ID プロバイダーの管理

最大 25 の外部 ID プロバイダー (IdP) を設定して、組織でユーザーのシングルサインオン (SSO) を有効にします。 Anypoint Platform では現在、SSO プロバイダーの SAML 2.0 設定と OpenID Connect (OIDC) 設定をサポートしています。

アクセス管理 API を使用している場合は、次の点に注意します。

  • 新しい IdP が対象範囲外の古いエンドポイントは、新しいエンドポイントに置き換えられます。

  • 2021 年 10 月 31 日以前に作成された IdP は、古いエンドポイントと下位互換性があります。

  • 従来の IdP が削除された場合、その後再び追加されても古いエンドポイントはサポートされません。

Anypoint Platform でのユーザー ID の管理

デフォルトで、組織は Anypoint Platform を使用してユーザー ID とログイン情報を管理します。1 つ以上の外部 ID プロバイダーを追加した場合は、この機能を無効にできます。

Anypoint Platform を使用してユーザー ID を管理する組織は、アクセス管理設定と外部 ID プロバイダーのいずれかを使用して、新しいユーザーを組織に追加するかどうかを制御します。 ユーザーアカウントに多要素認証 (MFA) を求めない組織は、MFA と除外アカウントの有効/無効を選択します。組織が MFA を求める場合は、システム管理者が ​[Identity Providers (ID プロバイダー)]​ セクションの ​[Anypoint]​ 設定を使用して除外アカウントを管理します。

始める前に

始める前に、次の準備が整っていることを確認します。

  • 組織のシステム管理者権限

  • OpenID Connect または SAML 2.0 の ID プロバイダー

ID プロバイダーを管理する

ID プロバイダーのリストにアクセスして、設定を定義し、ID プロバイダーを追加します。

  1. 組織のシステム管理者権限を持つアカウントを使用して Anypoint Platform にログインします。

  2. ナビゲーションバーまたは Anypoint Platform のメインページで、​[Access Management (アクセス管理)]​ をクリックします。

  3. [Access Management (アクセス管理)] ナビゲーションメニューで、​[Identity Providers (ID プロバイダー)]​ をクリックします。

ID プロバイダーのリストが表示されます。

ID プロバイダーを追加する

[Add Identity Provider (ID プロバイダーを追加)]​ をクリックして、追加する ID プロバイダー種別を選択します。 次のいずれかを選択します。

ID プロバイダーを削除する

複数の ID プロバイダーが設定されている場合は、不要になった外部 ID プロバイダーを削除します。

IdP を削除する前に、別の IdP (ネイティブの Anypoint Platform IdP、外部 IdP など) にユーザーのログイン情報と権限構造が設定されていることを確認します。

IdP を削除するときは、次の点に注意します。

  • ユーザーがこの IdP を使用して Anypoint Platform にログインできなくなります。

  • この IdP に関連付けられている外部のチームやロールグループのマッピングがすべて削除されます。

  • この IdP に関連付けられているアクセス管理 API のエンドポイントがサポートされなくなります。

ID プロバイダーを削除する手順は、次のとおりです。

  1. 組織のシステム管理者権限を持つアカウントを使用して Anypoint Platform にログインします。

  2. ナビゲーションバーまたは Anypoint Platform のメインページで、​[Access Management (アクセス管理)]​ をクリックします。

  3. [Access Management (アクセス管理)] ナビゲーションメニューで、​[Identity Providers (ID プロバイダー)]​ をクリックします。

  4. 削除する ID プロバイダーの横にある ​[…​]​ メニューをクリックします。

  5. [Delete…​ (削除…​)]​ をクリックします。

  6. [API Update (API の更新)]​ ウィンドウで、​[Continue (続行)]​ をクリックします。

  7. ID プロバイダーの名前を入力します。

  8. [Delete (削除)]​ をクリックします。

ユーザーによる Anypoint Platform プロファイルのリンクを有効化

組織のシステム管理者は、同じメールアドレスを使用してログインする複数の Anypoint Platform プロファイルをユーザーがリンクできるようにすることができます。

Anypoint プラットフォームでは次のリンクがサポートされています。

  • ログイン情報 (Anypoint IdP によって管理されるログイン) を使用したローカルプロファイルへの SSO ログインのリンク

  • 異なる IdP を使用する別の SSO ログインへの SSO ログインのリンク

  • 異なる IdP を使用する他の複数のプロファイルへの SSO ログインのリンク

Anypoint Platform では、同じ IdP を使用する複数のプロファイルのリンクはサポートされていません。OpenID Connect (OIDC) IdP のみがサポートされています。

  1. 組織のシステム管理者権限を持つアカウントを使用して Anypoint Platform にログインします。

  2. ナビゲーションバーまたは Anypoint Platform のメインページで、​[Access Management (アクセス管理)]​ をクリックします。

  3. [Access Management (アクセス管理)] ナビゲーションメニューで、​[Identity Providers (ID プロバイダー)]​ をクリックします。

  4. [Link Multiple SSO Profiles (複数の SSO プロファイルをリンク)]​ セクションで、​[Enabled (有効)]​ をクリックします。

  5. [Save Changes (変更を保存)]​ をクリックします。

    これで、組織内のユーザーは、同じメールアドレスを共有する他の IdP プロファイルと SSO ログインをリンクできます。

ユーザーアカウントからリンクされたプロファイルの削除

組織のシステム管理者は、​/accounts/api/organizations/:orgId/users/:userId/identityProviderProfiles​ に対する ​DELETE​ コールを実行することで、ユーザーアカウントからリンクされたプロファイルを削除できます。詳細は、 「Access Management API (アクセス管理 API)」ドキュメント​を参照してください。