エンタープライズSSO統合ガイド
tracio.aiをSAML、OIDC、カスタムIDプロバイダーと統合します。Okta、Auth0、Azure ADについてコード例付きで手順を追って解説します。
エンタープライズのお客様は、tracio.aiダッシュボードにシングルサインオン(SSO)統合を必要とします。このガイドでは、SAML 2.0またはOpenID Connect(OIDC)を使ってtracio.aiをお客様のIDプロバイダーと接続する方法を、最も一般的な3つのプロバイダー、すなわちOkta、Auth0、Azure ADについての具体的な手順とともに解説します。
サポートされるプロトコル
tracio.aiは2つのSSOプロトコル、SAML 2.0とOpenID Connectをサポートします。SAMLは従来のエンタープライズ標準で、レガシーなIDプロバイダーに広くサポートされています。OIDCはOAuth 2.0の上に構築された最新の標準で、実装がよりシンプルでモバイルサポートも優れています。私たちは新規統合にはOIDCを、それを標準として採用している組織にはSAMLを推奨します。
どちらのプロトコルも同じフローに従います。ユーザーがtracio.aiダッシュボードへのアクセスを試み、認証のためにお客様のIDプロバイダーへリダイレクトされ、署名付きのアサーションまたはトークンとともにtracio.aiへ戻されます。tracio.aiはアサーションを検証し、ユーザーセッションを作成または更新し、マッピングされたロールに基づいてアクセスを付与します。
Okta統合
Oktaの場合、Okta管理コンソールで新しいアプリケーション統合を作成します。サインイン方式としてOIDCを、アプリケーションタイプとしてWeb Applicationを選択します。サインインのリダイレクトURIをhttps://dashboard.tracio.ai/auth/callback/oidcに設定します。サインアウトのリダイレクトURIをhttps://dashboard.tracio.ai/auth/logoutに設定します。
tracio.aiダッシュボードのSettings > Authenticationで、Oktaのドメイン、クライアントID、クライアントシークレットを入力します。tracio.aiはOktaのメタデータURLからOIDCエンドポイントを自動検出します。グループからロールへのマッピングを設定し、Oktaのグループメンバーシップに基づいてtracio.aiのロール(Admin、Analyst、Viewer)を割り当てます。
Auth0統合
Auth0ダッシュボードで新しいRegular Web Applicationを作成します。https://dashboard.tracio.ai/auth/callback/oidcをAllowed Callback URLsに追加します。https://dashboard.tracio.aiをAllowed Logout URLsに追加します。アプリケーションのConnectionsタブで、適切な接続(データベース、ソーシャル、エンタープライズ)を有効にします。
tracio.aiで、Auth0のドメイン、クライアントID、クライアントシークレットを入力します。https://your-domain.auth0.com/.well-known/openid-configurationにあるAuth0のOIDCディスカバリーエンドポイントが、必要なすべてのメタデータを提供します。Auth0 RulesまたはActionsを使って、ロールマッピングのためのカスタムクレームをIDトークンに含めます。
Azure AD統合
Azureポータルで、Azure Active Directory > App registrations > New registrationに移動します。リダイレクトURIをhttps://dashboard.tracio.ai/auth/callback/oidcに設定します。Certificates & secretsで、新しいクライアントシークレットを作成します。API permissionsで、openid、profile、emailの権限が付与されていることを確認します。
tracio.aiで、Azure ADのテナントID、クライアントID、クライアントシークレットを入力します。OIDCメタデータURLはhttps://login.microsoftonline.com/{tenant-id}/v2.0/.well-known/openid-configurationというパターンに従います。Azure ADのグループまたはアプリロールを、ロールマッピング設定でtracio.aiのロールにマッピングします。
ロールマッピングとプロビジョニング
tracio.aiは3つのロールをサポートします。Admin(APIキー管理と請求を含む完全なアクセス)、Analyst(イベント、シグナル、ルールへの読み書きアクセス)、Viewer(読み取り専用のダッシュボードアクセス)です。ロールは、お客様のIDプロバイダーのグループまたはクレームからマッピングされます。
私たちはまた、ユーザーの自動プロビジョニングとデプロビジョニングのためにSCIM 2.0をサポートします。従業員がお客様のIDプロバイダーの適切なグループに追加されると、正しいロールでtracio.aiに自動的にプロビジョニングされます。削除されると、そのアクセスは数分以内に取り消されます。SCIMは、ユーザーのライフサイクル管理がお客様のIDプロバイダーで一元化されたままに保たれることを保証します。