重要
このページの日本語コンテンツは古くなっている可能性があります。最新の英語版コンテンツをご覧になるには、こちらをクリックしてください。
Confluent Cloud のシングルサインオン(SSO)¶
Confluent Cloud では、既存の SAML ベースの ID プロバイダー(IdP)を使用したシングルサインオン(SSO)が可能です。SSO は、独立した複数のソフトウェアシステムにアクセス制御を提供します。SSO を使用すると、企業ユーザーは、関連性のない複数のシステムに単一のユーザー ID とパスワードを使用してログインできます。つまり、企業が複数の自社データベースにパスワードを保管して管理する必要がなくなります。また、SSO はセキュリティを向上させ、個人のログインに関連するサービスやトラブルシューティングの問題を減らすことができます。
In Confluent Cloud, SSO is enabled at the organization level. By default, newly users must authenticate using SSO.
警告
When SSO is disabled, the authentication method for users does not automatically change. Before you disable SSO, make sure that you have a local user account with the OrganizationAdmin role to be able to sign in to your organization.
前提条件¶
- You must have an existing SAML-based identity provider, such as Okta, OneLogin, or Azure Active Directory (AD).
- Only users assigned the OrganizationAdmin role can view and modify SSO settings.
制限¶
Identity provider-initiated sign-in flows for SSO are not supported. In an identity provider-initiated flow, Confluent Cloud cannot verify that an end user initiated the flow, which leaves users vulnerable to Cross-Site Request Forgery (CSRF) attacks. Several identity providers suggest workarounds to simulate identity provider-initiated login flows, such as the Okta bookmark application.
The SAML Single Logout (SLO) Protocol, including the Single Logout URL, is not supported in Confluent Cloud SSO.
SSO の用語¶
The following terms play a key role in the implementation of SSO for Confluent Cloud:
- ID プロバイダー(IdP)
- The service that stores and manages digital identities. SSO users are redirected to the identity provider for authentication.
- ローカルユーザー
- Also known as a "non-SSO user", this user possesses a password that is stored in the Confluent Cloud database and authenticates directly with Confluent Cloud. For details, see ローカルユーザーアカウント.
- サービスプロバイダー開始ログイン
- For a service provider-initiated login, users access the Confluent Cloud login page, and are then redirected to their identity provider to log in.
- SSO ユーザー
- The Confluent Cloud user who authenticates using their own identity provider.
Confluent Cloud の SSO ワークフロー¶
ウェブブラウザー¶
With SSO enabled, users sign in at confluent.cloud/login/sso/<sso-identifier>.
The browser makes an OpenID Connect (OIDC) request to the identity broker at
login.confluent.io, which then redirects the browser to send a SAML request
to the organization's identity provider. After the user successfully authenticates,
the identity provider responds with a signed SAML ID Assertion, which the identity
broker translates into a JSON Web Token (JWT). Confluent Cloud uses this token to authenticate
additional requests from the browser.
Confluent Cloud の SSO ワークフロー¶
Confluent CLI¶
SSO が有効になり、confluent login コマンドが発行されると、以下のブラウザーベースのワークフローが開始されます。
- 認証コールバックを受け取るために、
localhost上で HTTP サーバーを生成します。 - ブラウザーで
login.confluent.ioに移動して、SSO フローを開始します。 - The browser automatically redirects the user to the identity provider sign-in page.
- After successfully signing in, the browser redirects the user back to
localhostwith a signedid_token. - Confluent CLI は、この
id_tokenを使用して Confluent Cloud バックエンドセッションを取得します。
注釈
If the Confluent CLI is running on a server without a web browser (also known as a "jump"
host"), then this flow does not work. In such cases, you must log in using the --no-browser
option. For details, refer to Sign in to Confluent Cloud using SSO.
Sign in to Confluent Cloud using SSO¶
You can sign in to Confluent Cloud using the Confluent CLI or the Confluent Cloud Console.
SSO が有効な組織では、次の Confluent CLI コマンドを使用して、SSO ユーザーアカウント で Confluent Cloud 組織にサインインできます。
confluent login
注釈
- "SSO" 認証方式では、
confluent loginコマンドがユーザーにパスワードの入力を求めることはありません。SSO での認証は ID プロバイダーに任されます。 - 非推奨となった "Local and SSO" 認証方式では、SSO 認証方式がデフォルトになり、ユーザーが認証方式を選択することはできません。"Local and SSO" ユーザーアカウントタイプに関する重要な情報については、「ユーザーアカウント」の注釈を参照してください。
If the Confluent CLI is running on a server without a web browser (also known as
a "jump host"), then you cannot sign in using confluent login. In such cases,
you must use the --no-browser option:
confluent login --no-browser
After running this command, you receive a printout of a URL, which you must copy and paste into a local browser. After you provide your credentials and successfully log in, the browser displays a code that you must copy and paste back into in the Confluent CLI. Your workflow should look like the following:
confluent login --no-browser
Updates are available for ccloud. To install them, please run:
$ confluent update
Enter your Confluent credentials:
Email: smith@confluent.io
Navigate to the following link in your browser to authenticate:
https://login.confluent.io/authorize?response_type=code&code_challenge=NovO_c6FO44G-6cfRbqTrBcEOrDnvm7GNZLCHCmbPM8&code_challenge_method=S252&client_id=hPbGLM8G55HSaUsaaieiiAprnJaEc3rH&redirect_uri=https://confluent.cloud/cli_callback&scope=email%20openid&audience=https://confluent.auth0.com/api/v2/&state=CoOGX1aQhvwdH2dFSvKV-gh09INnYcXFaYbUnWq3Ekw&connection=big-company
After authenticating in your browser, paste the code here:
#### The following code was copied and pasted from the browser #####
CoOGX1aQhvwdH2dFSvKV-gh09INnXcXFaYbUnWq3Ekw/bf1jJFSANhlQBqPn
Logged in as smith@confluent.io
Using environment t21388 ("default")
After new users are invited to use SSO, they receive an email notification that includes a link to the new SSO sign-in page. The wording and format of the notification will vary by organization, but it will always include a link that the recipient must click to accept the invitation and complete account setup.
注釈
通知のリンクは 1 回しか使用できません。このリンクを組織の他のユーザーと共有しないでください。このリンクは E メール通知の受信者に対してのみ機能します。
承諾フォームに入力し、Submit をクリックします。新しい SSO ログイン画面が表示されます。組織固有の SSO ログイン URL は https://confluent.cloud/login/sso/<sso-identifier> のようになります。この sso-identifier は組織の ID に置き換えられます。これが新しい永続的な Confluent Cloud SSO ログインページです。ブックマークを使用する場合は、この URL を保存します。
Disable SSO¶
SSO を無効にするには、以下を実行します。
Confluent Cloud Console で、サイドバーのメニューを開き、ADMINISTRATION -> Single sign-on の順にクリックします。
Single sign-on ページが表示されます。
Single sign-on ページの下までスクロールし、Disable をクリックします。
When SSO is disabled, your organization's team members will no longer be able to sign in using your identity provider, and must use Forgot Password to create a Confluent Cloud password.
SSO を再度有効にするには、Enable Single sign-on (SSO) for Confluent Cloud の手順を繰り返す必要があります。
Troubleshoot SSO¶
If you attempt to sign in for the first time after enabling SSO while you are still signed in to your identity provider, you might be signed in immediately and bypass the identity provider sign-in window. If this occurs, sign out of your identity provider session, then sign in using an incognito browser window.