SAML SSO を使用

CelerData は、Security Assertion Markup Language (SAML) シングルサインオン (SSO) を使用したユーザー認証をサポートしています。SSO により、アカウント管理者は特定のアイデンティティプロバイダー (IdP) を介して CelerData メンバーを認証できます。これにより、メンバーは IdP にログインした後、CelerData Cloud アカウントに追加のログイン資格情報なしでサインインできます。

NOTE

• SSO を設定できるのはアカウント管理者のみです。
• SSO が有効化された後、アカウントの作成者はログイン資格情報と SSO の両方を使用してそのアカウントにサインインできます。そのアカウント内の他のメンバーは、SSO を使用してのみサインインできます。
• 現在、CelerData クラスターは SSO との統合をサポートしていません。クラスター内でユーザーを作成するには、SQL コマンドを使用する必要があります。詳細については、CelerData クラスターでのデータベースユーザーの管理を参照してください。
• 現在、CelerData Cloud アカウントは Okta と Google のみを IdP としてサポートしています。

SSO を有効にする

次の例では、Okta を IdP として使用します。Google の場合も設定手順は似ています。

ステップ 1: CelerData リダイレクト URL の準備

1. アカウント管理者として CelerData Cloud BYOC コンソール にサインインします。
2. 左側のナビゲーションペインで、Account > Account settings を選択します。
3. Account settings ページの Single sign-on タブで、Configure をクリックして Configure Single Sign-On(SSO) ダイアログボックスを表示します。
4. Configure Single Sign-On(SSO) ダイアログボックスで、IdP がサポートする SSO プロトコルを選択します。現在、SAML 2.0 のみがサポートされています。
5. CelerData redirect URL フィールドに表示されている URL の横にある Copy アイコンをクリックして、URL を適切に保存します。
6. Google を IdP として使用する場合は、CelerData entity ID フィールドに表示されている URL の横にある Copy アイコンをクリックして、URL を適切に保存する必要もあります。

NOTE

CelerData Cloud BYOC コンソールを閉じないでください。次のステップでコンソール上でさらに設定を完了する必要があります。

ステップ 2: IdP の設定

IdP を設定するには、次の手順に従います。

1. 管理者権限を持つメンバーとして Okta 管理コンソール にサインインします。

2. 左側のナビゲーションペインで、Applications > Applications を選択します。

3. Applications ページで、Create App Integration をクリックして Create a new app integration ダイアログボックスを表示します。

4. Create a new app integration ダイアログボックスで、適切なサインイン方法を選択します。現在、CelerData は SAML 2.0 のみをサポートしています。

   

5. Next をクリックします。

6. Create SAML Integration ページの General Settings タブで、アプリケーションの名前を入力し、オプションでアプリケーションロゴをアップロードし、アプリケーションの可視性を有効にするかどうかを指定し、Next をクリックします。

   

7. Create SAML Integration ページの Configure SAML タブで、次のように SAML 設定を構成します。

   a. コピーした CelerData リダイレクト URL を Single sign-on URL フィールドに貼り付けます。

   NOTE

   Google を IdP として使用している場合、Service Provider Details を構成する際に CelerData entity ID も Entity ID フィールドに貼り付ける必要があります。

   b. Audience URI を入力します。Audience URI は、SAML アサーションの対象となるアプリケーション定義の一意の識別子です。これは通常、アプリケーションの SP Entity ID です。例: urn:celerdata。

   c. Name ID format ドロップダウンリストから EmailAddress を選択します。

   d. Application username ドロップダウンリストから Email を選択します。

   e. Update application username on ドロップダウンリストから Create and update を選択します。

   f. Show Advanced Settings をクリックし、SAML Issuer ID を入力します。これは http://www.okta.com/ で始まり、末尾に識別子が付いた URL です。例: http://www.okta.com/celerdata。

   g. ここで言及されていない項目は変更せずにそのままにして、Next をクリックします。

   

8. Create SAML Integration ページの Feedback タブで、I'm an Okta customer adding an internal app を選択し、Finish をクリックします。

ステップ 3: IdP 設定の準備

1. Okta コンソールの左側のナビゲーションペインで、Applications > Applications を選択します。

2. Applications ページで、作成したアプリケーションをクリックしてアプリケーション詳細ページに入ります。

3. General タブの SAML Settings セクションで、SAML Issuer ID をコピーして適切に保存します。

   

4. General タブの App Embed Link セクションで、埋め込みリンクをコピーして適切に保存します。

   

5. Sign On タブの SAML Signing Certificates セクションで、アクティブな証明書を選択し、Actions ドロップダウンリストから Download certificate を選択して証明書ファイルをダウンロードします。

   

ユーザーの追加

CelerData にアクセスするユーザーを、作成したアプリ統合に割り当てます。

ステップ 4: CelerData で SSO を設定して有効にする

1. CelerData Cloud BYOC コンソールの Configure Single Sign-On(SSO) ダイアログボックスに戻ります。

2. IdP からコピーした埋め込みリンクを Single Sign-On URL フィールドに貼り付けます。

   NOTE

   リンクが次のいずれかのドメイン名を使用していることを確認してください:

   • https://*.okta.com
   • https://*.okta-emea.com
   • https://*.oktapreview.com
   • https://*.google.com

3. IdP からコピーした SAML Issuer ID を Entity ID フィールドに貼り付けます。

4. IdP からダウンロードした証明書ファイルの内容を x.509 Certificate フィールドに貼り付けます。内容は -----BEGIN CERTIFICATE----- で始まり、-----END CERTIFICATE----- で終わる文字列である必要があります。

5. Save をクリックします。

6. Account settings ページの Single Sign-On (SSO) タブで、作成した SSO 設定を見つけて、Enable をクリックします。

次の表は、CelerData と Okta 間で必要な情報の対応を示しています。

Copy from Okta console > Applications > Applications > choose your application >	Paste to CelerData Cloud BYOC console > Account > Account settings > Single sign-on > Configure > Configure Single Sign-On(SSO) >
General > SAML Settings > SAML Issuer ID	Entity ID
General > App Embed Link > Embed Link	Single Sign-On URL
Sign On > SAML Signing Certificates > choose an active certificate > Actions > Download certificate	x.509 Certificate

SSO を無効にする

1. アカウント管理者として CelerData Cloud BYOC コンソール にサインインします。
2. 左側のナビゲーションペインで、Account > Account settings を選択します。
3. Account settings ページの Single Sign-On (SSO) タブで、Disable をクリックします。

NOTE

SSO を有効化または無効化しても、CelerData のメンバーのパスワードは削除されません。SSO が無効化された後、すでにパスワードを持っているメンバーは、パスワードを使用して CelerData にサインインできます。ただし、SSO が有効な間に招待されたメンバーはパスワードを持っていません。彼らは CelerData にサインインする際に Forget Password をクリックしてパスワードをリセットする必要があります。

SSO 設定の変更

1. アカウント管理者として CelerData Cloud BYOC コンソール にサインインします。
2. 左側のナビゲーションペインで、Account > Account settings を選択します。
3. Account settings ページの Single Sign-On (SSO) タブで、Configure をクリックします。
4. SSO 設定を変更した後、Save をクリックします。

NOTE

SSO 設定を削除したい場合は、すべての設定を削除して Save をクリックできます。その後、SSO は自動的に無効化されます。

SSO が有効なときに新しいメンバーをアカウントに招待する

SSO が有効な場合、新しいメンバーを IdP と CelerData の両方に招待する必要があります。両方の招待に使用したメールアドレスは同じでなければなりません。

招待されたメンバーは、IdP と CelerData の両方から招待メールを受け取ります。彼らは最初に IdP でログイン資格情報を設定し、その後 SSO を使用してアカウントにサインインする必要があります。

SSO 使用時の監査ログの監視

SSO の有効化、無効化、および編集は、次のように監査ログを生成します。