メインコンテンツまでスキップ
バージョン: User Guides (Cloud)

Okta(OIDC)

このトピックでは、OpenID Connect(OIDC)プロトコルを使用してOktaとのシングルサインオン(SSO)を構成する方法について説明します。

このガイドでは、Zilliz Cloudがサービスプロバイダー(SP)として機能し、Oktaがアイデンティティプロバイダー(IdP)として機能します。以下の図は、Zilliz CloudとOktaコンソールで必要な手順を示しています。

EfRWwnbKNhcXEwbL7EBcB66inrd

始める前に

  • Zilliz Cloud組織に少なくとも1つの**専用(Enterprise)**クラスターがあります。

  • Oktaコンソールへの管理者アクセス権があります。詳しくは、Okta公式ドキュメントを参照してください。

  • SSOを構成するZilliz Cloud組織の組織所有者です。

構成手順

ステップ1:Zilliz CloudコンソールでSPの詳細にアクセス

SPとして、Zilliz Cloudは、OktaでOIDCアプリを設定する際に必要なシングルサインオンURLを提供します。

  1. Zilliz Cloudコンソールにログインし、SSOを構成する組織に移動します。

  2. 左側のナビゲーションペインで、設定をクリックします。

  3. 設定ページで、**シングルサインオン(SSO)**セクションを見つけ、構成をクリックします。

  4. 表示されるダイアログボックスで、IdPおよびプロトコルとして**Okta(OIDC)**を選択します。

  5. サービスプロバイターの詳細カードで、シングルサインオンURLをコピーします。これは、OktaコンソールでOIDCアプリを作成するときにステップ2で必要になります。

  6. 作業が完了したら、ステップ2に進みます。

ステップ2:OktaコンソールでOIDCアプリを設定

この手順では、Zilliz Cloudから取得したSPの詳細でOkta(IdP)を構成します。

  1. Okta管理者コンソールにログインします。

  2. 左側のナビゲーションペインで、アプリケーション > アプリケーションを選択します。

  3. アプリ統合を作成をクリックします。

  4. 新しいアプリ統合を作成ダイアログボックスで、サインインメソッドとしてOIDC - OpenID Connectを選択し、アプリケーションタイプとしてWebアプリケーションを選択します。次へをクリックします。

  5. 以下の設定で新しいWebアプリ統合を設定します:

    • アプリ統合名: アプリ統合名をカスタマイズします(例:zilliz)。

    • サインインリダイレクトURIステップ1でZilliz CloudコンソールからコピーしたシングルサインオンURLをここに貼り付けます。

    • 制御されたアクセス: 特定のグループアクセスを設定しない場合は、現時点ではグループ割り当てをスキップを選択します。

  6. 保存をクリックします。すると、アプリ詳細ページにリダイレクトされます。

  7. アプリ詳細ページで、以下の情報を取得します:

    • クライアントID

    • クライアントシークレット

    • Oktaドメイン

    これらの値は、ステップ3でZilliz CloudコンソールでIdP設定を行う際に必要になります。

ステップ3:Zilliz CloudコンソールでIdP設定を構成

この手順では、OIDCの信頼関係を完了するために、OktaのIdP詳細をZilliz Cloudに戻して提供します。

  1. Zilliz Cloudコンソールに戻ります。

  2. シングルサインオン(SSO)を構成ダイアログボックスのアイデンティティプロバイターの詳細カードで、以下を構成します:

    • Oktaドメインステップ2でOktaコンソールからコピーしたOktaドメインを貼り付けます。

    • クライアントIDステップ2でOktaコンソールからコピーしたクライアントIDを貼り付けます。

    • クライアントシークレットステップ2でOktaコンソールからコピーしたクライアントシークレットを貼り付けます。

  3. 作業が完了したら、保存をクリックします。次に、OKをクリックします。

構成後のタスク

タスク1:OIDCアプリをユーザーに割り当てる

ユーザーがSSO経由でZilliz Cloudにアクセスする前に、OIDCアプリをユーザーに割り当てる必要があります:

  1. Okta管理者コンソールのアプリ詳細ページで、割り当てをクリックします。

  2. 割り当て > 人に割り当てを選択します。

  3. OIDCアプリをユーザーに割り当て、変更を保存します。

  4. 保存して戻るをクリックします。次に、完了をクリックします。

必要に応じてすべてのユーザーに対して繰り返します。詳細については、Oktaドキュメントを参照してください。

タスク2:プロジェクトにユーザーを招待

ユーザーがSSO経由でZilliz Cloudに初めてログインする際、ユーザーは組織メンバーとして登録されますが、デフォルトではどのプロジェクトにもアクセスできません。

  • 組織所有者が適切なプロジェクトにユーザーを招待する必要があります。

  • ユーザーをプロジェクトに招待するためのステップバイステップの説明については、プロジェクトユーザーの管理を参照してください。

プロジェクトに招待された後、組織所有者はZilliz CloudログインURLをエンタープライズユーザーと共有して、SSO経由でサインインできるようにできます。

セットアップまたはテストプロセス中に問題が発生した場合は、Zillizサポートに連絡してください。

FAQ

初回SSOでログインするユーザーにはどのロールが割り当てられますか?

既存のZilliz Cloudアカウントを持たない新規ユーザーは、最初のSSOログイン時に自動的に作成されます。これらのユーザーにはデフォルトで組織メンバーロールが割り当てられます。Zilliz Cloudコンソールで後からロールを変更できます。詳細な手順については、プロジェクトユーザーの管理を参照してください。

ユーザーはSSOログイン後にプロジェクトにどのようにアクセスできますか?

SSO経由でログイン後、ユーザーにはデフォルトで組織メンバーロールがあります。特定のプロジェクトにアクセスするには、組織所有者またはプロジェクト管理者がプロジェクトに招待する必要があります。詳細な手順については、プロジェクトユーザーの管理を参照してください。

ユーザーがSSOでログインする前にZilliz Cloudアカウントを既に持っている場合どうなりますか?

ユーザーがZilliz Cloud組織に既に存在する場合(メールアドレスに基づく)、SSO経由でログインしても元のロールと権限を保持します。システムはメールアドレスでユーザーを照合し、既存のアカウントを上書きしません。

同じ組織に対して複数のSSOプロバイダーを構成できますか?

現在、各Zilliz Cloud組織は同時に1つの有効なSAML SSO構成のみをサポートしています。