Skip to content

アプリケーション内で をクリックすると、お使いのDataRobotバージョンに関する全プラットフォームドキュメントにアクセスできます。

DataRobot AIマネージド CloudへのSSO

本機能の提供について

シングルサインオン(SSO)の利用の可否は、DataRobotパッケージによって異なります。 組織で有効化されていない場合は、DataRobotの担当者にお問い合わせください。

必要な権限:SAML SSOを有効にする

DataRobotでは、シングルサインオン(SSO)テクノロジーを使ってユーザー認証に外部サービス(アイデンティティプロバイダー(IdP))を使用することができます。 DataRobotのSSOサポートは、SAML 2.0プロトコルに基づいています。 To use SAML SSO in DataRobot, you must make changes to both the IdP and service provider (DataRobot) configurations.

The basic workflow for configuring SAML SSO is as follows:

  1. Review and complete the prerequisites.
  2. Configure SSO in your identity provider and identify DataRobot as the service provider.
  3. Configure SSO in DataRobot:

    • Choose a configuration option to set up the Entity ID and IdP metadata.
    • Use mapping to define how attributes, groups, and roles are synchronized between DataRobot and the IdP.

    • Set SSO requirements, including making SSO optional or required for all users.

前提条件

Make sure the following prerequisites are met before starting the SAML SSO configuration process:

  • SAML for SSO is enabled.
  • 組織には少なくとも1人の組織/システム管理者が必要です。SAML SSOを有効にした後、管理者がSAML SSOを設定します。

DataRobotの担当者に連絡してSAML SSOを有効にし、必要に応じて、最初の組織/システム管理者ユーザーを設定します(そのユーザーが、追加のユーザーを組織/システム管理者ロールに割り当てることができます)。

以下では、DataRobotで使用するSAML SSOを有効にするために必要な設定について説明します。 Admins can access the information required for setup on DataRobobt's SAML SSO configuration page, which can be accessed from Settings > Manage SSO:

IDプロバイダー(IdP)の設定

備考

  • 設定はIdPごとに異なるので、関連する手順についてはプロバイダーのドキュメントを参照してください。
  • DataRobot does not provide a file containing the metadata required for IdP configuration; you must manually configure this information.

When configuring the IdP, you must create a new SAML application with your IdP and identify DataRobot as the service provider (SP) by providing SP sign-in and sign-out URLs.

To retrieve this information in DataRobot, go to Settings > Manage SSO and locate Service provider details, which lists URL details.

組織名を追加したルートURLを使用します。 組織名は、DataRobotによってビジネスに割り当てられた名前で、スペースを入れずに小文字で入力します。

次の表にURLを示します。

URLタイプ ルートURL 説明 Oktaの例
SP initiatedログインURL app.datarobot.com/sso/sign-in/<org_name> IdPがサービスプロバイダーのリクエストを受け取るエンドポイントURL(リクエストの発信元)。 受信者のURL
IdPが開始したログインURL app.datarobot.com/sso/signed-in/<org_name> IdPからSAMLサインイン要求を受信するエンドポイントURL。 シングルサインオンURL
IdPが開始したログアウトURL app.datarobot.com/sso/sign-out/<org_name> オプション。IdPからSAMLサインアウト要求を受信するエンドポイントURL。 N/A

The tabs below provide example instructions for finishing IdP configuration in Okta, PingOne, and Azure Active Directory.

Third-party application screenshots

The following images were accurate at the time they were taken, however, they may not reflect the current user interface of the third-party application.

Make sure that the following required configuration is complete on the IdP side—this example uses Okta.

  1. If you don't already have an Okta developer account, sign up for free using your GitHub username or email.
  2. In Okta, click Applications > Applications in the left-hand navigation.
  3. Click Create App Integration, select SAML 2.0, and click Next.

  4. On the General Settings tab, enter a name for the application and click Next.

  5. On the Configure SAML tab, fill in the following fields:

    シングルサインオンURL * Audience URI (SP Entity ID) * Attribute Statement for username

    備考

    The Single sign-on URL has signed-in at the end. The attribute username must be set to user.email in order for SSO login to be successful with DataRobot.

  6. On the Feedback tab, select I’m a software vendor and click Finish.

  7. With your new application selected, click Applications > Assignments and assign People or Groups to your app.

  8. On the Sign On tab, locate the SAML Signing Certifiates section. Next to SHA-2, select Actions > View IdP metadata and copy the IdP metadata link address—you will need this to configure SSO in DataRobot.

Make sure that the following required configuration is complete on the IdP side—this example uses PingOne.

Configure the PingOne SSO Environment

  1. In PingIdentity, navigate to the Your Environments page and click Add Environment.

  2. Select Customer solution and click Next.

  3. Click Next again.

  4. Name the environemnt (TestDataRobotSSOEnv in this example) and click Finish.

Configure a PingOne SSO Application

  1. Select the PingOne Environment you want to use to house your SSO application (TestDataRobotSSOEnv in this example).

  2. Click the Add a SAML app tile and open the Connections tab.

  3. Click the + icon the right of the Applications.

  4. Name the application (TestDataRobotSSOApp in this example), select SAML Application, and click Configure.

  5. Select Manually Enter; then copy and paste the following:

  6. 保存をクリックします。

  7. On the Configuration tab, click the pencil icon.

  8. Make sure Sign Assertation & Response is selected.

  9. Scroll down to the Subject Named Format dropdown. Click the dropdown and select urn:oasis:names:tc:SAML:2.0:name-id:transient.

  10. 保存をクリックします。

  11. Use the toggle to turn on the TestDataRobotSSOApp PingOne application.

  12. Save the IDP Metadata URL. You will need this to configure SSO in DataRobot.

Map Attributes

  1. Click the Attribute Mappings tab and click the penicl icon.

  2. Next to saml_subject, change the PingOne Mapping to Email Address. Click Add, enter username under Attributes, and select Email address for the the PingOne Mapping.

  3. 保存をクリックします。

Make sure that the following required configuration is complete on the IdP side—this example uses Azure Active Directory.

  1. Sign into Azure as a cloud application admin.
  2. Navigate to Azure Active Directory > Enterprise applications and click + Create your own application.

  3. Name the application, select Integrate any other application you don't find in the gallery (Non-gallery), and click Add.

  4. On the Overview page, select Set up single sign on and select SAML as the single sign-on method.

  5. Click the pencil icon to the right of Basic SAML Configuration. Populate the following fields:

    • For Identifier (Entity ID), enter an arbitrary string.
    • For Reply URL (Assertion Consumer Service URL), enter <domain>/sso/saml/signed-in/.

  6. 保存をクリックします。

  7. Click the pencil icon to the right of User Attributes & Claims. Delete all default additional claims and add the following claims:

    • username as Name.
    • Attribute as Source.
    • user.userprincipalname as Source attribute.

    備考

    If the form prevents you from saving without a Namespace value, provide any string, click Save, and then edit it again to remove the Namespace value. After saving, the new claim appears in the table.

  8. To make sure the test account has access to the application, open Users and groups in the left-hand navigation and click Add user.

  9. Copy the Identifier (Entity ID) and App Federation Metadata URL—you will need these values to configure SSO in DataRobot.

After configuring SSO in the IdP, you can now configure SSO in DataRobot.

DataRobotの設定

Now, configure the IdP in DataRobot.

Saving progress

設定中および設定が完了したときに保存して承認するをクリックします。 このボタンは、最小限必要なフィールドに入力した場合にのみアクティブになります。

Configuration options

After configuring the IdP, you must configure SSO in DataRobot by setting up an Entity ID and IdP Metadata for your organization. 2つのエンティティIDがあります。1つはサービスプロバイダー(DataRobot)のIDで、もう1つはIdPのIDです。

  • DataRobot SSO設定に入力されているエンティティIDは、サービスプロバイダーのエンティティIDとして機能する一意の文字列です。 これは、IdP側でDataRobot固有のSAMLアプリケーションのサービスプロバイダーメタデータを設定するときに入力する値です。
  • If manually configuring IdP metadata for the DataRobot-side configuration, the Issuer field is the unique identifier of the Identity Provider (IdP), found on the IdP DataRobot-specific SAML application configuration. 通常、これはIDプロバイダーのURLです。

When logged in as an admin, open Settings > Manage SSO and click the Configure using dropdown to see the three options available to configure the IdP parameters (described in the tabs below).

以下のフィールドに入力します。

フィールド 説明
名前 IdPの設定にわかりやすい名前(組織名など)を指定します。 この名前はサービスプロバイダーの詳細URLフィールドで使用されます。 名前はスペースを入れずに小文字で入力してください。 このフィールドに入力した値によって、サービスプロバイダーの詳細セクションの値が更新されます。
エンティティID サービスプロバイダーのエンティティIDとして機能する組織ごとに一意の文字列(myorg_samlなど)。 この値を入力して、DataRobot(SP)アプリとIdP SAMLアプリケーションの間で共通する識別子を確立します。
メタデータURL インテグレーション固有の情報を含むXMLドキュメントをポイントするURL(IdPが提供)。 エンドポイントは、DataRobotアプリケーションにアクセスできる必要があります。 (ローカルファイルの場合は、メタデータファイルオプションを使用します。)
IdPメタデータのHTTPS証明書を認証します オンにすると、指定されたメタデータURLに対してホスト証明書が検証されます。

Select Metadata file to provide IdP metadata as XML content.

以下のフィールドに入力します。

フィールド 説明
名前 IdPの設定にわかりやすい名前(組織名など)を指定します。 この名前はサービスプロバイダーの詳細URLフィールドで使用されます。 名前はスペースを入れずに小文字で入力してください。 このフィールドに入力した値によって、サービスプロバイダーの詳細セクションの値が更新されます。
エンティティID サービスプロバイダーのエンティティIDとして機能する組織ごとに一意の文字列(myorg_samlなど)。 この値を入力して、DataRobot(SP)アプリとIdP SAMLアプリケーションの間のマッチングを設定します。
メタデータファイル インテグレーション固有の情報を含むXMLドキュメント(IdPが提供)。 これはIdPからメタデータURLが提供されなかった場合に使用します。

Select Manual settings if IdP metadata is not available.

以下のフィールドに入力します。

フィールド 説明
名前 IdPの設定にわかりやすい名前(組織名など)を指定します。 この名前はサービスプロバイダーの詳細URLフィールドで使用されます。 名前はスペースを入れずに小文字で入力してください。 このフィールドに入力した値によって、サービスプロバイダーの詳細セクションの値が更新されます。
エンティティID サービスプロバイダーのエンティティIDとして機能する組織ごとに一意の文字列(myorg_samlなど)。 この値は、DataRobotのIdPアプリケーションを手動で設定するときに入力します。
IDプロバイダーのシングルサインオンURL ユーザーのログイン認証を開始するためにDataRobotが連絡するURL。 これは、IdP設定でDataRobot用に作成したSAMLアプリケーションから取得されます。
IDプロバイダーのシングルサインアウトURL(オプション) DataRobotがログアウト後にユーザーのブラウザーに送信するURL。 これは、IdP設定でDataRobot用に作成したSAMLアプリケーションから取得されます。 空白のままにすると、DatRobotはルートのDataRobotサイトにリダイレクトします。
発行者 これはIdP設定でDataRobot用に作成したSAMLアプリケーションから取得されます。 備考:これはDataRobot UIでオプションとして表示されていますが、オプションではないので正しく設定する必要があります。
証明書 貼り付けまたはアップロードされたX.509証明書。 証明書は、IdP署名の検証に使用されます。 これは、IdP設定でDataRobot用に作成したSAMLアプリケーションから取得されます。

マッピング

All three configuration options allow you to define how attributes, groups, and roles are synchronized between DataRobot and the IdP.

マッピングを使用すると、IdP構成の設定に基づいて、DataRobotでユーザーを自動的にプロビジョニングできます。 また、チーム内でDataRobot用に_設定されていない_メンバーがシステムに入ることも防止できます。

マッピングを追加すると、DataRobotにアクセスできるユーザーにさらに制限が追加され、ユーザーがアクセスできる対象も制御されます。 マッピングがなければ、管理者がDataRobotシステムに手動で追加した組織内の誰でもプラットフォームにアクセスできます。

Mapping example

J_Doe joins Company A on Team A and J's manager sends a link to DataRobot. When J click's on the link, s/he's profile is automatically created in the DataRobot system based on the mappings from the identity provider. Permissions are assigned based on the role as defined by J's company and how that role is defined in the IdP configuration.

一方、Jが会社AのチームBに参加した場合を考えてみます。この場合、チームBはDataRobotを使用するように設定されていないとします。 マネージャーから送信されたDataRobotリンクをJがクリックすると、DataRobotへのアクセスが拒否され、ユーザーレコードは作成されません。

次のマッピングを設定できます。

属性のマッピングを使用すると、DataRobot属性(ユーザーに関するデータ)をSAML応答のフィールドにマップできます。 つまり、DataRobotとIdPは異なる名前を使用する可能性があるため、このセクションでは、DataRobotがユーザーの表示名、名、姓、および電子メールを更新するSAML応答のフィールドの名前を設定できます。

グループマッピングを使用して、IdPグループと既存のDataRobotグループの間で無制限のマッピングを作成します。 Mappings can only be one-to-one.

構成を行うには、以下を設定します。

フィールド 説明
グループ属性 文字列をグループ名として識別する名前(SAML応答内)。
DataRobotグループ ユーザーを割り当てる既存のDataRobotグループの名前。
IDプロバイダーグループ ユーザーが属するIdPグループの名前。

Roles mapping allows you to create an unlimited number of mappings between IdP and DataRobot roles. 作成できるマッピングは、1対1、1対多、または多対多です。

構成を行うには、以下を設定します。

フィールド 説明
ロール属性 文字列を名前付きユーザーの役割として識別する名前(SAML応答内)。
DataRobotの役割 ユーザーに割り当てるDataRobotの役割の名前。
IDプロバイダーの役割 ユーザーに割り当てられているIdP設定の役割の名前。

SSO要件の設定

After all fields are validated and connection is successful, choose whether to make SSO optional or required using the toggles.

Toggle 説明
シングルサインオンを有効にする Makes SSO optional for users. If enabled, users have the option to sign into DataRobot using SSO or another authentication method (i.e., username/password).
シングルサインオンを強制します Makes SSO required for users. If enabled, users in the organization must sign in using SSO.

備考

設定とテストが完了するまで、サインオンを強制しないでください。

Once SSO is configured, provide users with the SP initiated login URL to sign into DataRobot (found under Manage SSO > Service Provider Details). Managed AI Cloud users cannot access SSO via the login screen at app.datarobot.com.

どちらの場合でも、SSOログインが有効であれば、ユーザーがSSOボタンをクリックするとIdPの認証ページにリダイレクトされ、サインオンに成功するとDataRobotにリダイレクトされます。


更新しました January 11, 2023
Back to top