メインコンテンツまでスキップ
バージョン: User Guides (Cloud)

Okta (OIDC)

このトピックでは、OpenID Connect (OIDC) プロトコルを使用して Okta でシングルサインオン (SSO) を設定する方法について説明します。

このガイドでは、Zilliz Cloud がサービスプロバイダー (SP) として機能し、Okta が ID プロバイダー (IdP) として機能します。次の図は、Zilliz Cloud と Okta コンソールで必要な手順を示しています。

EfRWwnbKNhcXEwbL7EBcB66inrd

開始前の準備

  • Zilliz Cloud 組織に少なくとも 1 つの Dedicated (Enterprise) クラスターがあること。

  • Okta コンソールへの管理者アクセス権があること。詳細については、Okta 公式ドキュメント を参照してください。

  • SSO を設定する Zilliz Cloud 組織で、組織オーナーであること。

設定手順

ステップ 1: Zilliz Cloud コンソールで SP の詳細にアクセスする

SP として、Zilliz Cloud は Okta で OIDC アプリを設定する際に必要な シングルサインオンURL を提供します。

1

Zilliz Cloud コンソール にログインし、SSO を設定する組織に移動します。

2

左側のナビゲーションペインで、Settings をクリックします。

3

Settings ページで、Single Sign-On (SSO) セクションを見つけ、Configure をクリックします。

4

表示されたダイアログボックスで、IdP およびプロトコルとして Okta (OIDC) を選択します。

5

サービスプロバイダーの詳細 カードで、シングルサインオンURL をコピーします。これは、Okta コンソールで OIDC アプリを作成する ステップ 2 で必要になります。

6

完了したら、ステップ 2 に進みます。

ステップ 2: Okta コンソールで OIDC アプリを設定する

このステップでは、Zilliz Cloud から取得した SP の詳細を使用して Okta (IdP) を設定します。

1

Okta Admin コンソール にログインします。

2

左側のナビゲーションペインで、アプリケーション > アプリケーション を選択します。

3

Create App Integration をクリックします。

4

Create a new app integration ダイアログボックスで、サインイン方法として OIDC - OpenID Connect を選択し、アプリケーションタイプとして Webアプリケーション を選択します。Next をクリックします。

5

新しい Web アプリ連携を次の設定で構成します:

  • アプリ連携名: アプリ連携名をカスタマイズします(例: zilliz)。

  • サインインリダイレクトURI: ステップ 1 で Zilliz Cloud コンソールからコピーした シングルサインオンURL をここに貼り付けます。

  • 制御されたアクセス: 特定のグループアクセスを設定しない場合は、Skip group assignment for now を選択します。

6

Save をクリックします。すると、アプリの詳細ページにリダイレクトされます。

7

アプリの詳細ページで、次の情報を取得します:

  • クライアントID

  • クライアントシークレット

  • Oktaドメイン

これらの値は、ステップ 3 で Zilliz Cloud コンソールで必要になります。

ステップ 3: Zilliz Cloud コンソールで IdP 設定を構成する

このステップでは、Okta の IdP の詳細を Zilliz Cloud に提供して、OIDC の信頼関係を完了します。

1

Zilliz Cloud コンソール に戻ります。

2

Configure Single Sign-On (SSO) ダイアログボックスの IDプロバイダーの詳細 カードで、次の項目を設定します:

  • Okta Domain: ステップ 2 で Okta コンソールからコピーした Oktaドメイン を貼り付けます。

  • クライアントID: ステップ 2 で Okta コンソールからコピーした クライアントID を貼り付けます。

  • クライアントシークレット: ステップ 2 で Okta コンソールからコピーした クライアントシークレット を貼り付けます。

3

完了したら、Save をクリックします。次に、OK をクリックします。

設定後のタスク

タスク 1: ユーザーに OIDC アプリを割り当てる

ユーザーが SSO を介して Zilliz Cloud にアクセスできるようにする前に、OIDC アプリをユーザーに割り当てる必要があります:

1

Okta Admin コンソール のアプリ詳細ページで、割り当て をクリックします。

2

Assign > Assign to People を選択します。

3

OIDC アプリをユーザーに割り当て、変更を保存します。

4

Save and 戻る をクリックします。次に、Done をクリックします。

必要に応じてすべてのユーザーに対して繰り返します。詳細については、Okta ドキュメント を参照してください。

タスク 2: ユーザーをプロジェクトに招待する

ユーザーが初めて SSO を介して Zilliz Cloud にログインすると、組織メンバー として登録されますが、デフォルトではどのプロジェクトにもアクセスできません。

  • 組織オーナー が適切なプロジェクトに招待する必要があります。

  • プロジェクトにユーザーを招待する手順については、Manage Project Users を参照してください。

プロジェクトに招待された後、組織オーナー は Zilliz Cloud のログイン URL をエンタープライズユーザーと共有し、SSO を介してサインインできるようにします。

📘Notes

組織で SSO 強制が有効になっている場合、組織レベルでの直接メンバー招待は無効になります。代わりに IdP を通じてユーザーをプロビジョニングする必要があります。プロジェクトレベルでメンバーを招待する場合、既存の組織メンバーのみを招待できます。

設定またはテストプロセス中に問題が発生した場合は、Zilliz サポート にお問い合わせください。

タスク 3: (オプション) SSO 強制を有効にする

SSO 接続が完全に設定され、テストされた後、オプションで SSO 強制 を有効にして、すべての組織メンバーが SSO を介してのみログインするように要求できます。有効にすると、メンバーはメール/パスワードまたはサードパーティアカウント(Google、GitHub)を使用してサインインできなくなります。

🚧Warning

この機能を有効にすると、パスワードで現在サインインしているすべてのメンバーが直ちにログアウトされ、SSO 以外のログイン方法がブロックされます。

詳細については、Enforce SSO in Your Organization を参照してください。

FAQ

SSO で初めてログインするユーザーに割り当てられるロールは何ですか?

Zilliz Cloud アカウントをまだ持っていない新規ユーザーは、初回の SSO ログイン時に自動的に作成されます。これらのユーザーには、デフォルトで 組織メンバー ロールが割り当てられます。後で Zilliz Cloud コンソールでロールを変更できます。詳細な手順については、Manage Project Users を参照してください。

SSO ログイン後、ユーザーはどのようにプロジェクトにアクセスしますか?

SSO でログインした後、ユーザーにはデフォルトで 組織メンバー ロールが割り当てられます。特定のプロジェクトにアクセスするには、組織オーナー または プロジェクト管理者 がプロジェクトに招待する必要があります。詳細な手順については、Manage Project Users を参照してください。

SSO でログインする前に既に Zilliz Cloud アカウントを持っているユーザーはどうなりますか?

ユーザーが既に Zilliz Cloud 組織に存在する場合(メールアドレスに基づく)、SSO でログインしても元のロールと権限が保持されます。システムはメールアドレスでユーザーを照合し、既存のアカウントを上書きしません。

同じ組織に複数の SSO プロバイダーを設定できますか?

現在、各 Zilliz Cloud 組織では、一度にアクティブな SAML SSO 設定は 1 つ のみサポートされています。