Okta (OIDC)
このトピックでは、OpenID Connect (OIDC) プロトコルを使用して Okta でシングルサインオン (SSO) を構成する方法について説明します。
このガイドでは、Zilliz Cloud がサービスプロバイダー (SP) として機能し、Okta が ID プロバイダー (IdP) として機能します。以下の図は、Zilliz Cloud および Okta コンソールで必要な手順を示しています。
Before you start
-
Zilliz Cloud 組織に少なくとも 1 つのDedicated (Enterprise) クラスターがあること。
-
Okta コンソールへの Admin アクセス権限があること。詳細については、Okta official documentation を参照してください。
-
SSO を構成する Zilliz Cloud 組織において、組織オーナー であること。
設定 steps
Step 1: Access SP details in Zilliz Cloud console
SP として、Zilliz Cloud は Okta で OIDC アプリを設定する際に必要なシングルサインオンURLを提供します。
Zilliz Cloud console にログインし、SSO を構成する組織へ移動します。
左側のナビゲーションペインで、Settingsをクリックします。
Settingsページで、Single Sign-On (SSO) セクションを見つけ、Configureをクリックします。
表示されたダイアログボックスで、IdP およびプロトコルとして**Okta (OIDC)**を選択します。
サービスプロバイダーの詳細カードで、シングルサインオンURLをコピーします。この値は、Okta コンソールで OIDC アプリを作成する際の Step 2 で必要になります。
これが完了したら、Step 2 に進みます。
Step 2: Set up an OIDC app in Okta console
このステップでは、Zilliz Cloud から取得した SP 詳細を使用して Okta (IdP) を構成します。
Okta Admin console にログインします。
左側のナビゲーションペインで、アプリケーション > アプリケーションを選択します。
Create App Integrationをクリックします。
Create a new app integrationダイアログボックスで、サインイン方法としてOIDC - OpenID Connectを選択し、アプリケーションタイプとしてWebアプリケーションを選択します。Nextをクリックします。
新しい Web アプリ連携を以下の設定で構成します:
-
アプリ連携名: アプリ連携名をカスタマイズします(例:zilliz)。
-
サインインリダイレクトURI: Step 1 で Zilliz Cloud コンソールからコピーしたシングルサインオンURLをここに貼り付けます。
-
制御されたアクセス: 特定のグループアクセスを設定しない限り、Skip group assignment for nowを選択します。
Saveをクリックします。その後、アプリ詳細ページへリダイレクトされます。
Step 3: Configure IdP settings in Zilliz Cloud console
このステップでは、Okta の IdP 詳細を Zilliz Cloud に提供して、OIDC 信頼関係を完了させます。
Post-configuration tasks
Task 1: Assign OIDC app to users
ユーザーが SSO を介して Zilliz Cloud にアクセスできるようにするには、OIDC アプリをユーザーに割り当てる必要があります:
Okta Admin console のアプリ詳細ページで、割り当てをクリックします。
Assign > Assign to Peopleを選択します。
OIDC アプリをユーザーに割り当て、変更を保存します。
Saveをクリックをクリック****戻るします。次に、Doneをクリックします。
必要に応じてすべてのユーザーに対してこの操作を繰り返します。詳細については、Okta documentation を参照してください。
Task 2: Invite users to your project
ユーザーが初めて SSO を介して Zilliz Cloud にログインすると、組織メンバーとして登録されますが、デフォルトではどのプロジェクトにもアクセスできません。
-
組織オーナーは、適切なプロジェクトへそれらを招待する必要があります。
-
ユーザーをプロジェクトへ招待する方法の手順については、Manage Project Users を参照してください。
プロジェクトへ招待された後、Organization オーナーはエンタープライズユーザーと Zilliz Cloud ログイン URL を共有でき、それによりユーザーは SSO を介してサインインできます。
組織で SSO 強制が有効になっている場合、組織レベルでのメンバーの直接招待は無効になります。代わりに IdP を介してユーザーをプロビジョニングする必要があります。プロジェクトレベルでメンバーを招待する場合、既存の組織メンバーのみを招待できます。
設定またはテストプロセス中に問題が発生した場合は、Zilliz support にお問い合わせください。
Task 3: (Optional) Enable SSO enforcement
SSO 接続が完全に構成およびテストされた後、オプションでSSO enforcementを有効にして、すべての組織メンバーが SSO を介してのみログインすることを必須にできます。有効にすると、メンバーはメール/パスワードまたはサードパーティアカウント(Google、GitHub)を使用してサインインできなくなります。
この機能を有効にすると、現在パスワードでサインインしているすべてのメンバーがすぐにログアウトされ、非 SSO ログイン方法がブロックされます。
詳細については、Enforce SSO in Your Organization を参照してください。
FAQ
What role is assigned to users who log in via SSO for the first time?
すでに Zilliz Cloud アカウントを持っていない新規ユーザーは、最初の SSO ログイン時に自動的に作成されます。これらのユーザーには、デフォルトで組織メンバーロールが割り当てられます。後で Zilliz Cloud コンソールでロールを変更できます。詳細な手順については、Manage Project Users を参照してください。
How do users access projects after SSO login?
SSO を介してログインした後、ユーザーにはデフォルトで組織メンバーロールが付与されます。特定のプロジェクトにアクセスするには、組織オーナーまたはプロジェクト管理者がそれらをプロジェクトへ招待する必要があります。詳細な手順については、Manage Project Users を参照してください。
What happens if a user already has a Zilliz Cloud account before logging in with SSO?
ユーザーがすでに Zilliz Cloud 組織に存在する場合(メールアドレスに基づき)、SSO を介してログインしても元のロールと権限が維持されます。システムはメールアドレスでユーザーを照合し、既存のアカウントを上書きしません。
Can I configure multiple SSO providers for the same organization?
現在、各 Zilliz Cloud 組織では、一度にアクティブなSAML SSO configurationを 1 つのみサポートしています。