Skip to content

アプリケーション内で をクリックすると、お使いのDataRobotバージョンに関する全プラットフォームドキュメントにアクセスできます。

DataRobot AIマネージドクラウドへのSSO

本機能の提供について

シングルサインオン(SSO)は、Premium および Business Critical サブスクリプションパッケージで利用できます。

必要な権限 :「 SAML SSOを有効にする」

DataRobot では、シングルサインオン(SSO)テクノロジーを使ってユーザー認証に外部サービス(アイデンティティプロバイダー(IdP))を使用することができます。DataRobot のSSOサポートは、SAML 2.0 プロトコルに基づいています。DataRobotでSAML SSOを使用するには、IdPとサービスプロバイダー(DataRobot)の両方の設定を変更します。

必要条件

SAML SSO設定プロセスを開始する前に:

  • SSOのSAMLを有効にする必要があります。
  • 組織には少なくとも1人の組織/システム管理者が必要です。SAML SSOを有効にした後、管理者がSAML SSOを設定します。

DataRobotの担当者に連絡してSAML SSO を有効にし、必要に応じて、最初の組織/システム管理者ユーザーを設定します(そのユーザーが、追加のユーザーを組織/システム管理者ロールに割り当てることができます)。

以下では、DataRobotで使用するSAML SSOを有効にするために必要な設定について説明します。DataRobobtのSAML SSO設定ページ([設定] > [SSOの管理]からアクセス可能)で提供される情報が必要になります。

IDプロバイダー(IdP)の設定

SAML SSOを設定するには、最初にIdPを使用して新しいSAMLアプリケーションを作成し、そのサービスプロバイダー(SP)としてDataRobotを指定します。DataRobot は IdP の設定に必要なメタデータを含むファイルを提供していないので、設定は手動で行う必要があります。

備考

設定は IdP ごとに異なるので、関連する手順についてはプロバイダーのドキュメントを参照してください。

IdP SAMLアプリケーション/クライアントのセットアップには、DataRobot SAML SSO設定に含まれる以下の情報が必要です。URLの詳細については、設定セクションのサービスプロバイダーの詳細セクションを参照してください。

要件 説明 idaptiveの例
サービスプロバイダー識別子 サービスプロバイダーを識別する文字列値。これは、DataRobot SSO 設定ページの「エンティティ ID」フィールド値と同じ文字列である必要があります。 SPエンティティID /発行者/オーディエンス
IdPからのSAMLアサーションを受信するサービスプロバイダー(DataRobot)からのエンドポイントURL。 DataRobot SSO 設定ページの「IdP が開始したログイン URL」フィールドの値(上のイメージに表示)。 アサーションコンシューマーサービスURL

さらに、IdP側で次の必須設定が完了していることを確認してください。これらの画像では、説明のためにIdaptive(IdP)を使用しています。

  1. 備考: 応答とアサーションの両方に署名が必要です。idaptiveを設定する場合:

  2. 「username」という名前の属性を(IdPに従って)ユーザーの電子メールフィールドにマップし、SAMLレスポンスに含めます。

    SAML応答に追加フィールドを含めることができます(オプション)。これらのフィールドは、DataRobot SSO設定ページのユーザー属性に対応している必要があります。

    • 表示名
    • Eメール

最後に、ユーザーがSSO資格情報を使用してDataRobotにログインできるように(IdP内で)ユーザーをDataRobotアプリケーションに割り当てる必要があります。DataRobot と IdP の間ですべてが正しく設定されていることを確認するためのベストプラクティスとしては、追加のユーザーを割り当てる前に、1人のユーザーを割り当ててそのアクセスをテストすることをお勧めします。

DataRobotの設定

組織/システム管理者としてログインした場合は、[設定] > [SSOの管理]を開いて、組織のエンティティIDとIdPメタデータの設定に使用できる3つのオプションを確認します。これらのオプションについては、以下で説明します。

設定中および設定が完了したときに[保存して承認する] をクリックします。このボタンは、最小限必要なフィールドに入力した場合にのみアクティブになります。

非要求の「エンティティID」

2 つのエンティティIDがあります。1つはサービスプロバイダー(DataRobot)の ID で、もう 1つは IdP の ID です。

  • DataRobot SSO設定に入力されているエンティティ IDは、サービスプロバイダーのエンティティ ID として機能する一意の文字列です。これは、IdP側でDataRobot固有のSAMLアプリケーションのサービスプロバイダーメタデータを設定するときに入力する値です。

  • DataRobot側の設定のIdPメタデータを手動で設定する場合、発行者フィールドはIDプロバイダー(IdP)の一意の識別子です(IdP DataRobot固有のSAMLアプリケーション構成にあります)。通常、これはIDプロバイダーのURLです。

メタデータURLの使用

以下のフィールドに入力します。

フィールド 説明
名前 IdPの設定にわかりやすい名前(組織名など)を指定します。この名前はサービスプロバイダーの詳細 URLフィールドで使用されます。名前はスペースを入れずに小文字で入力してください。このフィールドに入力した値によって、サービスプロバイダーの詳細セクションの値が更新されます。
エンティティID サービスプロバイダーのエンティティIDとして機能する組織ごとに一意の文字列(myorg_samlなど)。この値を入力して、DataRobot(SP)アプリとIdP SAMLアプリケーションの間で共通する識別子を確立します。
メタデータURL インテグレーション固有の情報を含むXMLドキュメントをポイントする URL(IdPが提供)。エンドポイントは、DataRobotアプリケーションにアクセスできる必要があります。(ローカルファイルの場合は、メタデータファイルオプションを使用します。)
IdPメタデータのHTTPS証明書を検証 オンにすると、指定されたメタデータURLに対してホスト証明書が検証されます。

メタデータファイルのアップロード

以下のフィールドに入力します。

フィールド 説明
名前 IdPの設定にわかりやすい名前(組織名など)を指定します。この名前はサービスプロバイダーの詳細 URLフィールドで使用されます。名前はスペースを入れずに小文字で入力してください。このフィールドに入力した値によって、サービスプロバイダーの詳細セクションの値が更新されます。
エンティティID サービスプロバイダーのエンティティIDとして機能する組織ごとに一意の文字列(myorg_samlなど)。この値を入力して、DataRobot(SP)アプリとIdP SAMLアプリケーションの間のマッチングを設定します。
メタデータファイル インテグレーション固有の情報を含むXMLドキュメント(IdPが提供)。これはIdPからメタデータURLが提供されなかった場合に使用します。

手動設定を使用

以下のフィールドに入力します。

フィールド 説明
名前 IdPの設定にわかりやすい名前(組織名など)を指定します。この名前はサービスプロバイダーの詳細 URLフィールドで使用されます。名前はスペースを入れずに小文字で入力してください。このフィールドに入力した値によって、サービスプロバイダーの詳細セクションの値が更新されます。
エンティティID サービスプロバイダーのエンティティIDとして機能する組織ごとに一意の文字列(myorg_samlなど)。この値は、DataRobot の IdP アプリケーションを手動で設定するときに入力します。
IDプロバイダーのシングルサインオンURL ユーザーのログイン認証を開始するためにDataRobotが連絡するURL。これは、IdP設定でDataRobot用に作成したSAMLアプリケーションから取得されます。
IDプロバイダーのシングルサインアウトURL(オプション) DataRobotがログアウト後にユーザーのブラウザーに送信するURL。これは、IdP設定でDataRobot用に作成したSAMLアプリケーションから取得されます。空白のままにすると、DatRobot はルートの DataRobot サイトにリダイレクトします。
発行者 IdP設定でDataRobot用に作成されたSAMLアプリケーションから取得されたIdP指定のエンティティID。注意: これはDataRobot UIでオプションとして表示されていますが、オプションではないので正しく設定する必要があります。
証明書 貼り付けまたはアップロードされた X.509 証明書。証明書は、IdP 署名の検証に使用されます。これは、IdP設定でDataRobot用に作成したSAMLアプリケーションから取得されます。

DataRobotからIdPへのマッピング

3つの設定オプションすべてで、IDプロバイダーとDataRobot間のマッピングをセットアップできます。

マッピングを使用すると、IdP構成の設定に基づいて、DataRobot でユーザーを自動的にプロビジョニングできます。また、チーム内で DataRobot 用に設定されていないメンバーがシステムに入ることも防止できます。例:

J_Doeが会社AのチームAに参加し、 JのマネージャーがDataRobotにリンクを送信した場合を例に説明します。Jがリンクをクリックすると、IDプロバイダーからのマッピングに基づいて、DataRobotシステムにプロファイルが自動的に作成されます。アクセス許可は、J の会社によって定義されたロールとそのロールが IdP 設定でどのように定義されているかに基づいて割り当てられます。

一方、Jが会社AのチームBに参加した場合を考えてみます。この場合、チームBはDataRobot を使用するように設定されていないとします。JのマネージャーがDataRobotのリンクをJに送り、Jがリンクをクリックしても、DataRobotへのアクセスが拒否され、ユーザーレコードは作成されません。

マッピングを追加すると、DataRobot にアクセスできるユーザーにさらに制限が追加され、ユーザーがアクセスできる対象も制御されます。マッピングがない場合、管理者がDataRobotシステムに手動で追加すれば、組織内の誰でもプラットフォームにアクセスできます。

次のマッピングを設定できます。

属性のマッピング

属性のマッピングを使用すると、DataRobot属性(ユーザーに関するデータ)をSAML応答のフィールドにマップできます。つまり、DataRobotとIdPは異なる名前を使用する可能性があるため、このセクションでは、DataRobotがユーザーの表示名、名、姓、および電子メールを更新するSAML応答のフィールドの名前を設定できます。

グループのマッピング

グループのマッピングを使用して、IdPグループと既存のDataRobotグループの間で無制限のマッピングを作成します。作成できるマッピングは、1 対 1、1 対多、または多対多です。

構成を行うには、以下を設定します。

  • 役割属性: 文字列をグループ名として識別する名前(SAML レスポンス内)。
  • DataRobotの役割:ユーザーを割り当てる既存のDataRobotグループの名前。
  • IDプロバイダーグループ: ユーザーが属するIdPグループの名前。

役割のマッピング

役割のマッピングを使用すると、IdPと DataRobotの役割の間に無制限のマッピングを作成することができます。作成できるマッピングは、1 対 1、1 対多、または多対多です。

構成を行うには、以下を設定します。

  • 役割属性: 文字列を名前付きユーザーの役割として識別する名前(SAML 応答内)。
  • DataRobotの役割: ユーザーに割り当てる DataRobot の役割の名前。
  • IDプロバイダーグループ: ユーザーに割り当てられているIdP設定の役割の名前。

SSO要件の設定

すべてのフィールドが検証され、接続が成功したら、シングルサインオンを有効にする (SSO はユーザーにとってオプションになります)またはシングルサインオンを強制する(SSO を必須にする)のいずれかを選択します。

備考

設定とテストが完了するまで、サインオンを強制しないでください。

SSO を強制した場合、ユーザー名とパスワードのログインは非表示になり、SSO ログインのみが表示されます。

SSO がオプションの場合、ユーザーはログイン方法を選択できます。

どちらの場合でも、SSOログインが有効であれば、ユーザーがSSOボタンをクリックするとIdPの認証ページにリダイレクトされ、サインオンに成功するとDataRobotにリダイレクトされます。

サービスプロバイダーの詳細

IdPを設定するときは、DataRobotからサービスプロバイダーのサインインおよびサインアウトURLを提供する必要があります。これらはサービスプロバイダーの詳細シングルサインオンページ)に記載されています。

組織名を追加したルート URLを使用します。組織名は、DataRobot によってビジネスに割り当てられた名前で、スペースを入れずに小文字で入力します。

次の表に URL を示します。

URL タイプ ルート URL 説明 Okta の例
SP が開始したログイン URL app.datarobot.com/sso/sign-in/<org_name> IdP がサービスプロバイダーのリクエストを受け取るエンドポイント URL(リクエストの発信元)。 受信者の URL
IdP が開始したログイン URL app.datarobot.com/sso/signed-in/<org_name> IdP から SAML サインイン要求を受信するエンドポイント URL。 シングルサインオン URL
IdP が開始したログアウト URL app.datarobot.com/sso/sign-out/<org_name> オプション。 IdP から SAML サインアウト要求を受信するエンドポイント URL。 N/A

更新しました March 25, 2022
Back to top