Google Workspace (SAML 2.0)
このトピックでは、SAML 2.0 プロトコルを使用して Google Workspace でシングルサインオン(SSO)を構成する方法について説明します。
このガイドでは、Zilliz Cloud がサービスプロバイダー(SP)として、Google Workspace が ID プロバイダー(IdP)として機能します。以下の図は、Zilliz Cloud と Google Admin コンソールで必要な手順を示しています。
開始前に
-
Zilliz Cloud 組織に少なくとも 1 つの Dedicated (Enterprise) クラスターがあること。
-
Google Admin コンソールで Admin ロールを持っていること。
-
SSO を構成する Zilliz Cloud 組織の 組織オーナー であること。
構成手順
ステップ 1: Zilliz Cloud コンソールで SP の詳細にアクセスする
SP として、Zilliz Cloud は Google Admin で SAML アプリを設定する際に必要な エンティティID と ACS URL を提供します。
Zilliz Cloud コンソールにログインし、SSO を構成したい組織に移動します。
左側のナビゲーションペインで、Settings をクリックします。
Settings ページで、Single Sign-On (SSO) セクションを見つけて、Configure をクリックします。
表示されたダイアログボックスで、IdP とプロトコルとして Google Workspace (SAML 2.0) を選択します。
完了したら、ステップ 2 に進みます。
ステップ 2: Google Admin コンソールでカスタム SAML アプリを作成する
このステップでは、Zilliz Cloud から取得した SP の詳細を使用して、Google Workspace(IdP)を構成します。
Google Admin コンソールにログインします。
左側のナビゲーションペインで、アプリ > Webおよびモバイルアプリ を選択します。次に、Add app > Add custom SAML app を選択します。
アプリ名をカスタマイズします(例: zilliz)そして CONTINUE をクリックします。
表示されたページで、Option 1: ダウンロード IdP metadata から IdP メタデータをダウンロードします。これは、Zilliz Cloud コンソールで IdP 設定を構成する ステップ 3 で必要になります。次に、Continue をクリックします。
または、Option 2: Copy the SSO URL, entity ID, and certificate からそれぞれ SSO URL、エンティティID、Certificate を取得します。これらは、ステップ 3 で Manual モードが選択された場合に Zilliz Cloud コンソールで必要になります。
属性 セクションで、以下を構成します。
-
Googleディレクトリ属性: ADD MAPPING をクリックし、プライマリメール を選択します。
-
アプリ属性: 値を email に設定します。
完了 をクリックします。
ステップ 3: Zilliz Cloud コンソールで IdP 設定を構成する
このステップでは、Google Workspace の IdP の詳細を Zilliz Cloud に提供して、SAML の信頼関係を完了します。
構成後のタスク
タスク 1: ユーザーに SAML アプリを割り当てる(Google Admin コンソール)
ユーザーが SSO を介して Zilliz Cloud にアクセスできるようにする前に、SAML アプリを有効にします。
新しく作成したアプリの詳細ページで、ユーザーアクセス エリアを見つけて、サービスステータスを編集するためにクリックします。
組織内の全員に対してサービスをオンまたはオフにするには、ON for everyone または OFF for everyone をクリックし、Save をクリックします。
(オプション)組織単位に対してサービスをオンまたはオフにするには:
-
左側で、組織単位を選択します。
-
サービスステータス を変更するには、ON または OFF を選択します。
-
いずれかを選択します。
-
サービスステータス が 継承済み に設定されていて、親の設定が変更されても更新された設定を保持したい場合は、上書き をクリックします。
-
サービスステータス が 上書き済み に設定されている場合は、継承する をクリックして親と同じ設定に戻すか、Save をクリックして親の設定が変更されても新しい設定を保持します。 注: organizational structure の詳細をご確認ください。
-
(オプション)組織単位をまたがる、または組織単位内のユーザーのセットに対してサービスをオンにするには、アクセスグループを選択します。詳細については、Use groups to customize service access を参照してください。
ユーザーが SAML アプリにサインインするために使用するメールアドレスが、Google ドメインにサインインするために使用するメールアドレスと一致していることを確認します。
タスク 2: ユーザーをプロジェクトに招待する
ユーザーが初めて SSO を介して Zilliz Cloud にログインすると、組織メンバー として登録されますが、デフォルトではどのプロジェクトにもアクセスできません。
-
組織オーナー が適切なプロジェクトに招待する必要があります。
-
プロジェクトにユーザーを招待する手順については、Manage Project Users を参照してください。
プロジェクトに招待された後、組織オーナー は Zilliz Cloud のログイン URL をエンタープライズユーザーと共有し、SSO を介してサインインできるようにします。
セットアップやテストの過程で問題が発生した場合は、Zilliz support にお問い合わせください。
タスク 3: (オプション)SSO 強制を有効にする
SSO 接続が完全に構成され、テストされた後、オプションで SSO enforcement を有効にして、すべての組織メンバーが SSO を介してのみログインするように要求できます。有効にすると、メンバーはメール/パスワードやサードパーティアカウント(Google、GitHub)を使用してサインインできなくなります。
この機能を有効にすると、パスワードで現在サインインしているすべてのメンバーが直ちにログアウトされ、SSO 以外のログイン方法がブロックされます。
詳細については、Enforce SSO in Your Organization を参照してください。
FAQ
SSO で初めてログインするユーザーにどのロールが割り当てられますか?
Zilliz Cloud アカウントをまだ持っていない新規ユーザーは、初回の SSO ログイン時に自動的に作成されます。これらのユーザーには、デフォルトで 組織メンバー ロールが割り当てられます。後で Zilliz Cloud コンソールでロールを変更できます。詳細な手順については、Manage Project Users を参照してください。
SSO ログイン後、ユーザーはどのようにプロジェクトにアクセスしますか?
SSO でログインすると、ユーザーにはデフォルトで 組織メンバー ロールが付与されます。特定のプロジェクトにアクセスするには、組織オーナー または プロジェクト管理者 がプロジェクトに招待する必要があります。詳細な手順については、Manage Project Users を参照してください。
SSO でログインする前に既に Zilliz Cloud アカウントを持っているユーザーはどうなりますか?
ユーザーが既に Zilliz Cloud 組織に存在する場合(メールアドレスに基づく)、SSO でログインしても元のロールと権限が保持されます。システムはメールアドレスでユーザーを照合し、既存のアカウントを上書きしません。
同じ組織に複数の SSO プロバイダーを構成できますか?
現在、各 Zilliz Cloud 組織では、同時に 1 つのアクティブな SAML SSO 構成 のみがサポートされています。