Confluent Cloud のシングルサインオン（SSO）¶

Confluent Cloud では、既存の SAML ベースの ID プロバイダー（IdP）を使用したシングルサインオン（SSO）が可能です。SSO は、独立した複数のソフトウェアシステムにアクセス制御を提供します。SSO を使用すると、企業ユーザーは、関連性のない複数のシステムに単一のユーザー ID とパスワードを使用してログインできます。つまり、企業が複数の自社データベースにパスワードを保管して管理する必要がなくなります。また、SSO はセキュリティを向上させ、個人のログインに関連するサービスやトラブルシューティングの問題を減らすことができます。

SSO は組織レベルで構成します。組織の SSO を有効にすると、デフォルトでは、新規作成されたユーザーは、SSO を使用しないと認証できなくなります。SSO 構成を無効なステートに戻すこともできます。SSO が有効なときに作成されていたユーザーや、招待されていたユーザーがローカルパスワードを受け取ることはありません。そのため、そのようなユーザーは、パスワードリセットフォームを使用してアカウントのローカルパスワードを設定する必要があります。ローカルパスワードをリセットしたら、ユーザーは、Confluent Cloud のメインログインページを使用してログインできるようになります。組織で SSO が有効になっている間は、SSO ユーザーは自分のパスワードをリセットできません。

前提条件¶

既存の SAML ベースの IdP（Okta、OneLogin、Azure Active Directory（AD）など）を持っている必要があります。
SSO の設定を表示して変更できるのは、OrganizationAdmin ロールを割り当てられたユーザーだけです。詳細については、「Confluent Cloud RBAC roles」を参照してください。

制限¶

IdP から開始されたフローでは、Confluent Cloud はエンドユーザーがそのフローを開始したことを検証できません。このため、ユーザーがクロスサイトリクエストフォージェリ（CSRF）攻撃に対して脆弱になります。したがって、SSO での IdP 開始のログインフローはサポートされていません。いくつかの IdP は、IdP 開始のログインフローをシミュレートするための回避策を提供しています（Okta ブックマークアプリケーションなど）。

Confluent Cloud の SSO は、シングルログアウト（SLO）プロトコルを一切サポートしていません。

SSO の用語¶

以下の用語は、Confluent Cloud の SSO 実装で重要な意味を持ちます。

ID プロバイダー（IdP）: 企業の自社ユーザーディレクトリ。SSO ユーザーは、認証を受けるために IdP にリダイレクトされます。
IdP 開始ログイン: IdP 開始ログインの場合、ユーザーは Okta などの IdP を使用して Confluent Cloud にアクセスします。
ローカルユーザー: 「非 SSO ユーザー」とも呼ばれるこのユーザーは、Confluent Cloud データベースに保管されたパスワードを所有し、Confluent Cloud バックエンドで直接認証されます。
サービスプロバイダー開始ログイン: サービスプロバイダー開始ログインの場合、ユーザーは Confluent Cloud ログインページにアクセスした後に、IdP にリダイレクトされてログインします。
SSO ユーザー: 企業の IdP を使用して Confluent Cloud の認証を受けるユーザーです。

Confluent Cloud の SSO ワークフロー¶

ウェブブラウザー¶

SSO が有効になると、ユーザーは confluent.cloud/login/sso/<sso-identifier> でログインします。ブラウザーは login.confluent.io で ID ブローカーに OpenID 接続（OIDC）リクエストを行います。これによってブラウザーがリダイレクトされ、組織の IdP に SAML リクエストが送信されます。ユーザーが正常に認証されると、IdP は、署名された SAML ID アサーションを返します。これを ID ブローカーが JSON Web トークン（JWT）に変換します。Confluent Cloud は、このトークンを使用して、ブラウザーからの追加リクエストを認証します。

Confluent Cloud の SSO ワークフロー¶

Confluent CLI¶

SSO が有効になり、confluent login コマンドが発行されると、以下のブラウザーベースのワークフローが開始されます。

認証コールバックを受け取るために、localhost 上で HTTP サーバーを生成します。
ブラウザーで login.confluent.io に移動して、SSO フローを開始します。
ブラウザーはユーザーを自動的に IdP ログインページにリダイレクトします。
ログインが正常に行われると、ブラウザーは、署名された id_token と一緒にユーザーを元の localhost にリダイレクトします。
Confluent CLI は、この id_token を使用して Confluent Cloud バックエンドセッションを取得します。

注釈

ウェブブラウザーを持たないサーバー（別名 "ジャンプホスト"）上で Confluent CLI が実行中の場合、このフローは機能しません。そのような場合は --no-browser オプションを使用してログインする必要があります。詳細については「Confluent CLI を使用したログイン」を参照してください。

SSO の構成¶

https://confluent.cloud で Confluent Cloud にサインインします。
ADMINISTRATION、Single Sign-on の順に移動します。
Single sign-on ページで Enable SSO をクリックします。
SSO ID プロバイダーを選択し、Next をクリックします。
SSO identifier フィールドに、組織を識別するために使用される一意の SSO ID を入力します。この値は次のように、SSO ログインリンクの URL に追加されます。
```
https://confluent.cloud/login/sso/<sso-identifier>
```
SSO ID に含めることができる文字は、小文字、数字、および「-」のみです。

Continue をクリックします。

IdP を構成するために必要な詳細情報が表示されます。IdP は、この情報を使用して、有効な SAML サービスプロバイダーからの認証リクエストを受け入れます。
IdP 構成情報をコピーして IdP に貼り付けます（たとえば Okta の場合、この情報は SAML 設定ページにあります）。

重要

名前 ID の一時 ID（nameid-format:transient）はサポートされていないため、指定しないでください。名前 ID には E メールアドレスを使用することをお勧めします。名前 ID が E メールアドレスでない場合は、SAML 応答アサーションに、SAML 属性として E メールアドレスが含まれている必要があります。指定されている E メールアドレスは、Confluent Cloud プロファイルで指定したアドレスと正確に一致する必要があります。有効な名前 ID は nameid-format:persistent、nameid-format:emailAddress、nameid-format:unspecified のいずれかのフォーマットを使用しなければなりません。

SAML 名前 ID のフォーマットが emailAddress ではない場合は、SAML 応答アドレスに、E メールアドレスとして saml:Attribute が含まれている必要があります。

Continue をクリックします。
IdP の情報を使用して、SSO 設定を構成します。
- Upload signing certificate をクリックして CA 証明書を追加します。
- IdP の SAML サインオン URL を入力します。この例で、SAML sign-on URL は、SSO に Okta を使用していることを前提としています。
- E メールマッピングを指定して、E メールアドレスが SAML 属性にマッピングされることを確認します。値を指定することも、提供されているデフォルトのオプション（名前 ID、名前、または E メールアドレス）のいずれかを使用することもできます。
Save をクリックします。

以下に、Okta IdP の SAML 設定ページの例を示します。ここでは、Configure your Identity Provider からコピーして貼り付けた値が表示されています。
シングルサインオン（SSO）ページで SSO 構成のサマリーを確認します。値を編集する必要がある場合や表示されている値が IdP のデータと一致しない場合は、Edit をクリックします。

SSO 構成の検証¶

SSO 構成を検証するには、シングルサインオン（SSO）のサマリーに表示されるサインオンリンク（confluent.cloud/login/sso/<sso-identifier>）を使用して、新しいログイン URL（このワークフロー例では https://confluent.cloud/login/sso/big-company）に移動します。組織のサインオンページにリダイレクトされます。IdP ログイン認証情報を入力すると、元の Confluent Cloud アプリケーションにリダイレクトされます。

アプリケーションとの対話は、SSO を使用しない場合のエクスペリエンスとほとんど同じです。主な違いは、パスワードが IdP で管理されるようになるので、Confluent Cloud ユーザーインターフェイスや「パスワードのリセット」フローを使用してパスワードを変更することができないことです。

ユーザーの追加¶

Confluent Cloud にログインするユーザーは、招待を受けて組織に参加し、同じ組織ドメインのメンバーであることを検証する必要があります。

注釈

追加したユーザーが同じ組織ドメインに属していることの確認には、ユーザーのメールアドレスが使用されます。通常、組織ドメインを決定し、また、ユーザーを追加するための権限を与えられるのは、その組織の最初のユーザーです。

組織にユーザーを追加するには、ADMINISTRATION、Accounts & access の順に移動します。Accounts & access ページで Add user をクリックします。追加するユーザーの E メールアドレスを入力します。このユーザーは、自分が組織に招待されたことを通知する E メールを受け取ります。

ユーザーは、組織固有の新しい SSO URL を使用してログインする必要があります。例: https://confluent.cloud/login/sso/<sso-identifier>。

Confluent Cloud アカウントを持っていないユーザーが、IdP を使用してログインしようとすると、「Invalid username」メッセージを受け取ります。

注釈

SSO が有効な場合は、Confluent Cloud にログインする前にユーザーが E メールアドレスを検証する必要はありません。ユーザーの IdP 認証情報が有効で、ユーザーのプロファイルが Confluent Cloud に存在していれば、そのユーザーはログインできます。

組織で SSO が有効にされた後に、ローカルユーザーを追加することができます。SSO が有効になった後にローカルユーザーを追加する場合は、必ず、Add as SSO user チェックボックスをオフにしてください（デフォルトではオンになっています）。

../../../_images/cloud-sso-invite-local-user.png

Confluent CLI を使用したログイン¶

SSO が有効になった後に、Confluent CLI を使用してログインすることもできます。

confluent login

ウェブブラウザーを持たないサーバー（別名 "ジャンプホスト"）で Confluent CLI を実行している場合、confluent login を使用してログインすることはできません。そのような場合は --no-browser オプションを使用する必要があります。

confluent login --no-browser

このログインコマンドを実行すると、URL が出力されるので、その URL をコピーしてローカルブラウザーに貼り付ける必要があります。認証情報を指定して正常にログインすると、ブラウザーにコードが表示されます。このコードをコピーして Confluent CLI に貼り付ける必要があります。このワークフローは以下のようになります。

confluent login --no-browser
Updates are available for ccloud. To install them, please run:
$ confluent update

Enter your Confluent credentials:
Email: smith@confluent.io
Navigate to the following link in your browser to authenticate:
https://login.confluent.io/authorize?response_type=code&code_challenge=NovO_c6FO44G-6cfRbqTrBcEOrDnvm7GNZLCHCmbPM8&code_challenge_method=S252&client_id=hPbGLM8G55HSaUsaaieiiAprnJaEc3rH&redirect_uri=https://confluent.cloud/cli_callback&scope=email%20openid&audience=https://confluent.auth0.com/api/v2/&state=CoOGX1aQhvwdH2dFSvKV-gh09INnYcXFaYbUnWq3Ekw&connection=big-company

After authenticating in your browser, paste the code here:
#### The following code was copied and pasted from the browser #####
CoOGX1aQhvwdH2dFSvKV-gh09INnXcXFaYbUnWq3Ekw/bf1jJFSANhlQBqPn
Logged in as smith@confluent.io
Using environment t21388 ("default")

Confluent Cloud Console を使用したログイン¶

SSO を使用するように新規ユーザーを招待すると、そのユーザーに新規 SSO ログインページへのリンクが含まれた E メール通知が届きます。通知の文言やフォーマットは組織ごとに異なりますが、リンクは必ず含まれています。受信者は、招待を受け入れてアカウントのセットアップを実行するために、このリンクをクリックする必要があります。

注釈

通知のリンクは 1 回しか使用できません。このリンクを組織の他のユーザーと共有しないでください。このリンクは E メール通知の受信者に対してのみ機能します。

../../../_images/ccloud-sso-accept-invite.png

承諾フォームに入力し、Submit をクリックします。新しい SSO ログイン画面が表示されます。組織固有の SSO ログイン URL は https://confluent.cloud/login/sso/<sso-identifier> のようになります。この sso-identifier は組織の ID に置き換えられます。これが新しい永続的な Confluent Cloud SSO ログインページです。ブックマークを使用する場合は、この URL を保存します。

SSO の無効化¶

SSO を無効にするには、以下を実行します。

In Confluent Cloud Console, open the sidebar menu and click ADMINISTRATION -> Single sign-on.

The Single sign-on page displays.
Scroll to the bottom of the Single sign-on page and click Disable.

SSO が無効になると、組織のチームメンバーは IdP を使用してサインインできなくなるので、Forgot Password を使用して Confluent Cloud パスワードを作成する必要があります。

SSO を再度有効にするには、SSO の構成の手順を繰り返す必要があります。

SSO のトラブルシューティング¶

SSO を有効にした後の最初のログインを、まだ IdP にサインインしている状態で行うと、直ちにログインし、IdP ログインウィンドウがバイパスされることがあります。これが発生した場合は、IdP セッションからログアウトしてから、incognito ブラウザーウィンドウを使用してログインしてください。