Google Workspace (SAML 2.0)
このトピックでは、SAML 2.0 プロトコルを使用して Google Workspace でシングルサインオン (SSO) を構成する方法について説明します。
このガイドでは、Zilliz Cloud がサービスプロバイダー (SP) として機能し、Google Workspace が ID プロバイダー (IdP) として機能します。以下の図は、Zilliz Cloud と Google Admin コンソールで必要な手順を示しています。
開始前に
-
Zilliz Cloud 組織に少なくとも 1 つのDedicated (Enterprise) クラスターがあること。
-
Google Admin コンソールで管理者ロールを持っていること。
-
SSO を構成する Zilliz Cloud 組織の組織オーナーであること。
構成手順
ステップ 1: Zilliz Cloud コンソールで SP 詳細にアクセスする
SP として、Zilliz Cloud は Google Admin で SAML アプリを設定する際に必要なエンティティIDとACS URLを提供します。
Zilliz Cloud コンソール にログインし、SSO を構成する組織へ移動します。
左側のナビゲーションペインで、設定をクリックします。
設定ページで、シングルサインオン (SSO) セクションを見つけ、構成をクリックします。
表示されたダイアログボックスで、IdP およびプロトコルとしてGoogle Workspace (SAML 2.0) を選択します。
完了したら、ステップ 2 に進みます。
ステップ 2: Google Admin コンソールでカスタム SAML アプリを作成する
このステップでは、Zilliz Cloud から取得した SP 詳細を使用して Google Workspace (IdP) を構成します。
Google Admin コンソール にログインします。
左側のナビゲーションペインで、アプリ > Webおよびモバイルアプリを選択します。次に、アプリを追加 > カスタム SAML アプリを追加を選択します。
アプリ名(例:zilliz)をカスタマイズし、続行をクリックします。
属性セクションで、以下を構成します:
-
Googleディレクトリ属性: マッピングを追加をクリックし、プライマリメールを選択します。
-
アプリ属性: 値をemailに設定します。
完了をクリックします。
ステップ 3: Zilliz Cloud コンソールで IdP 設定を構成する
このステップでは、Google Workspace の IdP 詳細を Zilliz Cloud に提供して、SAML 信頼関係を完了させます。
構成後のタスク
タスク 1: ユーザーに SAML アプリを割り当てる (Google Admin コンソール)
ユーザーが SSO を介して Zilliz Cloud にアクセスできるようにするには、SAML アプリを有効にする必要があります:
newly created アプリの詳細ページで、ユーザーアクセスエリアを見つけ、サービスステータスを編集するためにクリックします。
組織内のすべてのユーザーに対してサービスをオンまたはオフにするには、すべてのユーザーに対してオンまたはオフをクリックし、その後保存をクリックします。
(オプション) 組織単位に対してサービスをオンまたはオフにするには:
-
左側で組織単位を選択します。
-
サービスステータスを変更するには、オンまたはオフを選択します。
-
以下から 1 つを選択します:
-
サービスステータスが継承済みに設定されており、親設定が変更されても更新された設定を維持したい場合は、上書きをクリックします。
-
サービスステータスが上書き済みに設定されている場合は、親設定と同じ設定に戻すために継承するをクリックするか、親設定が変更されても新しい設定を維持するために保存をクリックします。 注:組織構造 について詳しくはこちらをご覧ください。
-
(オプション) 組織単位全体または組織単位内の特定のユーザーセットに対してサービスを有効にするには、アクセスグループを選択します。詳細については、グループを使用してサービスアクセスをカスタマイズする をご覧ください。
ユーザーが SAML アプリにサインインするために使用するメールアドレスが、Google ドメインにサインインするために使用するメールアドレスと一致していることを確認します。
タスク 2: ユーザーをプロジェクトに招待する
ユーザーが初めて SSO を介して Zilliz Cloud にログインすると、組織メンバーとして登録されますが、デフォルトではどのプロジェクトにもアクセスできません。
-
組織オーナーは、適切なプロジェクトにユーザーを招待する必要があります。
-
ユーザーをプロジェクトに招待する方法の手順については、プロジェクトユーザーの管理 を参照してください。
プロジェクトに招待された後、組織 オーナーは、企業ユーザーが SSO を介してサインインできるように Zilliz Cloud ログイン URL を共有できます。
設定またはテストプロセス中に問題が発生した場合は、Zilliz サポート にお問い合わせください。
タスク 3: (オプション) SSO 強制を有効にする
SSO 接続が完全に構成され、テストされた後、オプションでSSO 強制を有効にして、すべての組織メンバーが SSO を介してのみログインすることを必須にできます。有効にすると、メンバーはメール/パスワードまたはサードパーティアカウント (Google、GitHub) を使用してサインインできなくなります。
この機能を有効にすると、現在パスワードでサインインしているすべてのメンバーがすぐにログアウトされ、非 SSO ログイン方法がブロックされます。
詳細については、組織で SSO を強制する を参照してください。
よくある質問
初めて SSO でログインするユーザーにはどのようなロールが割り当てられますか?
すでに Zilliz Cloud アカウントを持っていない新規ユーザーは、最初の SSO ログイン時に自動的に作成されます。これらのユーザーにはデフォルトで組織メンバーロールが割り当てられます。Zilliz Cloud コンソールで後からロールを変更できます。詳細な手順については、プロジェクトユーザーの管理 を参照してください。
SSO ログイン後、ユーザーはどのようにプロジェクトにアクセスしますか?
SSO でログインした後、ユーザーにはデフォルトで組織メンバーロールが付与されます。特定のプロジェクトにアクセスするには、組織オーナーまたはプロジェクト管理者がユーザーをプロジェクトに招待する必要があります。詳細な手順については、プロジェクトユーザーの管理 を参照してください。
SSO でログインする前にユーザーがすでに Zilliz Cloud アカウントを持っている場合、どうなりますか?
ユーザーがすでに Zilliz Cloud 組織に存在する場合(メールアドレスに基づきます)、SSO でログインしても元のロールと権限が維持されます。システムはメールアドレスでユーザーを照合し、既存のアカウントを上書きしません。
同じ組織に対して複数の SSO プロバイダーを構成できますか?
現在、各 Zilliz Cloud 組織では、一度に1 つの有効な SAML SSO 構成のみをサポートしています。