メインコンテンツまでスキップ
バージョン: User Guides (Cloud)

組織で SSO を強制する

デフォルトでは、組織に対してシングルサインオン (SSO) が構成された後でも、メンバーは引き続きメール/パスワードまたはサードパーティアカウント(Google、GitHub)を使用してログインすることを選択できます。SSO の強制により、すべてのメンバーが SSO を唯一のログイン方法として使用することが義務付けられ、この柔軟性が削除されます。

この機能は、アイデンティティプロバイダー (IdP) を介した集中認証、監査制御、およびアイデンティティガバナンスなど、企業のセキュリティおよびコンプライアンス要件を満たす必要がある組織向けに設計されています。

概要

組織で SSO の強制を有効にすると、次のようになります。

  • メール/パスワードまたはサードパーティアカウント(Google、GitHub)でのログインを試みたメンバーはブロックされ、代わりに SSO 経由でのログインを促されます。

  • ユーザーが複数の組織に所属しており、それらの組織のいずれかで SSO の強制が有効になっている場合、ユーザーは SSO 経由でログインする必要があります。これは、ユーザーがアクセスしようとしている組織に関係なく適用されます。

  • 組織オーナーは自動的に除外され、他の方法でログインし続けることができます。詳細については、除外ルール を参照してください。

  • 除外対象外のメンバーのすべてのアクティブなセッションは即座に無効になります。影響を受けるメンバーはログアウトされ、SSO 経由で再認証する必要があります。

  • 組織メンバーへの直接招待は無効になります。IdP を介してユーザーをプロビジョニングする必要があります。プロジェクトレベルの招待は、既存の組織メンバーのみに限定されます。

  • 組織で Zilliz Cloud 上の MFA が有効になっている場合、SSO の強制がオンになると自動的に無効になります。MFA が必要な場合は、代わりに IdP 内で構成してください。

開始前に

SSO の強制を有効にする前に、以下を確認してください。

  • あなたが Zilliz Cloud 組織の組織オーナーであること。

  • 組織に対して SSO 接続が構成および検証済みであること。セットアップ手順については、お使いの IdP の構成ガイド(例:Okta (OIDC))を参照してください。

  • 意図したすべてのメンバーが IdP の SSO アプリケーションに割り当てられており、SSO 経由で正常にログインできること。

SSO の強制を有効にする

1

Zilliz Cloud コンソール にログインし、SSO の強制を有効にする組織に移動します。

2

左側のナビゲーションペインで、設定をクリックします。

3

設定ページで、シングルサインオン (SSO) セクションを見つけます。SSO がすでに構成されており、有効になっていることを確認します。

4

SSO ログインの強制トグルを見つけて、オンにします。

5

確認をクリックします。これにより、現在パスワードを使用しているすべてのメンバーがログアウトし、メンバーの直接招待が無効になります。

有効になると、すべての組織メンバー(組織オーナーを除く)は SSO 経由でログインする必要があります。メール/パスワードまたはサードパーティアカウント(Google、GitHub)でのログイン試行はブロックされます。

SSO の強制を無効にする

1

Zilliz Cloud コンソールで、設定に移動し、シングルサインオン (SSO) セクションを見つけます。

2

SSO ログインの強制トグルをオフにします。

3

確認をクリックします。

SSO の強制が無効になると、メンバーは元のパスワードでログインできるようになります。

除外ルール

組織オーナーは自動的に SSO の強制から除外されます。これは、IdP が誤って構成されているか利用できない場合でも、少なくとも 1 人の管理者が常に組織にアクセスできるようにするための緊急時用メカニズムとして機能します。

除外ロジックは以下のルールに従います。

  • ユーザーが所属するすべての SSO 強制対象組織において組織オーナーである場合、そのユーザーは除外され、任意の方法でログインできます。

  • ユーザーが一部のSSO 強制対象組織では組織オーナーであるが、他のいずれかのSSO 強制対象組織では一般メンバーである場合、そのユーザーは除外されず、SSO 経由でログインする必要があります。

次の表は、複数の組織にわたるユーザーの除外動作を示しています。

ユーザー

Org A(SSO 強制)

Org B(SSO 強制)

Org C(強制なし)

除外されるか?

ユーザー X

組織オーナー

組織オーナー

任意のロール

はい

ユーザー Y1

組織オーナー

組織メンバー

組織オーナー

いいえ

ユーザー Y2

組織オーナー

組織メンバー

組織メンバー

いいえ

ユーザー Y3

組織メンバー

組織メンバー

組織オーナー

いいえ

ユーザー Z

組織メンバー

組織メンバー

組織メンバー

いいえ

要約すると、ユーザーが除外されるのは、SSO の強制が有効になっているすべての組織において組織オーナーのロールを持っている場合のみです。強制されていない組織で組織オーナーであっても、除外権限は付与されません。