メインコンテンツまでスキップ
バージョン: User Guides (BYOC)

Microsoft Entra(SAML 2.0)

このトピックでは、SAML 2.0プロトコルを使用してMicrosoft Entraでシングルサインオン(SSO)を構成する方法について説明します。

このガイドでは、Zilliz Cloudがサービスプロバイダー(SP)として機能し、Microsoft Entraがアイデンティティプロバイダー(IdP)として機能します。以下の図は、Zilliz CloudおよびMicrosoft Entra管理センターでの必要な手順を示しています。

M3UywWSZHhlwTHbkjI8c6jTinGh

事前準備

  • Zilliz Cloud組織に少なくとも1つの**専用(エンタープライズ)**クラスターがあります。

  • Microsoft Entra管理センターにアクセスできます。詳細については、Microsoft Entraドキュメントを参照してください。

  • SSOを構成するZilliz Cloud組織の組織オーナーです。

構成手順

ステップ1:Zilliz CloudコンソールでSPの詳細を取得

SPとして、Zilliz CloudはMicrosoft EntraでSAMLアプリケーションを設定する際に必要な**識別子(エンティティID)および返信URL(アサーションコンシューマサービスURL)**を提供します。

  1. Zilliz Cloudコンソールにログインし、SSOを構成する組織に移動します。

  2. 左側のナビゲーションペインで、設定をクリックします。

  3. 設定ページで、**シングルサインオン(SSO)**セクションを見つけ、構成をクリックします。

  4. 表示されるダイアログボックスで、IdPおよびプロトコルとして**Microsoft Entra(SAML 2.0)**を選択します。

  5. サービスプロバイダーの詳細カードで、**識別子(エンティティID)および返信URL(アサーションコンシューマサービスURL)**をコピーします。これらの値は、Microsoft Entra管理センターでアプリケーションを設定する際のステップ2で必要になります。

  6. それが完了したら、ステップ2に進みます。

ステップ2:Microsoft Entra管理センターでアプリケーションを設定

このステップでは、Zilliz Cloudから取得したSPの詳細を使用してMicrosoft Entra(IdP)を構成します。

  1. Microsoft Entra管理センターにログインします。

  2. 左側のナビゲーションペインで、エンタープライズアプリをクリックします。

  3. 表示されるページで、新しいアプリケーションをクリックします。その後、独自のアプリケーションを作成をクリックします。

  4. 独自のアプリケーションを作成パネルで、アプリケーション名をzillizに設定し、**ギャラリーにない他のアプリケーションを統合(非ギャラリー)**オプションを選択します。

  5. その後、作成をクリックします。それが完了すると、アプリケーションが作成され、アプリケーションの詳細ページにリダイレクトされます。

  6. アプリケーションの詳細ページで、シングルサインオン > SAMLを選択します。

  7. 基本SAML構成セクションで、編集をクリックします。

  8. **識別子(エンティティID)領域で、識別子を追加をクリックします。その後、ステップ1でZilliz Cloudコンソールからコピーした識別子(エンティティID)**をテキストボックスに貼り付けます。

  9. **返信URL(アサーションコンシューマサービスURL)領域で、返信URLを追加をクリックします。その後、ステップ1でZilliz Cloudコンソールからコピーした返信URL(アサーションコンシューマサービスURL)**をテキストボックスに貼り付けます。

  10. 保存をクリックします。

  11. それが完了したら、作成されたアプリケーションのシングルサインオンパネルに戻り、App Federation Metadata Urlをコピーします。これは、ステップ3でZilliz Cloudコンソールで必要になります。

    📘注意

    代わりに、以下の詳細を取得します:

    • SAML証明書セクションで、ダウンロードをクリックして証明書(Base64)を保存します。これは、ステップ3手動モードが選択されている場合にZilliz Cloudコンソールで必要になります。

    • zillizのセットアップセクションで、ログインURLをコピーします。これは、ステップ3手動モードが選択されている場合にZilliz Cloudコンソールで必要になります。

ステップ3:Zilliz CloudコンソールでIdP設定を構成

このステップでは、SAML信頼関係を完了するために、Microsoft EntraのIdP詳細をZilliz Cloudに戻して提供します。

  1. Zilliz Cloudコンソールに戻ります。

  2. シングルサインオン(SSO)の構成ダイアログボックスのアイデンティティプロバイダーの詳細カードで、ステップ2でMicrosoft Entra管理センターからコピーしたApp Federation Metadata URLを貼り付けます。

    📘注意

    代わりに、IdP詳細構成で手動モードを選択した場合、以下を構成します:

    • ログインURLステップ2でMicrosoft Entra管理センターからコピーしたログインURLをここに貼り付けます。

    • 証明書(Base64)ステップ2でMicrosoft Entra管理センターからダウンロードした証明書をここにアップロードします。-----BEGIN CERTIFICATE-----で始まり、-----END CERTIFICATE-----で終わる行を含む証明書全体の内容が提供されていることを確認してください。

  3. それが完了したら、保存をクリックします。

構成後タスク

タスク1:Microsoft Entraアプリケーションをユーザーに割り当てる

ユーザーがSSO経由でZilliz Cloudにアクセスできるようになる前に、Microsoft Entraアプリケーションをユーザーに割り当てる必要があります:

  1. Microsoft Entra管理センターのアプリケーションページで、ユーザーとグループ > + ユー/グループを追加を選択します。

  2. アプリケーションへのアクセス権を付与するユーザーまたはグループを選択します。

詳細については、Microsoft Entraドキュメントを参照してください。

タスク2:ユーザーをプロジェクトに招待

ユーザーがSSO経由でZilliz Cloudに初めてログインする際、組織メンバーとして登録されますが、デフォルトでどのプロジェクトにもアクセス権がありません。

  • 組織オーナーは、適切なプロジェクトに招待する必要があります。

  • ユーザーをプロジェクトに招待する手順については、プロジェクトユーザーの管理を参照してください。

プロジェクトに招待された後、組織 オーナーは企業ユーザーがSSO経由でサインインできるようにZilliz CloudログインURLを共有できます。

セットアップまたはテストプロセス中に問題が発生した場合は、Zillizサポートにお問い合わせください。

FAQ

SSOで初めてログインするユーザーに割り当てられるロールは何ですか?

既にZilliz Cloudアカウントを持っていない新規ユーザーは、最初のSSOログイン時に自動的に作成されます。これらのユーザーには、デフォルトで組織メンバーロールが割り当てられます。Zilliz Cloudコンソールで後からロールを変更できます。詳細手順については、プロジェクトユーザーの管理を参照してください。

SSOログイン後にユーザーがプロジェクトにアクセスする方法は?

SSO経由でログインした後、ユーザーにはデフォルトで組織メンバーロールが与えられます。特定のプロジェクトにアクセスするには、組織オーナーまたはプロジェクト管理者がプロジェクトに招待する必要があります。詳細手順については、プロジェクトユーザーの管理を参照してください。

SSOでログインする前にユーザーが既にZilliz Cloudアカウントを持っている場合どうなりますか?

ユーザーが既にZilliz Cloud組織に(メールアドレスに基づいて)存在する場合、SSO経由でログインする際に元のロールと権限を保持します。システムはメールアドレスでユーザーをマッチングし、既存のアカウントを上書きしません。

同じ組織に複数のSSOプロバイダーを構成できますか?

現在、各Zilliz Cloud組織は同時に1つの有効なSAML SSO構成のみをサポートしています。