TiDB Cloudにおける組織SSO認証の発表

※このブログは2024年1月2日に公開された英語ブログ「Announcing Organization SSO Authentication in TiDB Cloud」の拙訳です。

このたび、TiDB Cloudのセキュリティ機能が大幅に強化されました：組織のシングルサインオン (SSO) 認証です。この新機能は、企業の認証プロセスを合理化し、 SAML (Security Assertion Markup Language) や OIDC (OpenID Connect) を使用するあらゆるIDプロバイダー (IdP) とのシームレスな統合を可能にします。

エンタープライズ認証は、TiDBが提供するフルマネージドDBaaS (Database-as-a-Service) であるTiDB Cloud 内のリソースやデータへのアクセスを保護するために非常に重要です。組織のSSOを利用することで、一元的なユーザー管理、セキュリティの強化、ユーザーオンボーディングのエクスペリエンスの向上、アクセスポリシーのコントロールの向上が期待できます。

なぜ組織のSSOを構築したのか？

それは、エンタープライズ顧客がセキュリティおよびコンプライアンスの評価を行う際の核心的なニーズに集約されます。エンタープライズIT管理者がよく尋ねる重要な質問の一つに、『OktaやMicrosoft Azure ADのような既存のアイデンティティプロバイダー (IdP) で、TiDB Cloudのユーザー認証を管理できるか？』というものがあります。

この質問は、さらにいくつかの質問に発展させることができます：

• プロトコルの互換性：TiDB Cloudは、SAMLやOIDCなど、企業のIdPと接続するために広く使用されている認証プロトコルをサポートしていますか？
• 簡素化されたユーザーオンボーディング：TiDB Cloudに新しいユーザーを手動で招待する方法以外に、より効率的なオンボーディングプロセスはありますか？
• アクセスの即時失効：ユーザーが組織を離れた場合、TiDB Cloudへのアクセスを即座に取り消すことができますか？
• 認証の強化：ユーザーがTiDB Cloudにサインインする際のセキュリティを強化するために、TiDB Cloudは二要素認証 (2FA) や多要素認証 (MFA) をサポートしていますか？
• パスワードポリシーの実施：TiDB Cloud組織内の全ユーザーに対して、企業に準拠したパスワードポリシーを義務付けることは可能ですか？ 
• 認証方法の統一：組織のユーザーがTiDB Cloudの1つの認証方式を遵守し、他の認証方式を無効にすることは可能ですか？
• ユーザーグループの同期：企業のアイデンティティプロバイダー (IdP) からTiDB Cloudにユーザーグループを同期する仕組みはありますか？

私たちは、このような企業の重要なニーズを念頭に置き、セキュリティと業務効率の両方を強化することを目的として、組織SSOを設計しました。

組織のSSOは何を意味するのか？

TiDB Cloud 組織SSOは、堅牢なセキュリティとコンプライアンスを最優先し、企業認証の複雑さに対応するよう細心の注意を払って作られています。

選択したIDプロバイダーとのシームレスな統合

SAMLやOIDCのようなプロトコルを使用して、組織SSOは、OktaやAzure Active Directoryのようなユーザーの好みのIDプロバイダーと簡単にリンクすることができます。一度設定すると、ユーザーはIDプロバイダーから継承されたパスワードポリシー、MFA、その他のセキュリティ強化を使用してTiDB Cloudにサインインできます。

図1. アイデンティティ・プロバイダーの選択

組織のニーズに合わせてカスタマイズされた認証

組織の管理者として、TiDB Cloudの認証方法をカスタマイズすることができます。例えば、従業員にはOkta経由のSAMLを、コンサルタントにはGoogle経由のSAMLを指定し、組織レベルで詳細をカスタマイズすることができます。同時に、管理者はMicrosoftやGitHubなど他のプロトコルを無効にすることもできます。その結果、以下のようにカスタマイズされた組織のサインインページを得ることができます：

図2. サインインページ

自動プロビジョニングと許可された電子メール・ドメイン

組織SSOは、自動プロビジョニングによってユーザーのオンボーディング・エクスペリエンスを合理化します。これにより、ユーザーが企業の認証方法を使用して最初にサインインしたときに、アカウントが自動的に作成されます。組織の管理者やプロジェクトの管理者は、新しいユーザーごとに時間のかかる招待プロセスを手動で行う必要はありません。

自動プロビジョニングのセキュリティを確保するため、組織の管理者は、TiDB Cloudへのサインインを許可されたユーザーのみに特定のメールドメインを設定することができます。

SAML上のSCIM

組織SSOは、SAML上の System for Cross-domain Identity Management (SCIM) をサポートし、ユーザーのプロビジョニングとプロビジョニング解除を自動化します。これにより、ユーザーのグループの管理が簡素化されます。

組織SSOでセキュリティと効率を高める

TiDB Cloudへの組織SSO の導入は、企業ユーザーに最高レベルのセキュリティと合理化された運用効率を提供するという当社のコミットメントにおいて、大きな前進を意味します。セキュリティとコンプライアンスにおける顧客のコアニーズに対応し、一般的なアイデンティティプロバイダーとシームレスに統合することで、TiDB Cloudのセキュリティを強化するだけではなく、ユーザーエクスペリエンスにも変革をもたらします。

TiDB Cloudの2つのデプロイメントオプションであるTiDB ServerlessとTiDB Dedicatedで組織SSOが利用可能になりました。まだお試しいただいていない場合は、TiDB Serverlessクラスタを作成することで、無償で利用できるようになりました。