Documentation Index
Fetch the complete documentation index at: https://wb-21fd5541-docs-2661.mintlify.app/llms.txt
Use this file to discover all available pages before exploring further.
このガイドは、OpenID Connect (OIDC) 互換のアイデンティティプロバイダを使用してシングルサインオン (SSO) を有効にしたい、W&B 専用クラウド またはセルフマネージド インスタンスの管理者向けです。このガイドを完了すると、アイデンティティプロバイダの設定と W&B への接続が完了し、ユーザーは組織の既存のアイデンティティシステムを通じてサインインできるようになります。また、Okta、Keycloak、Auth0、Google、Entra などのプロバイダを通じて、ユーザーのアイデンティティやグループメンバーシップを管理できるようになります。
W&B は、外部の アイデンティティプロバイダ (IdP) と統合するために、以下の OIDC 認証フローをサポートしています。
- form post を使用する implicit flow。
- Proof Key for Code Exchange (PKCE) を使用する authorization code flow。
これらのフローはユーザーを認証し、アクセス制御の管理に必要なアイデンティティ情報を W&B に提供します (ID トークンの形式で) 。
ID トークンは JWT であり、ユーザーの名、ユーザー名、メールアドレス、グループ メンバーシップなどのアイデンティティ情報を含みます。W&B はこのトークンを使用してユーザーを認証し、システム内の適切なロールまたはグループにマッピングします。
W&B では、アクセストークンはユーザーに代わって API へのリクエストを認可するために使用されますが、W&B が主に重視するのはユーザー認証とアイデンティティであるため、必要なのは ID トークンのみです。
環境変数を使用して、IAM オプションを設定できます。対象は、専用クラウド または セルフマネージド インスタンスです。
専用クラウド または セルフマネージド デプロイメントの アイデンティティプロバイダ の設定を支援するために、以下のガイドラインに従ってください。W&B Multi-tenant Cloud を使用している場合は、サポートが必要な際に support@wandb.com までお問い合わせください。
以下のセクションでは、OIDC 用にアイデンティティプロバイダ (IdP) を設定する方法を説明します。まず、IdP の設定手順を完了してください。次のセクションで W&B の SSO を設定する際に、ここで取得した Client ID、Issuer URL、および (必要に応じて) Client Secret を使用します。詳細は、ご利用の IdP に対応するタブを選択してください。
AWS Cognito をアイデンティティプロバイダとして設定するには、次の手順に従ってください。最後に、W&B の設定時に使用する Client ID と OIDC issuer URL を取得します。
-
AWS アカウントにサインインし、AWS Cognito アプリにアクセスします。
-
アイデンティティプロバイダでアプリケーションを設定するため、許可するコールバック URL を指定します。コールバック URL として
http(s)://[YOUR-W-AND-B-HOST]/oidc/callback を追加します。[YOUR-W-AND-B-HOST] は W&B のホストパスに置き換えてください。
-
アイデンティティプロバイダがユニバーサルログアウトをサポートしている場合は、Logout URL を
http(s)://[YOUR-W-AND-B-HOST] に設定します。[YOUR-W-AND-B-HOST] は W&B のホストパスに置き換えてください。
たとえば、アプリケーションが https://wandb.mycompany.com で実行されている場合は、[YOUR-W-AND-B-HOST] を wandb.mycompany.com に置き換えます。
次の画像は、AWS Cognito で許可するコールバック URL とサインアウト URL を指定する方法を示しています。
wandb/local は、デフォルトで form_post レスポンスタイプを使用する implicit grant を使用します。
また、PKCE Code Exchange フローを使用する authorization_code grant を実行するように wandb/local を設定することもできます。
-
AWS Cognito がアプリにトークンを渡す方法を設定するために、1 つ以上の OAuth grant type を選択します。
-
W&B では、特定の OpenID Connect (OIDC) scope が必要です。AWS Cognito アプリから次を選択します。
たとえば、AWS Cognito の App UI は次の画像のようになります。
wandb/local が使用する grant を指定するには、設定ページで Auth Method を選択するか、OIDC_AUTH_METHOD 環境変数を設定します。
Auth Method は pkce に設定する必要があります。
-
Client ID と OIDC issuer の URL が必要です。OpenID discovery document は
$OIDC_ISSUER/.well-known/openid-configuration で利用できる必要があります。
たとえば、User Pools セクション内の App Integration タブにある Cognito IdP URL に User Pool ID を追加して、issuer URL を生成できます。
IdP URL に Cognito ドメインは使用しないでください。Cognito は discovery document を https://cognito-idp.$REGION.amazonaws.com/$USER_POOL_ID で提供します。
次に、W&B で SSO を設定する。 以下の手順に従って、Okta をアイデンティティプロバイダとして設定します。完了すると、W&B の設定時に使用する Client ID と OIDC issuer URL を取得できます。
-
Okta Portal にサインインします。
-
左側で Applications を選択し、続けてもう一度 Applications を選択します。
-
Create App integration をクリックします。
-
Create a new app integration 画面で、OIDC - OpenID Connect と Single-Page Application を選択します。次に、Next をクリックします。
-
New Single-Page App Integration 画面で、以下のように値を設定し、Save をクリックします。
- App integration name: たとえば
W&B。
- Grant type: Authorization Code と Implicit (hybrid) の両方を選択します。
- Sign-in redirect URIs:
https://[YOUR-W-AND-B-URL]/oidc/callback。
- Sign-out redirect URIs:
https://[YOUR-W-AND-B-URL]/logout。
- Assignments: Skip group assignment for now を選択します。
-
作成した Okta アプリケーションの概要画面で、General タブの Client Credentials にある Client ID を控えます。
-
Okta の OIDC Issuer URL を確認するには、左側で Settings を選択し、次に Account を選択します。
Okta の UI では、会社名は Organization Contact の下に表示されます。
OIDC issuer URL の形式は次のとおりです: https://[COMPANY].okta.com。[COMPANY] を該当する値に置き換えてください。この値も控えておきます。次に、W&B で SSO を設定します。 Azure AD (Entra ID) は、W&B 向けに2つの OIDC 設定モードをサポートしています。セキュリティ要件に合った設定を選択してください。
- 公開クライアント: クライアントシークレットなしで PKCE を使用します。設定が簡単で、ほとんどのデプロイ環境に適しています。
- 機密クライアント: クライアントシークレットを使用する PKCE を使用します。
GORILLA_OIDC_SECRET 環境変数を設定する必要がある場合に必須です。
設定を混在させないでください。Azure AD で Single-page application を選択した場合は、クライアント シークレットを指定しないでください。クライアント シークレットが必要な場合は、プラットフォームのタイプとして Web を選択する必要があります。
クライアントシークレットを指定する必要がない場合は、この設定を使用します。高度なセキュリティ要件がないデプロイメントに適しています。
- Azure Portal にサインインします。
- Microsoft Entra ID サービスにアクセスし、左サイドバーで App registrations を選択します。
- ページ上部の New registration をクリックします。
- Register an application 画面で、以下を設定します。
- Name: わかりやすい名前を入力します。
- Supported account types: 既定の Single tenant のままにするか、必要に応じて変更します。
- Redirect URI: プラットフォームタイプで Single-page application を選択し、
https://[YOUR-W-AND-B-URL]/oidc/callback を入力します。
- Register をクリックします。
- 登録後、Overview ページで次の値をメモします。
- Application (client) ID: OIDC Client ID です。
- Directory (tenant) ID: OIDC Issuer URL です。
- 認証設定を行います。
- 左サイドバーで Authentication を選択します。
- Front-channel logout URL に
https://[YOUR-W-AND-B-URL]/logout を入力します。
- Save をクリックします。
次の詳細をメモしておきます。
- OIDC Client ID: 手順 5 の Application (client) ID。
- OIDC Issuer URL:
https://login.microsoftonline.com/[TENANT-ID]/v2.0 ([TENANT-ID] は手順 5 の Directory ID に置き換えます) 。
W&B を設定するときは、次を使用します。
- Auth Method:
pkce。
- OIDC Client Secret: 空のままにします (
GORILLA_OIDC_SECRET は設定しません) 。
次に、W&B で SSO を設定します。
クライアントシークレットを使用して認証する必要がある場合は、この設定を使用します。
- Azure Portal にサインインします。
- Microsoft Entra ID サービスにアクセスし、左サイドバーから App registrations を選択します。
- ページ上部の New registration をクリックします。
- Register an application 画面で、次の項目を設定します。
- Name: わかりやすい名前を入力します。
- Supported account types: 既定の Single tenant のままにするか、必要に応じて変更します。
- Redirect URI: プラットフォームのタイプで Web を選択し、
https://[YOUR-W-AND-B-URL]/oidc/callback を入力します。
- Register をクリックします。
- 登録後、Overview ページで次の値を控えます。
- Application (client) ID: OIDC Client ID です。
- Directory (tenant) ID: OIDC Issuer URL に使用します。
- 認証設定を行います。
- 左サイドバーから Authentication を選択します。
- Front-channel logout URL に
https://[YOUR-W-AND-B-URL]/logout を入力します。
- Save をクリックします。
- クライアントシークレットを作成します。
- 左サイドバーから Certificates & secrets を選択します。
- New client secret をクリックします。
- シークレットの説明を入力します。
- 有効期限を選択します。
- Add をクリックします。
シークレットの Value をすぐにコピーして保存してください (Secret ID ではなく) 。
次の情報を控えておきます。
- OIDC Client ID: 手順 5 の Application (client) ID。
- OIDC Client Secret: 手順 7 のシークレット値。
- OIDC Issuer URL:
https://login.microsoftonline.com/[TENANT-ID]/v2.0 ([TENANT-ID] は手順 5 の Directory ID に置き換えます) 。
W&B を設定するときは、次を使用します。
- Auth Method:
pkce。
- OIDC Client Secret:
GORILLA_OIDC_SECRET 環境変数に、手順 7 のシークレット値を設定します。
v2.0 endpoint は、個人の Microsoft アカウントと職場または学校のアカウントの両方をサポートします。組織で v1.0 endpoint が必要な場合は、代わりに https://login.microsoftonline.com/[TENANT-ID] を使用してください。
- OIDC Client ID。
- OIDC Auth method (
implicit または pkce) 。
- OIDC Issuer URL。
- OIDC Client Secret (任意。IdP の設定方法によって異なります) 。
IdP で OIDC Client Secret が必要な場合は、環境変数 GORILLA_OIDC_SECRET を指定します。
- W&B App で System Console > Settings > Advanced > User Spec に移動し、次の例のように
extraENV セクションに GORILLA_OIDC_SECRET を追加します。
- Helm では、次の例のように
values.global.extraEnv を設定します。
values:
global:
extraEnv:
GORILLA_OIDC_SECRET="[YOUR-SECRET]"
SSO の設定後にインスタンスにサインインできない場合は、環境変数 LOCAL_RESTORE=true を設定してインスタンスを再起動できます。これにより、コンテナーのログに一時的なパスワードが出力され、SSO が無効になります。SSO の問題を解決したら、SSO を再度有効にするために、この環境変数を削除する必要があります。
System Console
System settings
W&B Kubernetes Operator を使用して W&B をデプロイしている場合は、このタブを使用してください。System Console は System Settings ページの後継です。W&B Kubernetes Operator ベースのデプロイで利用できます。
-
Access the W&B Management Console を参照してください。
-
Settings、次に Authentication にアクセスします。Type ドロップダウンで OIDC を選択します。
-
値を入力します。
-
Save をクリックします。
-
サインアウトし、今度は IdP のサインイン画面を使用して再度サインインします。
Customer Namespace を確認する
W&B 専用クラウド またはセルフマネージドで、CoreWeave ストレージを使用するチームレベルの BYOB を設定する前に、組織の Customer Namespace を取得する必要があります。これは Authentication タブの下部で確認してコピーできます。Customer Namespace を使用して CoreWeave ストレージを設定する詳しい手順については、CoreWeave requirements for Dedicated Cloud or Self-Managed を参照してください。
-
W&B インスタンスにサインインします。
-
W&B App にアクセスします。
-
ドロップダウンから System Settings を選択します。
-
Issuer、Client ID、Authentication Method を入力します。
-
Update settings を選択します。
SSO の設定後にインスタンスにサインインできない場合は、環境変数 LOCAL_RESTORE=true を設定してインスタンスを再起動できます。これにより、コンテナーのログに一時的なパスワードが出力され、SSO が無効になります。SSO の問題を解決したら、SSO を再度有効にするために、この環境変数を削除する必要があります。
Security Assertion Markup Language (SAML)
