Microsoft Entra (SAML 2.0)
このトピックでは、SAML 2.0 プロトコルを使用して Microsoft Entra でシングルサインオン (SSO) を構成する方法について説明します。
このガイドでは、Zilliz Cloud がサービスプロバイダー (SP) として機能し、Microsoft Entra が ID プロバイダー (IdP) として機能します。次の図は、Zilliz Cloud と Microsoft Entra 管理センターで必要な手順を示しています。
Before you start
-
Zilliz Cloud 組織に少なくとも 1 つのDedicated (Enterprise) クラスターがあること。
-
Microsoft Entra 管理センターにアクセスできること。詳細については、Microsoft Entra ドキュメント を参照してください。
-
SSO を構成する Zilliz Cloud 組織において、組織オーナーであること。
設定 steps
Step 1: Access SP details in Zilliz Cloud console
SP として、Zilliz Cloud は Microsoft Entra で SAML アプリケーションを設定する際に必要なIdentifier (エンティティID) およびReply URL (Assertion Consumer Service URL) を提供します。
Zilliz Cloud コンソール にログインし、SSO を構成する組織に移動します。
左側のナビゲーションペインで、Settings をクリックします。
Settings ページで、Single Sign-On (SSO) セクションを見つけ、Configure をクリックします。
表示されたダイアログボックスで、IdP およびプロトコルとしてMicrosoft Entra (SAML 2.0) を選択します。
サービスプロバイダーの詳細 カードで、Identifier (エンティティID) およびReply URL (Assertion Consumer Service URL) をコピーします。これらの値は、Microsoft Entra 管理センターでアプリケーションを設定する際の Step 2 で必要になります。
完了したら、Step 2 に進みます。
Step 2: Set up an application in Microsoft Entra admin center
このステップでは、Zilliz Cloud から取得した SP 詳細を使用して Microsoft Entra (IdP) を構成します。
Microsoft Entra 管理センター にログインします。
左側のナビゲーションペインで、エンタープライズアプリ をクリックします。
表示されたページで、新しいアプリケーション をクリックします。次に、Create your own application をクリックします。
Create your own application パネルで、アプリケーション名をzilliz に設定し、Integrate any other application you don't find in the gallery (Non-gallery) オプションを選択します。
次に、Create をクリックします。完了すると、アプリケーションが作成され、アプリケーション詳細ページにリダイレクトされます。
アプリケーション詳細ページで、シングルサインオン > SAML を選択します。
基本SAML構成 セクションで、Edit をクリックします。
Identifier (エンティティID) エリアで、Add identifier をクリックします。次に、Step 1 で Zilliz Cloud コンソールからコピーしたIdentifier (エンティティID) をテキストボックスに貼り付けます。
Reply URL (Assertion Consumer Service URL) エリアで、Add reply URL をクリックします。次に、Step 1 で Zilliz Cloud コンソールからコピーしたReply URL (Assertion Consumer Service URL) をテキストボックスに貼り付けます。
Save をクリックします。
完了したら、作成したアプリケーションのシングルサインオン パネルに戻り、App Federation Metadata Url をコピーします。これは、Step 3 で Zilliz Cloud コンソールで使用するために必要になります。
Step 3: Configure IdP settings in Zilliz Cloud console
このステップでは、Microsoft Entra の IdP 詳細を Zilliz Cloud に提供して、SAML 信頼関係を完了させます。
Zilliz Cloud コンソール に戻ります。
Configure Single Sign-On (SSO) ダイアログボックスのIDプロバイダーの詳細 カードで、Step 2 で Microsoft Entra 管理センターからコピーしたApp Federation メタデータURL を貼り付けます。
完了したら、Save をクリックします。
Post-configuration tasks
Task 1: Assign Microsoft Entra application to users
ユーザーが SSO を介して Zilliz Cloud にアクセスできるようにするには、Microsoft Entra アプリケーションをユーザーに割り当てる必要があります:
Microsoft Entra 管理センター のアプリケーションページで、ユーザーとグループ > + Add user/group を選択します。
アプリケーションへのアクセスを付与するユーザーまたはグループを選択します。
詳細については、Microsoft Entra ドキュメント を参照してください。
Task 2: Invite users to your project
ユーザーが初めて SSO を介して Zilliz Cloud にログインすると、組織メンバー として登録されますが、デフォルトではどのプロジェクトにもアクセスできません。
-
組織オーナー は、適切なプロジェクトにユーザーを招待する必要があります。
-
ユーザーをプロジェクトに招待する方法の手順については、Manage Project Users を参照してください。
プロジェクトに招待された後、Organization オーナー は、企業ユーザーが SSO を介してサインインできるように Zilliz Cloud ログイン URL を共有できます。
セットアップまたはテストプロセス中に問題が発生した場合は、Zilliz サポート にお問い合わせください。
Task 3: (Optional) Enable SSO enforcement
SSO 接続が完全に構成およびテストされた後、オプションでSSO enforcement を有効にして、すべての組織メンバーが SSO を介してのみログインすることを必須にできます。有効にすると、メンバーはメール/パスワードまたはサードパーティアカウント (Google、GitHub) を使用してサインインできなくなります。
この機能を有効にすると、現在パスワードでサインインしているすべてのメンバーがすぐにログアウトされ、非 SSO ログイン方法がブロックされます。
詳細については、Enforce SSO in Your Organization を参照してください。
FAQ
What role is assigned to users who log in via SSO for the first time?
Zilliz Cloud アカウントをまだ持っていない新規ユーザーは、最初の SSO ログイン時に自動的に作成されます。これらのユーザーには、デフォルトで組織メンバー ロールが割り当てられます。後で Zilliz Cloud コンソールでロールを変更できます。詳細な手順については、Manage Project Users を参照してください。
How do users access projects after SSO login?
SSO を介してログインした後、ユーザーにはデフォルトで組織メンバー ロールが付与されます。特定のプロジェクトにアクセスするには、組織オーナー またはプロジェクト管理者 がユーザーをプロジェクトに招待する必要があります。詳細な手順については、Manage Project Users を参照してください。
What happens if a user already has a Zilliz Cloud account before logging in with SSO?
ユーザーが既に (メールアドレスに基づいて) Zilliz Cloud 組織に存在する場合、SSO を介してログインしても元のロールと権限が維持されます。システムはメールアドレスでユーザーを照合し、既存のアカウントを上書きしません。
Can I configure multiple SSO providers for the same organization?
現在、各 Zilliz Cloud 組織では、一度にアクティブな SAML SSO 構成を1 つのみサポートしています。