メインコンテンツまでスキップ
バージョン: User Guides (BYOC)

Okta(OIDC)

このトピックでは、OpenID Connect(OIDC)プロトコルを使用してOktaでシングルサインオン(SSO)を構成する方法について説明します。

このガイドでは、Zilliz Cloudがサービスプロバイダー(SP)として機能し、Oktaがアイデンティティプロバイダー(IdP)として機能します。以下の図は、Zilliz CloudおよびOktaコンソールで必要な手順を示しています。

EfRWwnbKNhcXEwbL7EBcB66inrd

事前準備

  • Zilliz Cloud組織に少なくとも1つの**専用(エンタープライズ)**クラスターがあります。

  • Oktaコンソールへの管理者アクセス権があります。詳細については、Okta公式ドキュメントを参照してください。

  • SSOを構成するZilliz Cloud組織の組織オーナーです。

構成手順

ステップ1:Zilliz CloudコンソールでSPの詳細を取得

SPとして、Zilliz CloudはOktaでOIDCアプリを設定する際に必要なシングルサインオンURLを提供します。

  1. Zilliz Cloudコンソールにログインし、SSOを構成する組織に移動します。

  2. 左側のナビゲーションペインで、設定をクリックします。

  3. 設定ページで、**シングルサインオン(SSO)**セクションを見つけ、構成をクリックします。

  4. 表示されるダイアログボックスで、IdPおよびプロトコルとして**Okta(OIDC)**を選択します。

  5. サービスプロバイダーの詳細カードで、シングルサインオンURLをコピーします。これは、OktaコンソールでOIDCアプリを作成する際のステップ2で必要になります。

  6. それが完了したら、ステップ2に進みます。

ステップ2:OktaコンソールでOIDCアプリを設定

このステップでは、Zilliz Cloudから取得したSPの詳細を使用してOkta(IdP)を構成します。

  1. Okta管理コンソールにログインします。

  2. 左側のナビゲーションペインで、アプリケーション > アプリケーションを選択します。

  3. アプリ統合の作成をクリックします。

  4. 新しいアプリ統合を作成ダイアログボックスで、サインイン方法としてOIDC - OpenID Connectを選択し、アプリケーションタイプとしてWebアプリケーションを選択します。次へをクリックします。

  5. 次の設定で新しいWebアプリ統合を設定します:

    • アプリ統合名:アプリ統合名をカスタマイズ(例:zilliz)。

    • サインインリダイレクトURIステップ1でZilliz CloudコンソールからコピーしたシングルサインオンURLをここに貼り付けます。

    • 制御されたアクセス:特定のグループアクセスを設定したくない場合は、当面グループ割り当てをスキップを選択します。

  6. 保存をクリックします。それから、アプリの詳細ページにリダイレクトされます。

  7. アプリの詳細ページで、以下の情報を取得します:

    • クライアントID

    • クライアントシークレット

    • Oktaドメイン

    これらの値は、ステップ3でZilliz Cloudコンソールで必要になります。

ステップ3:Zilliz CloudコンソールでIdP設定を構成

このステップでは、OIDC信頼関係を完了するために、OktaのIdP詳細をZilliz Cloudに戻して提供します。

  1. Zilliz Cloudコンソールに戻ります。

  2. シングルサインオン(SSO)の構成ダイアログボックスのアイデンティティプロバイダーの詳細カードで、以下を構成します:

    • Oktaドメインステップ2でOktaコンソールからコピーしたOktaドメインを貼り付けます。

    • クライアントIDステップ2でOktaコンソールからコピーしたクライアントIDを貼り付けます。

    • クライアントシークレットステップ2でOktaコンソールからコピーしたクライアントシークレットを貼り付けます。

  3. それが完了したら、保存をクリックします。それから、OKをクリックします。

構成後タスク

タスク1:OIDCアプリをユーザーに割り当てる

ユーザーがSSO経由でZilliz Cloudにアクセスできるようになる前に、OIDCアプリを彼らに割り当てる必要があります:

  1. Okta管理コンソールのアプリの詳細ページで、割り当てをクリックします。

  2. 割り当て > 人に割り当てを選択します。

  3. OIDCアプリをユーザーに割り当て、変更を保存します。

  4. 保存 して 戻るをクリックします。それから、完了をクリックします。

必要に応じて、すべてのユーザーに対して繰り返します。詳細については、Oktaドキュメントを参照してください。

タスク2:ユーザーをプロジェクトに招待

ユーザーがSSO経由でZilliz Cloudに初めてログインする際、組織メンバーとして登録されますが、デフォルトでどのプロジェクトにもアクセス権がありません。

  • 組織オーナーは、適切なプロジェクトに招待する必要があります。

  • ユーザーをプロジェクトに招待する手順については、プロジェクトユーザーの管理を参照してください。

プロジェクトに招待された後、組織 オーナーは企業ユーザーがSSO経由でサインインできるようにZilliz CloudログインURLを共有できます。

セットアップまたはテストプロセス中に問題が発生した場合は、Zillizサポートにお問い合わせください。

FAQ

SSOで初めてログインするユーザーに割り当てられるロールは何ですか?

既にZilliz Cloudアカウントを持っていない新規ユーザーは、最初のSSOログイン時に自動的に作成されます。これらのユーザーには、デフォルトで組織メンバーロールが割り当てられます。Zilliz Cloudコンソールで後からロールを変更できます。詳細手順については、プロジェクトユーザーの管理を参照してください。

SSOログイン後にユーザーがプロジェクトにアクセスする方法は?

SSO経由でログインした後、ユーザーにはデフォルトで組織メンバーロールが与えられます。特定のプロジェクトにアクセスするには、組織オーナーまたはプロジェクト管理者がプロジェクトに招待する必要があります。詳細手順については、プロジェクトユーザーの管理を参照してください。

SSOでログインする前にユーザーが既にZilliz Cloudアカウントを持っている場合どうなりますか?

ユーザーが既にZilliz Cloud組織に(メールアドレスに基づいて)存在する場合、SSO経由でログインする際に元のロールと権限を保持します。システムはメールアドレスでユーザーをマッチングし、既存のアカウントを上書きしません。

同じ組織に複数のSSOプロバイダーを構成できますか?

現在、各Zilliz Cloud組織は同時に1つの有効なSAML SSO構成のみをサポートしています。