 名前
  カスタムログインページに表示される SAML 認証方法の名前を指定します。
- サインオン URL
  IdP から取得した URL を貼り付けます。
- 署名証明書
  開始行---begin certificate---と終了行---end certificate---を含む、IdP からの署名証明書全体を貼り付けます。
- アカウントの自動プロビジョニング
  デフォルトでは無効になっています。必要に応じて有効にすることができます。セキュリティを考慮して、自動プロビジョニングを有効にする場合は、認証に許可される電子メールドメインを制限することをお勧めします。
- 許可された電子メールドメイン
  このフィールドを構成すると、この認証方法で指定された電子メールドメインのみがカスタム URL を使用してTiDB Cloudにログインできるようになります。ドメイン名を入力する場合は、 @記号を除外し、カンマで区切る必要があります。たとえば、 company1.com,company2.com 。
  注記：
  電子メールドメインを構成している場合は、 TiDB Cloudによってロックアウトされないように、設定を保存する前に、現在ログインに使用している電子メールドメインを必ず追加してください。
「保存」をクリックします。