Google Workspace(SAML 2.0)
このトピックでは、SAML 2.0プロトコルを使用してGoogle Workspaceでシングルサインオン(SSO)を構成する方法について説明します。
このガイドでは、Zilliz Cloudがサービスプロバイダー(SP)として機能し、Google Workspaceがアイデンティティプロバイダー(IdP)として機能します。以下の図は、Zilliz CloudおよびGoogle管理コンソールで必要な手順を示しています。
事前準備
-
Zilliz Cloud組織に少なくとも1つの**専用(エンタープライズ)**クラスターがあります。
-
Google管理コンソールで管理者ロールを持っている必要があります。
-
SSOを構成するZilliz Cloud組織の組織オーナーです。
構成手順
ステップ1:Zilliz CloudコンソールでSPの詳細を取得
SPとして、Zilliz CloudはGoogle管理でSAMLアプリを設定する際に必要なエンティティIDおよびACS URLを提供します。
-
Zilliz Cloudコンソールにログインし、SSOを構成する組織に移動します。
-
左側のナビゲーションペインで、設定をクリックします。
-
設定ページで、**シングルサインオン(SSO)**セクションを見つけ、構成をクリックします。
-
表示されるダイアログボックスで、IdPおよびプロトコルとして**Google Workspace(SAML 2.0)**を選択します。
-
サービスプロバイダーの詳細カードで、エンティティIDおよびACS URLをコピーします。これらの値は、Google管理コンソールでSAMLアプリを作成する際のステップ2で必要になります。
📘注意代わりに、ここでSSO URLおよび証明書をコピーできます。この場合、ステップ3でIdP詳細を手動モードで構成する必要があります。
-
それが完了したら、ステップ2に進みます。
ステップ2:Google管理コンソールでカスタムSAMLアプリを作成
このステップでは、Zilliz Cloudから取得したSPの詳細を使用してGoogle Workspace(IdP)を構成します。
-
Google管理コンソールにログインします。
-
左側のナビゲーションペインで、アプリ > Webおよびモバイルアプリを選択します。その後、アプリを追加 > カスタムSAMLアプリを追加を選択します。
-
アプリ名をカスタマイズ(例:zilliz)し、続行をクリックします。
-
表示されるページで、オプション1:IdPメタデータのダウンロードからIdPメタデータをダウンロードします。これは、Zilliz CloudコンソールでIdP設定を構成する際のステップ3で必要になります。その後、続行をクリックします。
📘注意代わりに、オプション2:SSO URL、エンティティID、および証明書をコピーからそれぞれSSO URL、エンティティID、証明書を取得します。これらは、ステップ3で手動モードが選択されている場合にZilliz Cloudコンソールで必要になります。
-
サービスプロバイダー詳細セクションで、以下を構成します:
-
ACS URL:ステップ1でZilliz CloudコンソールからコピーしたACS URLを貼り付けます。
-
エンティティID:ステップ1でZilliz CloudコンソールからコピーしたエンティティIDを貼り付けます。
それが完了したら、続行をクリックします。
-
-
属性セクションで、以下を構成します:
-
Googleディレクトリ属性:マッピングを追加をクリックし、主メールを選択します。
-
アプリ属性:値をemailに設定します。
-
-
完了をクリックします。
ステップ3:Zilliz CloudコンソールでIdP設定を構成
このステップでは、SAML信頼関係を完了するために、Google WorkspaceのIdP詳細をZilliz Cloudに戻して提供します。
-
Zilliz Cloudコンソールに戻ります。
-
シングルサインオン(SSO)の構成ダイアログボックスのアイデンティティプロバイダーの詳細カードで、ステップ2でGoogle管理コンソールからダウンロードしたメタデータファイルをアップロードします。
-
それが完了したら、保存をクリックします。
構成後タスク
タスク1:SAMLアプリをユーザーに割り当てる(Google管理コンソール)
ユーザーがSSO経由でZilliz Cloudにアクセスできるようになる前に、SAMLアプリを有効にしてください:
-
新しく作成したアプリの詳細ページで、ユーザーアクセス領域を検索し、サービスステータスを編集するようにクリックします。
-
組織内の全員に対してサービスをオンまたはオフにするには、全員に対してONまたはOFFをクリックし、保存をクリックします。
-
(オプション)組織単位に対してサービスをオンまたはオフにするには:
-
左側で組織単位を選択します。
-
サービスステータスを変更するには、ONまたはOFFを選択します。
-
以下を選択します:
-
サービスステータスが継承に設定されており、親の設定が変更された場合でも更新された設定を維持したい場合は、上書きをクリックします。
-
サービスステータスが上書きに設定されている場合は、継承をクリックして親と同じ設定に戻すか、保存をクリックして親の設定が変更されても新しい設定を維持します。 注:組織構造について詳しくは。
-
-
-
(オプション)組織単位全体または単位内で一連のユーザーに対してサービスを有効にするには、アクセスグループを選択します。詳細については、グループを使用してサービスアクセスをカスタマイズを参照してください。
-
SAMLアプリにサインインするためにユーザーが使用するメールアドレスが、Googleドメインにサインインするために使用するメールアドレスと一致していることを確認してください。
タスク2:ユーザーをプロジェクトに招待
ユーザーがSSO経由でZilliz Cloudに初めてログインする際、組織メンバーとして登録されますが、デフォルトでどのプロジェクトにもアクセス権がありません。
-
組織オーナーは、適切なプロジェクトに招待する必要があります。
-
ユーザーをプロジェクトに招待する手順については、プロジェクトユーザーの管理を参照してください。
プロジェクトに招待された後、組織 オーナーは企業ユーザーがSSO経由でサインインできるようにZilliz CloudログインURLを共有できます。
セットアップまたはテストプロセス中に問題が発生した場合は、Zillizサポートにお問い合わせください。
FAQ
SSOで初めてログインするユーザーに割り当てられるロールは何ですか?
既にZilliz Cloudアカウントを持っていない新規ユーザーは、最初のSSOログイン時に自動的に作成されます。これらのユーザーには、デフォルトで組織メンバーロールが割り当てられます。Zilliz Cloudコンソールで後からロールを変更できます。詳細手順については、プロジェクトユーザーの管理を参照してください。
SSOログイン後にユーザーがプロジェクトにアクセスする方法は?
SSO経由でログインした後、ユーザーにはデフォルトで組織メンバーロールが与えられます。特定のプロジェクトにアクセスするには、組織オーナーまたはプロジェクト管理者がプロジェクトに招待する必要があります。詳細手順については、プロジェクトユーザーの管理を参照してください。
SSOでログインする前にユーザーが既にZilliz Cloudアカウントを持っている場合どうなりますか?
ユーザーが既にZilliz Cloud組織に(メールアドレスに基づいて)存在する場合、SSO経由でログインする際に元のロールと権限を保持します。システムはメールアドレスでユーザーをマッチングし、既存のアカウントを上書きしません。
同じ組織に複数のSSOプロバイダーを構成できますか?
現在、各Zilliz Cloud組織は同時に1つの有効なSAML SSO構成のみをサポートしています。