SAML Single Sign-On
SAML single sign-on (SSO) により、組織のメンバーは企業のIdentity Providerを通じてVeloDB Cloudコンソールにサインインできます。VeloDB CloudはSAML Service Provider (SP)として機能し、あなたのIdentity ProviderがIdentity Provider (IdP)として機能します。
SAML SSOは1つの組織のコンソールアクセスに適用されます。warehouseユーザー、SQLクライアント、またはCloud APIリクエストの認証は行いません。
サポートされるIdentity Provider
VeloDB Cloudは以下のIdentity Providerとのサムル2.0統合をサポートしています:
| Identity provider | セットアップガイド |
|---|---|
| Okta | OktaでSAML SSOを設定 |
| Google Workspace | Google WorkspaceでSAML SSOを設定 |
| Microsoft Entra ID | Microsoft Entra IDでSAML SSOを設定 |
| Cisco Duo | Cisco DuoでSAML SSOを設定 |
前提条件
SAML SSOを設定する前に、以下を確認してください:
- 組織がPremiumプランを使用している
- VeloDB CloudでOrganization Adminである
- Identity ProviderでSAMLアプリケーションを作成・割り当てできる
- 少なくとも1つの企業メールドメインに対してDNS TXTレコードを作成できる
- Identity Providerがパブリックにアクセス可能なHTTPS SAML metadata URLを提供している
- Identity Providerで必要なMFAポリシーを設定済みである
- SSOを設定・テストしている間、少なくとも1人のOrganization Adminがアクセスを維持している
設定ワークフロー
SAML SSOセットアップウィザードには5つのステップがあります:
- Add Application: VeloDB CloudのSingle Sign-On URLとService Provider Entity IDをIdentity Providerにコピーします
- Configure Identity Provider: Identity ProviderのHTTPS SAML metadata URLをインポートします
- Verify Domain: 企業メールドメインを検証し、デフォルトロールを選択し、JITプロビジョニングを設定します
- Test SSO Login: Identity Provider経由でテストサインインを完了します
- Enable SSO: 他のサインイン方法を維持しながらSSOを有効化します
ウィザードを開始するには:
- Organization AdminとしてVeloDB Cloudにサインインします
- コンソールの左下隅にあるプロフィールエリアをクリックしてアカウントメニューを開き、Authenticationを選択します
- SAML Single Sign-onをオンにします
この設定をオンにするとセットアップウィザードが開きます。ウィザードを完了してEnable SSOを選択するまで、メンバーはSSOを利用できません。
検証済みドメイン
SAML SSOを有効化する前に、少なくとも1つの企業メールドメインを検証する必要があります。ドメイン検証により、組織がSSOメンバーによって使用されるメールドメインを管理していることが証明されます。
Verify Domainステップで:
- Add Domainを選択し、
@なしでドメインを入力します(例:example.com) - DNSプロバイダーで、VeloDB Cloudが表示するTXT Record NameとRecord Valueを使用してTXTレコードを作成します
- DNS変更が反映されるまで待ちます
- VeloDB CloudでそのドメインのVerifyを選択します
gmail.comやoutlook.comなどのパブリックメールドメインは、検証済みドメインとして使用できません。
JITプロビジョニング
Just-in-time (JIT) プロビジョニングは、SAML サインイン成功後にVeloDB Cloudがユーザーと組織メンバーシップを作成するかどうかを制御します。
| ポリシー | 動作 |
|---|---|
| Verified domain only | メールアドレスが検証済みドメインに属する場合のみユーザーを作成します。これが推奨ポリシーです。 |
| Allow All SSO Users | メールドメインに関係なく、Identity Providerが認証を許可するユーザーを作成します。 |
| Disable Automatic Provisioning | 既存のアクティブな組織メンバーのみがSAMLでサインインできるようにします。 |
JITプロビジョニングで作成された新しいメンバーには、セットアップ時に選択されたDefault Roleが付与されます。新しいメンバーに必要な最小権限のロールを選択してください。SAML groupアトリビュートはVeloDB Cloudのロールを変更または割り当てません。
注意 Allow All SSO Usersでは、Identity Providerが認証を許可するすべてのユーザーが組織にプロビジョニングされる可能性があります。このポリシーを選択する前に、Identity Providerでアプリケーション割り当てを制限してください。
SSOのテスト
組織でSSOを有効化する前にテストしてください。テストでは、新しいメンバーや永続的な組織SSOセッションを作成せずに、SAMLリクエスト、レスポンス、証明書、Entity ID、ACS URL、ユーザーメールを検証します。
テストを実行するには:
- Test SSO LoginステップでTest SSO Loginを選択します
- SAMLアプリケーションに割り当てられたアカウントを使用してIdentity Provider経由でサインインします
- VeloDB CloudがSSO Test Successfulを報告することを確認します
Identity Provider metadata URLを変更した場合、SSOを再度有効化する前に別の成功したテストが必要です。
SSOの有効化と強制
VeloDB Cloudには2つのアクセスポリシーがあります:
| アクセスポリシー | 動作 |
|---|---|
| Enable SSO | パスワードと確認コードによるサインインを維持しながらSAML SSOを利用可能にします。メールが検証済みドメインと一致するユーザーは通常Identity Providerに誘導されます。 |
| Enforce SSO | メンバーが組織にアクセスする前に有効なSAMLサインインを要求します。 |
安全なSSOの強制
初期セットアップ中はSSOを強制しないでください。まずOrganization Adminが通常のSAMLサインインを完了して組織にアクセスできることを確認してください。
- Test SSO Loginを完了します
- Enable SSOを選択します
- サインアウトし、アクティブなOrganization AdminアカウントでSAML経由で再度サインインします
- 管理者が組織にアクセスしてAuthenticationを開けることを確認します
- SAML SSO設定を開き、Enable SSOの横のConfigureを選択し、Enforce SSOを選択して変更を確定します
VeloDB Cloudは、少なくとも1人のアクティブなOrganization Adminが通常のSAMLサインインを完了するまで強制を防ぎます。
SSO有効化後のサインイン
メンバーは通常https://www.velodb.cloudでサインインします:
- 検証済みドメインに関連付けられたメールアドレスを入力します
- Identity Providerに進みます
- Identity Providerで認証します
- VeloDB Cloudに戻ります
VeloDB CloudはService Provider-initiatedサインインのみをサポートしています。メンバーはIdentity Providerアプリケーションタイルからではなく、VeloDB Cloudからサインインを開始する必要があります。
SSOが有効だが強制されていない場合、メンバーはメールサインインページを使用してパスワードまたは確認コードでサインインできます。このページはSSO強制をバイパスしません:パスワード認証されたセッションはSSOを強制する組織にアクセスできません。
SAML SSOでのMFA
Identity ProviderはSAMLサインイン中の認証ポリシーとMFAに責任を持ちます。SAML認証されたメンバーは、Identity Providerから戻った後にVeloDB Cloud MFAの入力を求められません。SSOを有効化する前に、Identity Providerで必要なMFAポリシーを設定・強制してください。
組織全体のVeloDB Cloud MFAは、パスワードと確認コードサインインに引き続き適用されます。SAMLサインインに追加のMFAチャレンジは追加しません。
SSOメンバーの管理
VeloDB CloudはIdentity Providerからメンバーライフサイクルやロール変更を同期しません。アプリケーション割り当ての削除、Identity Providerアカウントの無効化、またはグループメンバーシップの変更は、既存のVeloDB Cloud組織メンバーシップを削除したり、そのロールを変更したりしません。
メンバーをオフボードする際は、Identity ProviderでSAMLアプリケーションへのアクセスを取り消し、MembersページでVeloDB Cloud組織からメンバーを削除してください。JITプロビジョニングされたメンバーを定期的に確認し、必要な最小権限のロールを割り当ててください。
SSOの管理または無効化
設定を確認または変更するには、Authenticationを開いてSAML SSOのView Configurationを選択してください。編集可能なステップの横にあるConfigureを使用して設定を変更できます。
警告 Identity Provider metadata URLを変更するとSSOが無効になり、以前のSSOテストが無効化されます。アクティブなOrganization Adminセッションを開いたままにし、Test SSO Loginを再度実行し、セッションを終了する前にSSOを再度有効化してください。
SSOを無効化するには、AuthenticationページでSAML Single Sign-onをオフにして変更を確定してください。SSOを無効化すると設定は保持されますが、組織からSAML要件が削除されます。
トラブルシューティング
| 問題 | 推奨アクション |
|---|---|
| VeloDB Cloudがmetadata URLをインポートできない | URLがHTTPSを使用し、パブリックにアクセス可能で、Identity Provider Entity ID、SSOサービス、アクティブな署名証明書を含む有効なSAMLメタデータを返すことを確認してください |
| SSOテストがエラーでVeloDB Cloudに戻る | Identity ProviderのACS URLとService Provider Entity IDが同じVeloDB Cloud組織の値と一致することを確認してください |
| VeloDB Cloudがメンバーを識別できない | メンバーのVeloDB Cloudメールアドレスを使用してSAML NameIDまたはemailアトリビュートを設定してください |
| メンバーがSSOを開始できない | SSOが有効化されており、メンバーがIdentity ProviderのSAMLアプリケーションに割り当てられていることを確認してください |
| 新しいメンバーが作成されない | JITプロビジョニングポリシー、検証済みドメイン、デフォルトロールを確認してください |
| Enforce SSOが拒否される | まずSSOを有効化し、SSOを強制する前にアクティブなOrganization Adminに通常のSAMLサインインを完了させてください |
現在の制限事項
- 組織には1つのSAML Identity Provider設定のみ可能です
- Identity Provider-initiated SSOはサポートされていません
- SAML Single Logoutはサポートされていません。Identity Providerからサインアウトしても既存のVeloDB Cloudセッションは終了されず、VeloDB CloudからサインアウトしてもメンバーはIdentity Providerからサインアウトされません
- SCIMプロビジョニングはサポートされていません
- SAMLグループ-ロールマッピングはサポートされていません
- SAML SSOはwarehouse認証情報やCloud APIキーには適用されません