SSOの設定には、以下の領域での作業が必要です。
Identity Provider(IdP)環境での作業(IdPの管理者が実施)
TD Consoleでの作業(Treasure Dataアカウントオーナーまたは管理者が実施)
以下のトピックに進んでください。
IdP環境では、認可されたアプリケーションのリストにTreasure Dataを追加します。複数のIdPおよびサインイン方法を表示および設定できます。IdPでは、各Treasure Dataアカウントはそれぞれのアプリケーションとして追加されます。必要に応じて、ユーザーをTreasure Dataアプリケーションに割り当てます。
Treasure Dataアカウントオーナーまたは管理者として、信頼設定を構成し、ユーザーにSSOアクセスを割り当てます。各Treasure Dataアカウントで信頼設定を構成します。TD ConsoleまたはTD APIを使用して信頼設定を構成できます。TD APIのサポートについては、カスタマーサクセス担当者にお問い合わせください。
SSOが有効になっている各Treasure Dataアカウントには、Treasure Data内で一意の名前が割り当てられます。割り当てられた名前は、IdP設定で使用されます。このIDは編集できません。
詳細な設定手順については、TD ConsoleでのSSO設定を参照してください。
はい。SSOで設定された複数のアカウントに単一のメールアドレスを使用するには、以下の2つの条件を満たす必要があります。
- サポートが顧客にAWSアカウント名を共有し、Console URLに添付できるようにする必要があります
aws:1XXX9 - abcde12345abcde12345 - https://console.us01.treasuredata.com/users/initiate_sso?account_name=abcde12345abcde12345 aws:1XXX2 - 11aa22bb33cc44dd55ee - https://console.us01.treasuredata.com/users/initiate_sso?account_name=11aa22bb33cc44dd55ee
- IdPアカウント名はアカウントごとに異なる必要があります。その後、顧客は両方のアカウントで同じメールアドレスを使用できます。
- このルートを選択しない場合、2つの異なるアカウントに対して異なるメールアドレスで同じユーザーを作成する唯一の方法は、アカウントごとにメールエイリアスを作成することです。例:tina+prod@example.comとtina+testing@example.com。
- 顧客が選択するIdPは、メールアドレスの「+」記号をサポートしている必要があります。
- メールアドレスが同じでも、user_idはユーザーごとに異なるため、監査ログは影響を受けません。