SAML SSO の削除
お客様がアイデンティティプロバイダーの変更などの理由により、組織から SAML 連携を削除する必要が発生する場合があります。SAML ユーザーは、他のユーザー種別とは別のアイデンティティとして扱われます。別の認証方法に切り替えるには、以下の手順に従ってください。
この操作は元に戻せません。SAML 連携を削除すると、SAML ユーザーは復元できない状態で無効化されます。組織へのアクセスを維持できるよう、以下の手順を注意深く実施してください。
開始する前に
組織から SAML を削除した後にユーザーを組織へ再招待するには、別の認証方法を利用できる管理者ユーザーが 1 名必要です。これらの手順を実行するには、Admin 権限を持つ ClickHouse Cloud ユーザーが必要です。
招待を有効にする
ClickHouse Cloud にログインし、件名を Enable invitations for SAML organization としたサポートチケットを送信します。これは、SAML 以外の方法でユーザーを追加できるようにするためのリクエストです。
再招待するユーザーを確認する
左下の組織名をクリックし、Users and Roles を選択します。各ユーザーの Provider カラムを確認し、Signed in with SSO と表示されているユーザーは、SAML を削除した後に組織へ再招待する必要があります。
SAML が削除された後は、アカウントにアクセスする前に新しい招待を承認する必要があることを、ユーザーへ周知してください。
SAML 以外のユーザーを組織に追加する
ユーザーが招待を承諾する
ユーザーは、招待を承諾する前に、すべての SAML 接続から完全にログアウトしておく必要があります。Google または Microsoft のソーシャルログインで招待を承諾する場合は、Continue with Google または Continue with Microsoft ボタンをクリックします。メールアドレスとパスワードを使用するユーザーは、https://console.clickhouse.cloud/?with=email にアクセスしてログインし、招待を承諾する必要があります。
ユーザーが SAML 設定に基づいて自動的にリダイレクトされないようにする最も確実な方法は、招待を承諾するためのリンクをコピーし、別のブラウザー、またはプライベートブラウジング/シークレット(シークレットモード)セッションに貼り付けて、そこで招待を承諾することです。
クエリとダッシュボードを保存する
ユーザーが新しい ID でサインインしたら、一度ログアウトし、SAML アカウントで再度ログインして、保存済みクエリやダッシュボードを新しい ID と共有する必要があります。そのうえで、新しい ID の方でコピーを保存して処理を完了させてください。
SAML の削除
以下の項目が完了していることを、注意深く確認してください。
- 組織内に、SAML 以外のログイン方法を持ち、Admin ロールが割り当てられているユーザーが少なくとも 1 人いること
- 必要なすべてのユーザーを、別の認証方法を使って再招待していること
- すべての保存済みクエリとダッシュボードを、SAML 以外のユーザーに移行していること
これらの項目が完了している場合は、Organization settings タブに移動し、Enable SAML single sign-on 設定をオフに切り替えます。警告が表示されるので、Disable をクリックします。続いて Users and roles タブに移動し、SAML ユーザーを削除します。
