DataRobot AIマネージドクラウドへのSSO¶

DataRobot では、シングルサインオン（SSO）テクノロジーを使ってユーザー認証に外部サービス（アイデンティティプロバイダー（IdP））を使用することができます。DataRobot のSSOサポートは、SAML 2.0 プロトコルに基づいています。DataRobotでSAML SSOを使用するには、IdPとサービスプロバイダー（DataRobot）の両方の設定を変更します。

必要条件¶

SAML SSO設定プロセスを開始する前に:

• SSOのSAMLを有効にする必要があります。
• 組織には少なくとも1人の組織/システム管理者が必要です。SAML SSOを有効にした後、管理者がSAML SSOを設定します。

DataRobotの担当者に連絡してSAML SSO を有効にし、必要に応じて、最初の組織/システム管理者ユーザーを設定します（そのユーザーが、追加のユーザーを組織/システム管理者ロールに割り当てることができます）。

以下では、DataRobotで使用するSAML SSOを有効にするために必要な設定について説明します。DataRobobtのSAML SSO設定ページ（[設定] > [SSOの管理]からアクセス可能）で提供される情報が必要になります。

IDプロバイダー（IdP）の設定¶

SAML SSOを設定するには、最初にIdPを使用して新しいSAMLアプリケーションを作成し、そのサービスプロバイダー（SP）としてDataRobotを指定します。DataRobot は IdP の設定に必要なメタデータを含むファイルを提供していないので、設定は手動で行う必要があります。

IdP SAMLアプリケーション/クライアントのセットアップには、DataRobot SAML SSO設定に含まれる以下の情報が必要です。URLの詳細については、設定セクションのサービスプロバイダーの詳細セクションを参照してください。

さらに、IdP側で次の必須設定が完了していることを確認してください。これらの画像では、説明のためにIdaptive（IdP）を使用しています。

1. 備考: 応答とアサーションの両方に署名が必要です。idaptiveを設定する場合:

   

2. 「username」という名前の属性を（IdPに従って）ユーザーの電子メールフィールドにマップし、SAMLレスポンスに含めます。

   

   SAML応答に追加フィールドを含めることができます（オプション）。これらのフィールドは、DataRobot SSO設定ページのユーザー属性に対応している必要があります。

   • 表示名
   • 名
   • 姓
   • Eメール

最後に、ユーザーがSSO資格情報を使用してDataRobotにログインできるように（IdP内で）ユーザーをDataRobotアプリケーションに割り当てる必要があります。DataRobot と IdP の間ですべてが正しく設定されていることを確認するためのベストプラクティスとしては、追加のユーザーを割り当てる前に、1人のユーザーを割り当ててそのアクセスをテストすることをお勧めします。

DataRobotの設定¶

組織/システム管理者としてログインした場合は、[設定] > [SSOの管理]を開いて、組織のエンティティIDとIdPメタデータの設定に使用できる3つのオプションを確認します。これらのオプションについては、以下で説明します。

設定中および設定が完了したときに[保存して承認する] をクリックします。このボタンは、最小限必要なフィールドに入力した場合にのみアクティブになります。

非要求の「エンティティID」¶

2 つのエンティティIDがあります。1つはサービスプロバイダー（DataRobot）の ID で、もう 1つは IdP の ID です。

• DataRobot SSO設定に入力されているエンティティ IDは、サービスプロバイダーのエンティティ ID として機能する一意の文字列です。これは、IdP側でDataRobot固有のSAMLアプリケーションのサービスプロバイダーメタデータを設定するときに入力する値です。

• DataRobot側の設定のIdPメタデータを手動で設定する場合、発行者フィールドはIDプロバイダー（IdP）の一意の識別子です（IdP DataRobot固有のSAMLアプリケーション構成にあります）。通常、これはIDプロバイダーのURLです。

メタデータURLの使用¶

以下のフィールドに入力します。

メタデータファイルのアップロード¶

以下のフィールドに入力します。

手動設定を使用¶

以下のフィールドに入力します。

DataRobotからIdPへのマッピング¶

3つの設定オプションすべてで、IDプロバイダーとDataRobot間のマッピングをセットアップできます。

マッピングを使用すると、IdP構成の設定に基づいて、DataRobot でユーザーを自動的にプロビジョニングできます。また、チーム内で DataRobot 用に設定されていないメンバーがシステムに入ることも防止できます。例:

J_Doeが会社AのチームAに参加し、 JのマネージャーがDataRobotにリンクを送信した場合を例に説明します。Jがリンクをクリックすると、IDプロバイダーからのマッピングに基づいて、DataRobotシステムにプロファイルが自動的に作成されます。アクセス許可は、J の会社によって定義されたロールとそのロールが IdP 設定でどのように定義されているかに基づいて割り当てられます。

一方、Jが会社AのチームBに参加した場合を考えてみます。この場合、チームBはDataRobot を使用するように設定されていないとします。JのマネージャーがDataRobotのリンクをJに送り、Jがリンクをクリックしても、DataRobotへのアクセスが拒否され、ユーザーレコードは作成されません。

マッピングを追加すると、DataRobot にアクセスできるユーザーにさらに制限が追加され、ユーザーがアクセスできる対象も制御されます。マッピングがない場合、管理者がDataRobotシステムに手動で追加すれば、組織内の誰でもプラットフォームにアクセスできます。

次のマッピングを設定できます。

• 属性のマッピング
• グループのマッピング
• 役割のマッピング

属性のマッピング¶

属性のマッピングを使用すると、DataRobot属性（ユーザーに関するデータ）をSAML応答のフィールドにマップできます。つまり、DataRobotとIdPは異なる名前を使用する可能性があるため、このセクションでは、DataRobotがユーザーの表示名、名、姓、および電子メールを更新するSAML応答のフィールドの名前を設定できます。

グループのマッピング¶

グループのマッピングを使用して、IdPグループと既存のDataRobotグループの間で無制限のマッピングを作成します。作成できるマッピングは、1 対 1、1 対多、または多対多です。

構成を行うには、以下を設定します。

• 役割属性: 文字列をグループ名として識別する名前（SAML レスポンス内）。
• DataRobotの役割：ユーザーを割り当てる既存のDataRobotグループの名前。
• IDプロバイダーグループ: ユーザーが属するIdPグループの名前。

役割のマッピング¶

役割のマッピングを使用すると、IdPと DataRobotの役割の間に無制限のマッピングを作成することができます。作成できるマッピングは、1 対 1、1 対多、または多対多です。

構成を行うには、以下を設定します。

• 役割属性: 文字列を名前付きユーザーの役割として識別する名前（SAML 応答内）。
• DataRobotの役割: ユーザーに割り当てる DataRobot の役割の名前。
• IDプロバイダーグループ: ユーザーに割り当てられているIdP設定の役割の名前。

SSO要件の設定¶

すべてのフィールドが検証され、接続が成功したら、シングルサインオンを有効にする （SSO はユーザーにとってオプションになります）またはシングルサインオンを強制する（SSO を必須にする）のいずれかを選択します。

SSO を強制した場合、ユーザー名とパスワードのログインは非表示になり、SSO ログインのみが表示されます。

SSO がオプションの場合、ユーザーはログイン方法を選択できます。

どちらの場合でも、SSOログインが有効であれば、ユーザーがSSOボタンをクリックするとIdPの認証ページにリダイレクトされ、サインオンに成功するとDataRobotにリダイレクトされます。

サービスプロバイダーの詳細¶

IdPを設定するときは、DataRobotからサービスプロバイダーのサインインおよびサインアウトURLを提供する必要があります。これらはサービスプロバイダーの詳細（シングルサインオンページ）に記載されています。

組織名を追加したルート URLを使用します。組織名は、DataRobot によってビジネスに割り当てられた名前で、スペースを入れずに小文字で入力します。

次の表に URL を示します。