TiDB 2026年6月16日のリリースノート解説: Cloud 組織SSO のドメイン検証

TiDB Cloud は 2026年6月16日、Cloud 組織SSO にドメイン検証を追加しました。Allowed Email Domains を使う自動プロビジョニングやSCIM連携では、入力前にドメインを検証する運用が必要になります。

要点

• Cloud 組織SSO にドメイン検証が追加されました。
• OIDC または SAML 認証方式で auto-provisioning を有効にする場合、Allowed Email Domains が必要になります。
• SAML 認証方式で SCIM provisioning を有効にする場合も、Allowed Email Domains が必要になります。
• セキュリティ向上のため、Allowed Email Domains に入力する前にドメイン検証が必要と説明されています。

今回の更新で変わること

今回の更新は、TiDB Cloud のデータベース機能そのものではなく、組織レベルのSSOとユーザーライフサイクル管理に関する変更です。Cloud 組織SSO で自動プロビジョニングを使う場合、Allowed Email Domains は「どのメールドメインのユーザーを組織に入れてよいか」を判断する入口になります。ここに未検証のドメインを入力できる状態では、IdP設定やSCIM連携の設計次第で、意図しないドメインを許可してしまうリスクが残ります。TiDB Cloud はこの点に対して、Allowed Email Domains に入れる前にドメイン検証を求める形へ寄せています。

対象として明記されているのは2つです。1つ目は、OIDC または SAML 認証方式で auto-provisioning を有効にする場面です。SSOで初回ログインしたユーザーを自動的に組織へ作成する運用では、メールドメインの信頼性が参加条件に直結します。2つ目は、SAML 認証方式で SCIM provisioning を有効にする場面です。SCIM は入退社、所属変更、権限変更などのユーザーライフサイクルを自動化するため、ドメイン所有を確認してから許可ドメインを設定する流れは、アクセス管理の統制に関わります。

読者が実務で見ておきたいのは、SSOを「ログインを楽にする機能」とだけ見ないことです。TiDB Cloud のようなデータ基盤サービスでは、組織への参加、プロジェクトやインスタンスへの権限、監査や退職者削除の運用がつながっています。Allowed Email Domains の検証は、利用者が直接目にする新機能ではありませんが、管理者にとってはSSO設定変更時の手順、IdP側のドメイン管理、セキュリティレビュー、運用ドキュメントに影響します。既にSSOやSCIMを使っている場合も、新しく自動プロビジョニングを有効にする前に、対象ドメインを誰が所有し、どの手順で検証するかを確認しておくと安全です。

対象になりそうなユーザー・チーム

TiDB Cloud組織の管理者、IdPを管理する情シス/ID基盤チーム、SCIMで入退社連携を自動化しているセキュリティ担当に関係します。特に複数ドメイン、子会社ドメイン、外部委託先のアカウントを扱う組織では、許可ドメインの管理責任をはっきりさせておきたいです。

実務で確認したいポイント

• OIDCまたはSAMLの自動プロビジョニングで、Allowed Email Domains を使っているか確認する。
• SAML SCIM provisioning を使う場合、対象ドメインの検証手順と担当者を確認する。
• IdP側のドメイン、TiDB Cloud側の許可ドメイン、入退社フローが矛盾していないか確認する。
• SSO設定変更の手順書に、ドメイン検証の工程を追加する。

結局、今回の更新をどう読むべきか

6月16日の更新は、TiDB Cloud の組織SSOをより慎重に運用するための変更です。自動プロビジョニングやSCIMは便利ですが、許可ドメインの扱いを誤るとアクセス管理の入口が揺らぎます。管理者は、ドメイン検証をSSO運用の標準手順として組み込んでおきたいです。