メインコンテンツまでスキップ
バージョン: User Guides (BYOC)

Okta(SAML 2.0)

このトピックでは、SAML 2.0プロトコルを使用してOktaでシングルサインオン(SSO)を構成する方法について説明します。

このガイドでは、Zilliz Cloudがサービスプロバイダー(SP)として機能し、Oktaがアイデンティティプロバイダー(IdP)として機能します。以下の図は、Zilliz CloudおよびOkta管理コンソールで必要な手順を示しています。

KywHwe7VIhcwsAbecTpcEsL3njb

事前準備

  • Zilliz Cloud組織に少なくとも1つの**専用(エンタープライズ)**クラスターがあります。

  • Okta管理コンソールへの管理者アクセス権があります。詳細については、Okta公式ドキュメントを参照してください。

  • SSOを構成するZilliz Cloud組織の組織オーナーです。

構成手順

ステップ1:Zilliz CloudコンソールでSPの詳細を取得

SPとして、Zilliz CloudはOktaでSAMLアプリを設定する際に必要なオーディエンスURL(SPエンティティID)およびシングルサインオンURLを提供します。

  1. Zilliz Cloudコンソールにログインし、SSOを構成する組織に移動します。

  2. 左側のナビゲーションペインで、設定をクリックします。

  3. 設定ページで、**シングルサインオン(SSO)**セクションを見つけ、構成をクリックします。

  4. 表示されるダイアログボックスで、IdPおよびプロトコルとして**Okta(SAML 2.0)**を選択します。

  5. サービスプロバイダーの詳細カードで、オーディエンスURL(SPエンティティID)およびシングルサインオンURLをコピーします。これらの値は、Okta管理コンソールでSAMLアプリを作成する際のステップ2で必要になります。

  6. それが完了したら、ステップ2に進みます。

ステップ2:Okta管理コンソールでSAMLアプリを作成

このステップでは、Zilliz Cloudから取得したSPの詳細を使用してOkta(IdP)を構成します。

  1. Okta管理コンソールにログインします。

  2. 左側のナビゲーションペインで、アプリケーション > アプリケーションを選択します。

  3. アプリ統合の作成をクリックします。

  4. 新しいアプリ統合を作成ダイアログボックスで、SAML 2.0を選択し、次へをクリックします。

  5. 簡単にするために、アプリ名zillizに設定し、次へをクリックします。

  6. SAMLの構成ステップの一般領域で、以下のフィールドを構成します:

    • シングルサインオンURL

      • ステップ1でZilliz CloudコンソールからコピーしたシングルサインオンURLをここに貼り付けます。

      • SAML要求中の正しいルーティングを確保するために、"受信者URLおよび宛先URLとして使用"と表示されたボックスを必ずチェックしてください。

    • オーディエンスURI(SPエンティティID)ステップ1でZilliz Cloudコンソールからコピーした**オーディエンスURL(SPエンティティID)**をここに貼り付けます。

  7. **属性ステートメント(オプション)**領域で、以下を指定します:

    • 名前:値をemailに設定します。

    • :ドロップダウンリストからuser.emailを選択します。

  8. 次へをクリックし、完了をクリックします。アプリページにリダイレクトされます。

  9. アプリページのサインオンタブで、メタデータURLを取得し、コピーをクリックします。これは、ステップ3でZilliz Cloudコンソールで必要になります。

    📘注意

    代わりに、詳細情報を表示をクリックして以下の詳細情報を取得します:

    • サインオンURL:URLをコピーします。これは、ステップ3手動モードが選択されている場合にZilliz Cloudコンソールで必要になります。

    • 署名証明書ダウンロードをクリックして証明書をローカルコンピューターに保存します。これは、ステップ3手動モードが選択されている場合にZilliz Cloudコンソールで必要になります。

ステップ3:Zilliz CloudコンソールでIdP設定を構成

このステップでは、SAML信頼関係を完了するために、OktaのIdP詳細をZilliz Cloudに戻して提供します。

  1. Zilliz Cloudコンソールに戻ります。

  2. シングルサインオン(SSO)の構成ダイアログボックスのアイデンティティプロバイダーの詳細カードで、ステップ2でOkta管理コンソールからコピーしたメタデータURLを貼り付けます。

    📘注意

    代わりに、IdP詳細構成で手動モードを選択した場合、以下を構成します:

    • サインオンURLステップ2でOkta管理コンソールからコピーしたサインオンURLをここに貼り付けます。

    • 署名証明書ステップ2でOkta管理コンソールからダウンロードした証明書をここにアップロードします。-----BEGIN CERTIFICATE-----で始まり、-----END CERTIFICATE-----で終わる行を含む証明書全体の内容が提供されていることを確認してください。

  3. それが完了したら、保存をクリックします。

構成後タスク

タスク1:SAMLアプリをユーザーに割り当てる

ユーザーがSSO経由でZilliz Cloudにアクセスできるようになる前に、Oktaアプリケーションをユーザーに割り当てる必要があります:

  1. Okta管理コンソールのアプリ詳細ページで、割り当てをクリックします。

  2. 割り当て > 人に割り当てを選択します。

  3. SAMLアプリをユーザーに割り当て、変更を保存します。

  4. 保存 および 戻るをクリックします。

必要に応じて、すべてのユーザーに対して繰り返します。詳細については、Oktaドキュメントを参照してください。

タスク2:ユーザーをプロジェクトに招待

ユーザーがSSO経由でZilliz Cloudに初めてログインする際、組織メンバーとして登録されますが、デフォルトでどのプロジェクトにもアクセス権がありません。

  • 組織オーナーは、適切なプロジェクトに招待する必要があります。

  • ユーザーをプロジェクトに招待する手順については、プロジェクトユーザーの管理を参照してください。

プロジェクトに招待された後、組織 オーナーは企業ユーザーがSSO経由でサインインできるようにZilliz CloudログインURLを共有できます。

セットアップまたはテストプロセス中に問題が発生した場合は、Zillizサポートにお問い合わせください。

FAQ

SSOで初めてログインするユーザーに割り当てられるロールは何ですか?

既にZilliz Cloudアカウントを持っていない新規ユーザーは、最初のSSOログイン時に自動的に作成されます。これらのユーザーには、デフォルトで組織メンバーロールが割り当てられます。Zilliz Cloudコンソールで後からロールを変更できます。詳細手順については、プロジェクトユーザーの管理を参照してください。

SSOログイン後にユーザーがプロジェクトにアクセスする方法は?

SSO経由でログインした後、ユーザーにはデフォルトで組織メンバーロールが与えられます。特定のプロジェクトにアクセスするには、組織オーナーまたはプロジェクト管理者がプロジェクトに招待する必要があります。詳細手順については、プロジェクトユーザーの管理を参照してください。

SSOでログインする前にユーザーが既にZilliz Cloudアカウントを持っている場合どうなりますか?

ユーザーが既にZilliz Cloud組織に(メールアドレスに基づいて)存在する場合、SSO経由でログインする際に元のロールと権限を保持します。システムはメールアドレスでユーザーをマッチングし、既存のアカウントを上書きしません。

同じ組織に複数のSSOプロバイダーを構成できますか?

現在、各Zilliz Cloud組織は同時に1つの有効なSAML SSO構成のみをサポートしています。