> ## Documentation Index
> Fetch the complete documentation index at: https://wb-21fd5541-feat-cli-docs-generator.mintlify.site/llms.txt
> Use this file to discover all available pages before exploring further.

# SSO を OIDC で設定

W\&B サーバーは、OpenID Connect (OIDC) 互換のアイデンティティ プロバイダーをサポートしており、Okta、Keycloak、Auth0、Google、および Entra などの外部アイデンティティ プロバイダーを通じてユーザー アイデンティティとグループ メンバーシップを管理できます。

## OpenID Connect (OIDC)

W\&B サーバーは、外部アイデンティティプロバイダー (IdP) とのインテグレーションのために、次の OIDC 認証フローをサポートします。

1. フォームポストを使用したインプリシットフロー
2. コードエクスチェンジのための証明キーを使用した認可コードフロー (PKCE)

これらのフローはユーザーを認証し、必要なアイデンティティ情報 (ID トークンの形式) を W\&B サーバーに提供してアクレス制御を管理します。

ID トークンは、ユーザーの名前、ユーザー名、メール、およびグループメンバーシップなど、ユーザーのアイデンティティ情報を含む JWT です。W\&B サーバーはこのトークンを使用してユーザーを認証し、システム内で適切なロールやグループにマッピングします。

W\&B サーバーのコンテキストでは、アクセストークンはユーザーを代表して API へのリクエストを認可しますが、W\&B サーバーの主な関心はユーザー認証とアイデンティティであるため、ID トークンのみが必要です。

環境変数を使用して、[Dedicated Cloud](/ja/platform/hosting/iam/advanced_env_vars/) の [IAM オプションを設定](/ja/platform/hosting/hosting-options/dedicated_cloud)するか、[Self-Managed](/ja/platform/hosting/hosting-options/self-managed) インスタンスを設定することができます。

[Dedicated Cloud](/ja/platform/hosting/hosting-options/dedicated_cloud) または [Self-Managed](/ja/platform/hosting/hosting-options/self-managed) W\&B サーバーインストールのためにアイデンティティ プロバイダーを設定する際は、さまざまな IdP に関するこれらのガイドラインに従ってください。SaaS バージョンの W\&B を使用している場合は、組織の Auth0 テナントを設定するための支援を求めるには [support@wandb.com](mailto:support@wandb.com) に連絡してください。

<Tabs>
  <Tab title="Cognito">
    AWS Cognito を認証に設定する手順は以下の通りです：

    1. 最初に AWS アカウントにサインインし、[AWS Cognito](https://aws.amazon.com/cognito/) アプリに移動します。

           <Frame>
             <img src="https://mintcdn.com/wb-21fd5541-feat-cli-docs-generator/ieIe5bCVegZ3Xn7A/images/hosting/setup_aws_cognito.png?fit=max&auto=format&n=ieIe5bCVegZ3Xn7A&q=85&s=1889e5b6e34082ef02691ca7a1f53498" alt="認証に OIDC を使用し認可に使用しない場合、パブリッククライアントはセットアップを簡素化します" width="1672" height="946" data-path="images/hosting/setup_aws_cognito.png" />
           </Frame>

    2. IdP にアプリケーションを設定するための許可されたコールバック URL を入力します：
       * `http(s)://YOUR-W&B-HOST/oidc/callback` をコールバック URL として追加します。 `YOUR-W&B-HOST` を W\&B ホストパスに置き換えます。

    3. IdP がユニバーサルログアウトをサポートしている場合は、ログアウト URL を `http(s)://YOUR-W&B-HOST` に設定します。 `YOUR-W&B-HOST` を W\&B ホストパスに置き換えます。

       たとえば、アプリケーションが `https://wandb.mycompany.com` で実行されている場合、`YOUR-W&B-HOST` を `wandb.mycompany.com` に置き換えます。

       下の画像は、AWS Cognito で許可されたコールバックとサインアウト URL を提供する方法を示しています。

           <Frame>
             <img src="https://mintcdn.com/wb-21fd5541-feat-cli-docs-generator/ieIe5bCVegZ3Xn7A/images/hosting/setup_aws_cognito_ui_settings.png?fit=max&auto=format&n=ieIe5bCVegZ3Xn7A&q=85&s=efb0404af264a1767ccf3fa210bc93cf" alt="インスタンスが複数のホストからアクセス可能な場合は、ここにすべてを含めてください。" width="1658" height="1056" data-path="images/hosting/setup_aws_cognito_ui_settings.png" />
           </Frame>

       *wandb/local* はデフォルトで [`implicit` grant with the `form_post` response type](https://auth0.com/docs/get-started/authentication-and-authorization-flow/implicit-flow-with-form-post) を使用します。

       また、*wandb/local* を設定して、[PKCE Code Exchange](https://www.oauth.com/oauth2-servers/pkce/) フローを使用する `authorization_code` grant を実行することもできます。

    4. アプリにトークンを届ける方法を AWS Cognito で設定するために、1 つ以上の OAuth グラントタイプを選択します。

    5. W\&B は特定の OpenID Connect (OIDC) スコープを要求します。AWS Cognito App から以下を選択してください：

       * "openid"
       * "profile"
       * "email"

       たとえば、AWS Cognito アプリの UI は以下の画像のようになります：

           <Frame>
             <img src="https://mintcdn.com/wb-21fd5541-feat-cli-docs-generator/ieIe5bCVegZ3Xn7A/images/hosting/setup_aws_required_fields.png?fit=max&auto=format&n=ieIe5bCVegZ3Xn7A&q=85&s=1dd0f1ff1cdc79ee2925dc06f68589c4" alt="必須フィールド" width="1656" height="670" data-path="images/hosting/setup_aws_required_fields.png" />
           </Frame>

       設定ページで **Auth Method** を選択するか、`OIDC_AUTH_METHOD` 環境変数を設定して、どのグラントが *wandb/local* に適しているかを指定します。

       Auth Method を `pkce` に設定する必要があります。

    6. クライアント ID および OIDC 発行者の URL が必要です。OpenID ディスカバリドキュメントは `$OIDC_ISSUER/.well-known/openid-configuration` で利用可能でなければなりません。

       たとえば、ユーザープール ID を **User Pools** セクションの **App Integration** タブから、Cognito IdP URL に追加することで発行者 URL を生成できます：

           <Frame>
             <img src="https://mintcdn.com/wb-21fd5541-feat-cli-docs-generator/ieIe5bCVegZ3Xn7A/images/hosting/setup_aws_cognito_issuer_url.png?fit=max&auto=format&n=ieIe5bCVegZ3Xn7A&q=85&s=9a516ef2500d320819aedd09a14530f5" alt="AWS Cognito での発行者 URL のスクリーンショット" width="3166" height="1616" data-path="images/hosting/setup_aws_cognito_issuer_url.png" />
           </Frame>

       IDP URL には「Cognito ドメイン」を使用しないでください。Cognito は `https://cognito-idp.$REGION.amazonaws.com/$USER_POOL_ID` でそのディスカバリドキュメントを提供します。
  </Tab>

  <Tab title="Okta">
    Okta を認証に設定する手順は以下の通りです：

    1. [https://login.okta.com/](https://login.okta.com/) で Okta ポータルにログインします。

    2. 左側のサイドバーで **Applications**、そして再度 **Applications** を選択します。
           <Frame>
             <img src="https://mintcdn.com/wb-21fd5541-feat-cli-docs-generator/ieIe5bCVegZ3Xn7A/images/hosting/okta_select_applications.png?fit=max&auto=format&n=ieIe5bCVegZ3Xn7A&q=85&s=6301e72fd7d715bcbce9338d30913463" width="1978" height="1625" data-path="images/hosting/okta_select_applications.png" />
           </Frame>

    3. "Create App integration" をクリックします。
           <Frame>
             <img src="https://mintcdn.com/wb-21fd5541-feat-cli-docs-generator/ieIe5bCVegZ3Xn7A/images/hosting/okta_create_new_app_integration.png?fit=max&auto=format&n=ieIe5bCVegZ3Xn7A&q=85&s=d1404f4e2130ce1a0fcd0716ed02460f" width="2330" height="1319" data-path="images/hosting/okta_create_new_app_integration.png" />
           </Frame>

    4. "Create a new app integration" 画面で **OIDC - OpenID Connect** と **Single-Page Application** を選択し、次に「Next」をクリックします。
           <Frame>
             <img src="https://mintcdn.com/wb-21fd5541-feat-cli-docs-generator/ieIe5bCVegZ3Xn7A/images/hosting/okta_create_a_new_app_integration.png?fit=max&auto=format&n=ieIe5bCVegZ3Xn7A&q=85&s=3230057c44a9515cfb3fb6f670ca4507" width="1935" height="1690" data-path="images/hosting/okta_create_a_new_app_integration.png" />
           </Frame>

    5. "New Single-Page App Integration" 画面で、次の内容を入力し「Save」をクリックします：
       * アプリ統合名、例として "Weights & Biases"
       * グラントタイプ: **Authorization Code** と **Implicit (hybrid)** の両方を選択
       * サインイン リダイレクト URI: https\://YOUR\_W\_AND\_B\_URL/oidc/callback
       * サインアウト リダイレクト URI: https\://YOUR\_W\_AND\_B\_URL/logout
       * 割り当て: **Skip group assignment for now** を選択
           <Frame>
             <img src="https://mintcdn.com/wb-21fd5541-feat-cli-docs-generator/ieIe5bCVegZ3Xn7A/images/hosting/okta_new_single_page_app_integration.png?fit=max&auto=format&n=ieIe5bCVegZ3Xn7A&q=85&s=4c63e9d56d267b257b5eff26b8bcf771" width="1692" height="2675" data-path="images/hosting/okta_new_single_page_app_integration.png" />
           </Frame>

    6. 作成したばかりの Okta アプリケーションの概要画面で、**Client ID** を **Client Credentials** の **General** タブの下に記録します：
           <Frame>
             <img src="https://mintcdn.com/wb-21fd5541-feat-cli-docs-generator/ieIe5bCVegZ3Xn7A/images/hosting/okta_make_note_of_client_id.png?fit=max&auto=format&n=ieIe5bCVegZ3Xn7A&q=85&s=f26f36397b4bafce7f99576a4c84107c" width="1434" height="1734" data-path="images/hosting/okta_make_note_of_client_id.png" />
           </Frame>

    7. Okta OIDC 発行者 URL を特定するには、左側のメニューで **Settings** そして **Account** を選択します。
       Okta UI は **Organization Contact** の下に企業名を表示します。
           <Frame>
             <img src="https://mintcdn.com/wb-21fd5541-feat-cli-docs-generator/ieIe5bCVegZ3Xn7A/images/hosting/okta_identify_oidc_issuer_url.png?fit=max&auto=format&n=ieIe5bCVegZ3Xn7A&q=85&s=da274f402ca3ce636f6be2d1c1fb84d4" width="2166" height="1172" data-path="images/hosting/okta_identify_oidc_issuer_url.png" />
           </Frame>

    OIDC 発行者 URL は `https://COMPANY.okta.com` の形式です。該当する値で COMPANY を置き換えて、注意してください。
  </Tab>

  <Tab title="Entra">
    1. [Azure ポータル](https://portal.azure.com/)にログインします。

    2. **Microsoft Entra ID** サービスに移動し、左側のサイドバーから **App registrations** を選択します。

    3. ページ上部の **New registration** をクリックします。

    4. 「アプリケーションの登録」画面で次の値を設定します：
       * **名前**: わかりやすい名前を入力（例：「Weights and Biases application」）
       * **サポートされるアカウントタイプ**: デフォルトの「シングルテナント」を維持するか、必要に応じて変更
       * **リダイレクト URI**: プラットフォームタイプ **Web** を選択し、`https://YOUR_W_AND_B_URL/oidc/callback` を入力
       * **登録** をクリック

    5. 登録後、概要ページから次の値をメモします：

       * **アプリケーション (client) ID** - これが OIDC Client ID です
       * **ディレクトリ (テナント) ID** - これが OIDC Issuer URL に使用されます

           <Frame>
             <img src="https://mintcdn.com/wb-21fd5541-feat-cli-docs-generator/ieIe5bCVegZ3Xn7A/images/hosting/entra_app_overview_make_note.png?fit=max&auto=format&n=ieIe5bCVegZ3Xn7A&q=85&s=33275428b46214ce89c1fdd20e8ff5a0" width="3022" height="1328" data-path="images/hosting/entra_app_overview_make_note.png" />
           </Frame>

    6. 認証設定を構成します：
       * 左側のサイドバーから **Authentication** を選択
       * **Front-channel logout URL** に `https://YOUR_W_AND_B_URL/logout` を入力
       * **保存** をクリック

    7. クライアントシークレットを作成します：

       * 左側のサイドバーから **Certificates & secrets** を選択
       * **New client secret** をクリック
       * 説明を追加（例：「wandb」）
       * 有効期限を選択
       * **追加** をクリック
       * **重要**: シークレットの **値** を即座にコピーして保存（シークレット ID ではありません）

           <Frame>
             <img src="https://mintcdn.com/wb-21fd5541-feat-cli-docs-generator/ieIe5bCVegZ3Xn7A/images/hosting/entra_make_note_of_secret_value.png?fit=max&auto=format&n=ieIe5bCVegZ3Xn7A&q=85&s=63ccc017f83648c20683c87b05ceda9e" width="2156" height="646" data-path="images/hosting/entra_make_note_of_secret_value.png" />
           </Frame>

    これで次の 3 つの値をメモしておいてください：

    * OIDC クライアント ID
    * OIDC クライアントシークレット
    * OIDC 発行者 URL に必要なテナント ID

    OIDC 発行者 URL は次の形式です：`https://login.microsoftonline.com/${TenantID}/v2.0`
  </Tab>
</Tabs>

## W\&B サーバーでの SSO 設定

SSO を設定するには、管理者権限と次の情報が必要です：

* OIDC クライアント ID
* OIDC 認証方法（`implicit` または `pkce`）
* OIDC 発行者 URL
* OIDC クライアントシークレット (オプション; IdP の設定方法に依存します)

<Note>
  IdP が OIDC クライアントシークレットを要求する場合、環境変数 `OIDC_CLIENT_SECRET` で指定してください。
</Note>

SSO の設定は、W\&B サーバー UI を使用するか、`wandb/local` pod に[環境変数](/ja/platform/hosting/env-vars) を渡して設定することができます。環境変数が UI よりも優先されます。

<Note>
  SSO を設定した後でインスタンスにログインできない場合、`LOCAL_RESTORE=true` 環境変数を設定してインスタンスを再起動できます。これにより、一時的なパスワードがコンテナのログに出力され、SSO が無効になります。SSO の問題を解決したら、環境変数を削除して SSO を再度有効化する必要があります。
</Note>

<Tabs>
  <Tab title="System Console">
    System Console は System Settings ページの後継です。これは [W\&B Kubernetes Operator](/ja/platform/hosting/operator/) ベースのデプロイメントで利用可能です。

    1. [Access the W\&B Management Console](/ja/platform/hosting/operator/#access-the-wb-management-console) を参照してください。

    2. **Settings** に移動し、次に **Authentication** を選択します。**Type** ドロップダウンで **OIDC** を選択します。
           <Frame>
             <img src="https://mintcdn.com/wb-21fd5541-feat-cli-docs-generator/ieIe5bCVegZ3Xn7A/images/hosting/sso_configure_via_console.png?fit=max&auto=format&n=ieIe5bCVegZ3Xn7A&q=85&s=8cd6e850f8178beabaf055f4e86f7e4a" width="2763" height="888" data-path="images/hosting/sso_configure_via_console.png" />
           </Frame>

    3. 値を入力します。

    4. **Save** をクリックします。

    5. ログアウトし、IdP ログイン画面を使用して再度ログインします。
  </Tab>

  <Tab title="System settings">
    1. Weights\&Biases インスタンスにサインインします。

    2. W\&B アプリに移動します。

           <Frame>
             <img src="https://mintcdn.com/wb-21fd5541-feat-cli-docs-generator/ieIe5bCVegZ3Xn7A/images/hosting/system_settings.png?fit=max&auto=format&n=ieIe5bCVegZ3Xn7A&q=85&s=1a443161671c58e6b488ce59fb479d2a" width="1041" height="1079" data-path="images/hosting/system_settings.png" />
           </Frame>

    3. ドロップダウンから **System Settings** を選択します:

           <Frame>
             <img src="https://mintcdn.com/wb-21fd5541-feat-cli-docs-generator/ieIe5bCVegZ3Xn7A/images/hosting/system_settings_select_settings.png?fit=max&auto=format&n=ieIe5bCVegZ3Xn7A&q=85&s=6f2e9002d1c0a63af5b05d91241eb42c" width="1049" height="396" data-path="images/hosting/system_settings_select_settings.png" />
           </Frame>

    4. 発行者、クライアント ID、および認証方法を入力します。

    5. **Update settings** を選択します。

    <Frame>
      <img src="https://mintcdn.com/wb-21fd5541-feat-cli-docs-generator/ieIe5bCVegZ3Xn7A/images/hosting/system_settings_select_update.png?fit=max&auto=format&n=ieIe5bCVegZ3Xn7A&q=85&s=c01a243504fed1f7a35637874c9b12b1" width="922" height="1338" data-path="images/hosting/system_settings_select_update.png" />
    </Frame>
  </Tab>
</Tabs>

<Note>
  SSO を設定した後でインスタンスにログインできない場合、`LOCAL_RESTORE=true` 環境変数を設定してインスタンスを再起動できます。これにより、一時的なパスワードがコンテナのログに出力され、SSO がオフになります。SSO の問題を解決したら、環境変数を削除して SSO を再度有効化する必要があります。
</Note>

## セキュリティ・アサーション・マークアップ言語 (SAML)

W\&B サーバーは SAML をサポートしていません。
