ログイン設定 - Dataphin - Alibaba Cloud ドキュメントセンター

背景情報

Dataphin では、ログイン用に複数のアカウントシステムを設定できます。さまざまなログイン方法を単一の Dataphin アカウントにリンクできます。初期アカウントを持っていて、後でシングルサインオン (SSO) と統合する場合、SSO アカウントを初期 Dataphin アカウントの UID にバインドする必要があります。

制限事項

この機能は、Dataphin V6.0.0 以降の、パブリッククラウドのスタンドアロンデプロイメント、プライベートクラウドのスタンドアロンデプロイメント、およびパブリッククラウドの専用インスタンス (半マネージド) のデプロイモードでのみ利用できます。

ログイン方法の追加

Dataphin Manager のホームページのトップメニューバーで、[System Configuration] をクリックします。左側のナビゲーションウィンドウで、[Login Settings] を選択します。
[Login Settings] ページで、[Add Logon Method] をクリックします。

セットアップウィザードに従って、[プロトコル構成] と [アカウントマッピング] を完了します。

プロトコル設定

説明

各ログイン方法は一度しか選択できません。

CAS プロトコル

認証サービス設定

パラメーター	説明
ログイン方法の選択	[CAS プロトコル] を選択します。
システム名	ログインページに表示されるこのログイン方法の表示名です。デフォルト値は CAS Login です。
[System icon]	ログインページに表示されるこのログイン方法のアイコンです。 200 KB 未満の PNG または JPG ファイルをアップロードできます。イメージがアップロードされない場合は、デフォルトのアイコンが使用されます。
[System description] (任意)	システムの簡単な説明です。
CAS バージョン	[CAS2] または [CAS3] を選択します。
認証サーバーのURL	CAS 認証サーバの URL を入力します。URL を入力した後、[ネットワーク接続をテスト] をクリックします。接続テストに成功した場合にのみ、[送信して次へ] をクリックできます。
認証サーバーログイン URL	ご利用の CAS 認証サーバーのログイン URL を入力します。URL を入力した後、[Test Network Connectivity] をクリックします。接続テストに成功した後にのみ、[Submit and Next] をクリックできます。
認証サーバーログアウト URL	ご利用の CAS 認証サーバーのログアウト URL を入力します。
セッションタイムアウト	セッションが有効な期間です。タイムアウト後、システムは再認証を要求します。最大値は 1440 分 (24 時間) です。

ユーザー情報設定

パラメーター	説明
ソースシステム内のユーザー ID のキー	ソースシステム内のユーザー ID に対応するキーを入力します。
ソースシステム内のユーザー名のキー	ソースシステム内のユーザー名に対応するキーを入力します。このキーが存在しない場合は、ユーザー ID のキーを使用してください。
ソースシステム内のアカウントのキー	ソースシステム内のアカウントに対応するキーを入力します。このキーが存在しない場合は、ユーザー ID のキーを使用してください。
ソースシステム内の携帯電話番号のキー（オプション）	ソースシステム内の携帯電話番号に対応するキーを入力します。
ソースシステム内のメールアドレスのキー（オプション）	ソースシステム内のメールアドレスに対応するキーを入力します。

OAuth 2.0

認証サービス設定

パラメーター	説明
ログイン方法を選択	[OAuth 2.0] を選択します。
システム名	ログインページに表示されるこのログイン方法の表示名です。デフォルト値は OAuth 2.0 Login です。
システムアイコン	ログインページに表示されるこのログイン方法のアイコンです。 200 KB 未満の PNG または JPG ファイルをアップロードできます。イメージがアップロードされない場合は、デフォルトのアイコンが使用されます。
[System description] (任意)	システムの簡単な説明です。
付与タイプ	現在、認証コード付与タイプのみがサポートされています。
[Authorization server login URL]	認証コードを取得するための URL を入力します。システムは client_id などのパラメーターをリクエストに追加します。URL を入力した後、[Test Network Connectivity] をクリックします。テストに成功した後にのみ、[Submit and Next] をクリックできます。
[Authorization server logout URL] (任意)	認証サーバーのログアウト URL を入力します。
認証プラットフォームタイプ (任意)	Keycloak など、接続している ID プロバイダー (IdP) のタイプを記録します。説明サーバーログアウト機能を使用する場合は、このフィールドは必須です。
client_id, client_secret	認証サーバーによって発行されたクライアント ID とシークレットを入力します。これらの認証情報により、アプリケーションが認証されます。
アクセストークンリクエストURL	アクセストークンをリクエストするための OAuth 2.0 認証サーバー上のエンドポイントです。
[Additional parameters for requesting access token] (任意)	アクセストークンをリクエストする際に含める追加の静的パラメーターです。
[Parameter passing method for requesting access token]	[URL] または [Body] を選択します。デフォルトは URL です。
認証ヘッダータイプ	[Token] または [Bearer] を選択します。デフォルトは Token です。
セッションタイムアウト	セッションが有効な期間です。タイムアウト後、システムは再認証を要求します。最大値は 1440 分 (24 時間) です。

ユーザー情報設定

パラメーター	説明
[ユーザー情報リクエスト用 URL]	OAuth 2.0 権限付与サーバー上のユーザー情報リクエスト用 URL を入力します。
[ユーザー情報リクエストの追加パラメーター] (オプション)	ユーザー情報リクエスト時に含める追加パラメーターを入力します。
[ユーザーアカウント ID 解析]	ユーザー情報応答からアカウント ID を抽出するための JSONPath 式です。例: `$.accountId`。デフォルトは `$.id` です。
[ユーザーアカウント名解析]	ユーザー情報応答からアカウント名を抽出するための JSONPath 式です。例: `$.accountName`。デフォルトは `$.id` です。
[ユーザーニックネーム解析]	ユーザー情報応答からユーザーのニックネームを抽出するための JSONPath 式です。例: `$.nickname`。デフォルトは `$.id` です。

SAML

パラメーター	説明
ログイン方法の選択	[SAML] を選択します。
システム名	ログインページに表示されるこのログイン方法の表示名です。デフォルト値は SAML Login です。
システムアイコン	ログインページに表示されるこのログイン方法のアイコンです。 200 KB 未満の PNG または JPG ファイルをアップロードできます。イメージがアップロードされない場合は、デフォルトのアイコンが使用されます。
[System description] (任意)	システムの簡単な説明です。
認証プラットフォームの種類	Azure、AD FS、SAML など、接続している ID プロバイダー (IdP) のタイプを記録します。デフォルト値は saml です。
認証プラットフォームの構成ファイル	認証プラットフォームから設定ファイルをアップロードします。.xlsx ファイルのみがサポートされています。
認証プラットフォームログイン URL	このパラメーターを入力する必要はありません。システムはメタデータファイルからこれらの URL を自動的に解析します。
認証プラットフォームログアウト URL
認証プラットフォーム証明書	このパラメーターを入力する必要はありません。システムはメタデータファイルから証明書を自動的に解析します。
Dataphin サービスメタデータ（省略可）	[Download Metadata File] をクリックして、Dataphin をサービスプロバイダー (SP) として識別するメタデータファイルをダウンロードします。このファイルには、SP の一意の識別子、コールバック URL、および IdP が必要とするその他の情報が含まれています。
[Identity Provider name] (任意)	IdP から提供された名前または ID を入力します。一部の IdP では、認証にこれが必要です。詳細については、ご利用の IdP のドキュメントをご参照ください。
[Communication binding method] (任意)	通信バインディング方式を入力します。sp.xml のものと一致する必要があります。空白のままにすると、デフォルトは `urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect` です。別のオプションは `urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST` です。
セッションタイムアウト	セッションが有効な期間です。タイムアウト後、システムは再認証を要求します。最大値は 1440 分 (24 時間) です。

Alibaba Cloud RAM

認証サービス設定

パラメーター	説明
[ログイン方法の選択]	Alibaba Cloud RAM を選択します。
[システム名]	ログインページに表示される、このログイン方法の表示名です。デフォルト値は Alibaba Cloud RAM ログインです。
[システムアイコン]	ログインページに表示される、このログイン方法のアイコンです。 PNG または JPG 形式で、200 KB 未満のファイルをアップロードできます。イメージがアップロードされない場合、デフォルトアイコンが使用されます。
[システム説明] (オプション)	システムの簡単な説明です。
[認証サーバーログイン URL]	認証コードを取得するための URL を入力します。client_id などのパラメーターはリクエストに追加されます。URL を入力した後、[ネットワーク接続のテスト] をクリックします。テストが成功した後にのみ、[送信して次へ] をクリックできます。
[認証サーバーログアウト URL] (オプション)	認証サーバーのログアウト URL を入力します。
[client_id]、[client_secret]	Alibaba Cloud RAM の OAuth アプリケーションの ID とシークレットを入力します。
[アクセストークンをリクエストするための URL]	アクセストークンをリクエストするためのエンドポイントです。デフォルト値は `https://oauth.aliyun.com/v1/token` です。
[セッションタイムアウト]	セッションが有効な状態を維持する持続時間です。タイムアウト後、システムは再認証を必要とします。最大値は 1440 分 (24 時間) です。

ユーザー情報設定

パラメーター	説明
ユーザー情報取得用 URL	ユーザー情報をリクエストするための権限付与サーバー上のエンドポイントです。デフォルト値は `https://oauth.aliyun.com/v1/userinfo` です。
ユーザー情報取得用リージョン（任意）	ユーザー情報を取得する際に使用するリージョンを入力します。
ユーザー情報取得用 AccessKey ID、ユーザー情報取得用 AccessKey シークレット	ユーザー情報を取得する際に使用する AccessKey ID および AccessKey シークレットを入力します。

Feishu

パラメーター	説明
ログイン方法の選択	[Feishu] を選択します。
システム名	ログインページに表示されるこのログイン方法の表示名です。デフォルト値は Feishu Login です。
[システムアイコン]	ログインページに表示されるこのログイン方法のアイコンです。 200 KB 未満の PNG または JPG ファイルをアップロードできます。イメージがアップロードされない場合は、デフォルトのアイコンが使用されます。
[System description] (任意)	システムの簡単な説明です。
認証サーバーログイン URL	認証コードを取得するための URL です。デフォルトでは Feishu プラットフォームの `https://open.feishu.cn/open-apis/authen/v1/index` が使用されます。URL を入力した後、[ネットワーク接続のテスト] をクリックします。テストが成功した後にのみ、[送信して次へ] をクリックできます。
アプリID, アプリシークレット	アプリケーションの App ID と App Secret を入力します。
セッションタイムアウト	セッションが有効な期間です。タイムアウト後、システムは再認証を要求します。最大値は 1440 分 (24 時間) です。

サードパーティ SSO

認証サービス設定

パラメーター	説明
ログイン方法を選択	[サードパーティ SSO] を選択します。
システム名	ログインページに表示されるこのログイン方法の表示名です。デフォルト値は Third-party SSO Login です。
システムアイコン	ログインページに表示されるこのログイン方法のアイコンです。 200 KB 未満の PNG または JPG ファイルをアップロードできます。イメージがアップロードされない場合は、デフォルトのアイコンが使用されます。
システムの説明 (任意)	システムの簡単な説明です。
統合ドキュメント	詳細については、「サードパーティ SSO を使用して Dataphin とログインを統合する方法」をご参照ください。
[Authentication server URL]	認証サービスの URL を入力します。URL を入力した後、[Test Network Connectivity] をクリックします。テストに成功した後にのみ、[Submit and Next] をクリックできます。
セッション有効性チェック URL	チケットを検証するためのエンドポイントを入力します。デフォルトのリクエストパスは `/cookie/validCookie?ticket={ticket}` です。
ログアウトURL	ログアウト URL を入力します。デフォルトのリクエストパスは `/user/logout?ticket={ticket}` です。
ログイン成功後の Dataphin へのリダイレクト	未認証のユーザーがシステムにアクセスしようとすると、セッション有効性チェックエンドポイントによって提供されるリターンアドレスにリダイレクトされます。ログイン成功後にユーザーを自動的に Dataphin にリダイレクトするには、リターンアドレスに `?target-uri=xxxx` を追加する必要があります。ここで xxxx はリダイレクト先です。

ユーザー情報設定

パラメーター	説明
[ユーザー情報取得用 URL]	ユーザー情報をリクエストするための URL を入力します。デフォルトのリクエストパスは `/user/getAllUser` です。
[取得方法]	[完全同期]、[ページネーション同期]、または [カーソルベース同期] を選択します。デフォルトは完全同期です。説明 [ページネーション同期] または [カーソルベース同期] を選択した場合、[pagesize] も設定する必要があります。
[pagesize]	1 ページあたりに取得するユーザー数を入力します。

アカウントマッピング (任意)
このセクションには、現在 Dataphin を使用しているすべてのメンバーが表示されます。SSO 統合後のデータ整合性を確保するために、Dataphin アカウントと SSO アカウント間のマッピングを設定できます。マッピングされていないユーザーがこのログイン方法で Dataphin にアクセスすると、手動でアカウントを関連付けることができます。
メンバーリストには、ユーザー名、初期アカウント、Dataphin ユーザー ID、およびソースシステムユーザー ID が表示されます。リストは、一括検索、マッピングの一括インポート、および一括エクスポートをサポートしています。
- 一括検索：複数の Dataphin ユーザー ID を入力して完全一致検索を行います。ID は改行で区切ります。一度に最大 1,000 個の ID を入力できます。
- 一括インポートマッピング: [一括インポートマッピング] をクリックします。まず、現在のアカウントデータファイル（名前： dataphin_account_mapping_sso.xlsx）をダウンロードし、次に設定済みアカウントマッピングファイルをアップロードします。
  説明
  - 現在のアカウントデータをダウンロードすると、デフォルトで最初の 500 件のユーザーレコードがダウンロードされます。特定のユーザーをエクスポートするには、エクスポートする前にリストで選択します。
  - アップロードするアカウントマッピングファイルは .xlsx 形式である必要があります。一度に最大 500 件のレコードをアップロードできます。インポートファイル内のレコードのソースシステム ID が空白の場合、システムはそのレコードをスキップします。
  - ユーザーのソースシステム ID をクリアするには、リストで編集する必要があります。
  - [Start Import] をクリックすると、システムはデータを検証します。一部のレコードのインポートに失敗した場合、失敗したインポートの詳細を示すダイアログボックスが表示されます。
- 一括エクスポート：リストで 1 つ以上のアカウントを選択し、ページ下部の [Batch Export] をクリックします。これにより、選択したアカウントデータが dataphin_account_mapping_export_sso.xlsx という名前のファイルにエクスポートされます。ファイルには、ユーザー名、初期アカウント、Dataphin ユーザー ID、およびソースシステムユーザー ID が含まれます。

[OK] をクリックします。システムはアカウントマッピング情報を自動的に検証します。エラーが発生した場合は、プロンプトに従って情報を修正してください。

ログイン方法の管理

[Login Settings] ページには、設定済みのすべてのログイン方法のリストが表示され、システム名、システムの説明、ログイン方法、システムコード、およびステータスが表示されます。アイコンをドラッグして、ログイン方法の順序を変更できます。

ログイン方法：CAS、OAuth 2.0、SAML、Alibaba Cloud RAM、Feishu、Dataphin 組み込みアカウント、およびサードパーティ SSO のログイン方法を追加できます。「その他」という特別な方法タイプは、以前のバージョンから統合されたログイン方法を表します。編集または削除はできません。新しいログインプロトコルを追加するには、Dataphin 運用チームにお問い合わせください。
システムコード：これは、メンバー関連の一部の OpenAPI を呼び出す際に渡す必要があるアカウントシステムコードです。ユーザー ID のソースシステムを識別します。

説明

バージョンアップグレード後、ログイン方法リストには、現在使用されている方法がシステム名「Default Login」、システム説明「Default login method」で表示されます。

ログイン方法では、以下の管理操作がサポートされています。

操作	説明
無効化	対象のログインメソッドの [アクション] 列のアイコンをクリックし、確認ダイアログボックスで [OK] をクリックします。メソッドが無効になると、対応するシステムのユーザーはログインできなくなります。
有効化	Dataphin は、作成時にすべてのログイン方法をデフォルトで有効化します。無効化されたログイン方法を有効化するには、[操作] 列のアイコンをクリックします。
編集	対象のログイン方法の[操作]列にあるアイコンをクリックし、セットアップウィザードに従ってください。メソッドを編集しても、その有効化ステータスには影響しません。Dataphin 組み込みアカウントを除き、編集可能なパラメーターは作成時に設定されたものと同じです。詳細については、「ログイン方法を追加する」をご参照ください。 Dataphin 組み込みアカウントのログイン方法を編集する際には、以下のパラメーターを設定できます： [Allow regular users to create accounts]：このオプションはデフォルトで有効になっており、Dataphin 組み込みアカウントのログイン方法がアクティブな場合に有効になります。有効にすると、すべてのメンバーが [管理センター] > [メンバー管理] で独自の Dataphin 組み込みアカウントを作成できます。無効にすると、「テナントメンバーの管理」権限を持つロールのみが新しいアカウントを作成できます。 [ブラウザの閉じる操作による自動ログアウトの無効化]、[会話タイムアウトポリシー]、[パスワードの有効期限]、[アカウントロックアウトしきい値]、および[アカウントロックアウト期間]：これらの設定は、「管理センター＞システム設定＞ログインセキュリティ」の設定と同一です。詳細については、「ログインセキュリティ設定」をご参照ください。Dataphin 組み込みアカウントログイン方法が有効な場合、これらの設定をここで、または「ログインセキュリティ」で構成できます。
削除	対象のログイン方法の [操作] 列で、アイコンをクリックし、確認ダイアログボックスで [OK] をクリックします。削除すると、該当するシステムのユーザーはログインできなくなります。説明 Dataphin 組み込みアカウントのログイン方法は削除できません。