Microsoft Entra (SAML 2.0)
このトピックでは、SAML 2.0 プロトコルを使用して Microsoft Entra でシングルサインオン(SSO)を構成する方法について説明します。
このガイドでは、Zilliz Cloud がサービスプロバイダー(SP)として、Microsoft Entra が ID プロバイダー(IdP)として機能します。以下の図は、Zilliz Cloud と Microsoft Entra 管理センターで必要な手順を示しています。
開始前の準備
-
Zilliz Cloud 組織に、少なくとも 1 つの Dedicated (Enterprise) クラスターが存在すること。
-
Microsoft Entra 管理センターへのアクセス権があること。詳細については、Microsoft Entra ドキュメント を参照してください。
-
SSO を構成する Zilliz Cloud 組織で、組織オーナーであること。
構成手順
手順 1: Zilliz Cloud コンソールで SP の詳細にアクセスする
SP として、Zilliz Cloud は 識別子(エンティティID) と 応答 URL(アサーションコンシューマーサービス URL) を提供します。これらは Microsoft Entra で SAML アプリケーションを設定する際に必要となります。
Zilliz Cloud コンソール にログインし、SSO を構成したい組織に移動します。
左側のナビゲーションペインで、設定 をクリックします。
設定 ページで、シングルサインオン(SSO) セクションを見つけ、設定 をクリックします。
表示されたダイアログボックスで、IdP とプロトコルとして Microsoft Entra (SAML 2.0) を選択します。
サービスプロバイダーの詳細 カードで、識別子(エンティティID) と 応答 URL(アサーションコンシューマーサービス URL) をコピーします。これらの値は、Microsoft Entra 管理センターでアプリケーションを設定する 手順 2 で必要となります。
完了したら、手順 2 に進みます。
手順 2: Microsoft Entra 管理センターでアプリケーションを設定する
この手順では、Zilliz Cloud から取得した SP の詳細を使用して、Microsoft Entra(IdP)を構成します。
Microsoft Entra 管理センター にログインします。
左側のナビゲーションペインで、エンタープライズアプリ をクリックします。
表示されたページで、新しいアプリケーション をクリックします。次に、独自のアプリケーションを作成 をクリックします。
独自のアプリケーションを作成 パネルで、アプリケーション名を zilliz に設定し、ギャラリーにないその他のアプリケーションを統合する(非ギャラリー) オプションを選択します。
次に、作成 をクリックします。完了すると、アプリケーションが作成され、アプリケーションの詳細ページにリダイレクトされます。
アプリケーションの詳細ページで、シングルサインオン > SAML を選択します。
基本SAML構成 セクションで、編集 をクリックします。
識別子(エンティティID) 領域で、識別子を追加 をクリックします。次に、手順 1 で Zilliz Cloud コンソールからコピーした 識別子(エンティティID) をテキストボックスに貼り付けます。
応答 URL(アサーションコンシューマーサービス URL) 領域で、応答 URL を追加 をクリックします。次に、手順 1 で Zilliz Cloud コンソールからコピーした 応答 URL(アサーションコンシューマーサービス URL) をテキストボックスに貼り付けます。
保存 をクリックします。
完了したら、作成したアプリケーションの シングルサインオン パネルに戻り、アプリのフェデレーションメタデータ URL をコピーします。これは 手順 3 で Zilliz Cloud コンソールで必要となります。
手順 3: Zilliz Cloud コンソールで IdP 設定を構成する
この手順では、SAML 信頼関係を完了させるために、Microsoft Entra の IdP 詳細を Zilliz Cloud に提供します。
Zilliz Cloud コンソール に戻ります。
シングルサインオン(SSO)の設定 ダイアログボックスの IDプロバイダーの詳細 カードで、手順 2 で Microsoft Entra 管理センターからコピーした アプリのフェデレーションメタデータ URL を貼り付けます。
完了したら、保存 をクリックします。
構成後のタスク
タスク 1: Microsoft Entra アプリケーションをユーザーに割り当てる
ユーザーが SSO を介して Zilliz Cloud にアクセスできるようにするには、Microsoft Entra アプリケーションをユーザーに割り当てる必要があります:
Microsoft Entra 管理センター のアプリケーションページで、ユーザーとグループ > + ユーザー/グループの追加 を選択します。
アプリケーションへのアクセス権を付与するユーザーまたはグループを選択します。
詳細については、Microsoft Entra ドキュメント を参照してください。
タスク 2: ユーザーをプロジェクトに招待する
ユーザーが初めて SSO を介して Zilliz Cloud にログインすると、組織メンバー として登録されますが、デフォルトではどのプロジェクトにもアクセスできません。
-
組織オーナー が適切なプロジェクトに招待する必要があります。
-
プロジェクトにユーザーを招待する手順については、プロジェクトユーザーの管理 を参照してください。
プロジェクトに招待された後、組織オーナー は Zilliz Cloud のログイン URL をエンタープライズユーザーと共有し、SSO を介してサインインできるようにします。
セットアップやテストの過程で問題が発生した場合は、Zilliz サポート にお問い合わせください。
タスク 3: (オプション)SSO 強制を有効にする
SSO 接続が完全に構成され、テストされた後、オプションで SSO 強制 を有効にして、すべての組織メンバーに SSO を介してのみログインすることを要求できます。有効にすると、メンバーはメール/パスワードやサードパーティアカウント(Google、GitHub)を使用してサインインできなくなります。
この機能を有効にすると、現在パスワードでサインインしているすべてのメンバーが直ちにログアウトされ、SSO 以外のログイン方法がブロックされます。
詳細については、組織での SSO 強制 を参照してください。
FAQ
SSO で初めてログインするユーザーにどのロールが割り当てられますか?
Zilliz Cloud アカウントをまだ持っていない新規ユーザーは、初回の SSO ログイン時に自動的に作成されます。これらのユーザーには、デフォルトで 組織メンバー ロールが割り当てられます。後で Zilliz Cloud コンソールでロールを変更できます。詳細な手順については、プロジェクトユーザーの管理 を参照してください。
SSO ログイン後、ユーザーはどのようにプロジェクトにアクセスしますか?
SSO でログイン後、ユーザーにはデフォルトで 組織メンバー ロールが付与されます。特定のプロジェクトにアクセスするには、組織オーナー または プロジェクト管理者 がプロジェクトに招待する必要があります。詳細な手順については、プロジェクトユーザーの管理 を参照してください。
SSO でログインする前にユーザーがすでに Zilliz Cloud アカウントを持っている場合はどうなりますか?
ユーザーが Zilliz Cloud 組織にすでに存在する場合(メールアドレスに基づく)、SSO でログインしても元のロールと権限が保持されます。システムはメールアドレスでユーザーを照合し、既存のアカウントを上書きしません。
同じ組織に複数の SSO プロバイダーを構成できますか?
現在、各 Zilliz Cloud 組織では、同時に 1 つのアクティブな SAML SSO 構成 のみをサポートしています。