メインコンテンツまでスキップ
バージョン: User Guides (Cloud)

Google Workspace(SAML 2.0)

このトピックでは、SAML 2.0プロトコルを使用してGoogle Workspaceとのシングルサインオン(SSO)を構成する方法について説明します。

このガイドでは、Zilliz Cloudがサービスプロバイダー(SP)として機能し、Google Workspaceがアイデンティティプロバイダー(IdP)として機能します。以下の図は、Zilliz CloudとGoogle管理コンソールで必要な手順を示しています。

LsmAwFbPthojH3bLRtEcogRinwc

始める前に

  • Zilliz Cloud組織に少なくとも1つの**専用(Enterprise)**クラスターがあります。

  • Google管理コンソールで管理者ロールを持っている必要があります。

  • SSOを構成するZilliz Cloud組織の組織所有者です。

構成手順

ステップ1:Zilliz CloudコンソールでSPの詳細にアクセス

SPとして、Zilliz Cloudは、Google管理でSAMLアプリを設定するときに必要なエンティティIDACS URLを提供します。

  1. Zilliz Cloudコンソールにログインし、SSOを構成する組織に移動します。

  2. 左側のナビゲーションペインで、設定をクリックします。

  3. 設定ページで、**シングルサインオン(SSO)**セクションを見つけ、構成をクリックします。

  4. 表示されるダイアログボックスで、IdPおよびプロトコルとして**Google Workspace(SAML 2.0)**を選択します。

  5. サービスプロバイダーの詳細カードで、エンティティIDACS URLをコピーします。これらの値は、Google管理コンソールでSAMLアプリを作成するときにステップ2で必要になります。

    📘ノート

    かわりに、SSO URL証明書をここでコピーすることもできます。この場合、ステップ3でZilliz CloudコンソールでIdP詳細を手動モードで構成する必要があります。

  6. 作業が完了したら、ステップ2に進みます。

ステップ2:Google管理コンソールでカスタムSAMLアプリを作成

この手順では、Zilliz Cloudから取得したSPの詳細でGoogle Workspace(IdP)を構成します。

  1. Google管理コンソールにログインします。

  2. 左側のナビゲーションペインで、アプリ > ウェブおよびモバイルアプリを選択します。次に、アプリを追加 > カスタムSAMLアプリを追加を選択します。

  3. アプリ名をカスタマイズ(例:zilliz)し、続行をクリックします。

  4. 表示されるページで、オプション1:IdPメタデータのダウンロードからIdPメタデータをダウンロードします。これは、ステップ3でZilliz CloudコンソールでIdP設定を構成する際に必要になります。次に、続行をクリックします。

    📘ノート

    かわりに、オプション2:SSO URL、エンティティID、証明書をコピーからそれぞれSSO URLエンティティID証明書を取得します。これらは、ステップ3手動モードが選択されている場合にZilliz Cloudコンソールで必要になります。

  5. サービスプロバイダーの詳細セクションで、構成します:

    • ACS URLステップ1でZilliz CloudコンソールからコピーしたACS URLを貼り付けます。

    • エンティティIDステップ1でZilliz CloudコンソールからコピーしたエンティティIDを貼り付けます。

    作業が完了したら、続行をクリックします。

  6. 属性セクションで、構成します:

    • Googleディレクトリ属性マッピングを追加をクリックし、主要メールを選択します。

    • アプリ属性: 値をemailに設定します。

  7. 完了をクリックします。

ステップ3:Zilliz CloudコンソールでIdP設定を構成

この手順では、SAMLの信頼関係を完了するためにGoogle WorkspaceのIdP詳細をZilliz Cloudに戻して提供します。

  1. Zilliz Cloudコンソールに戻ります。

  2. シングルサインオン(SSO)を構成ダイアログボックスのアイデンティティプロバイダーの詳細カードで、ステップ2でGoogle管理コンソールからダウンロードしたメタデータファイルをアップロードします。

    📘ノート

    かわりに、IdP詳細構成の手動モードを選択した場合、以下を構成します:

    • SSO URLステップ2でコピーしたSSO URLをここに貼り付けます。

    • 証明書ステップ2でコピーした証明書をここに貼り付けます。

  3. 作業が完了したら、保存をクリックします。

構成後のタスク

タスク1:SAMLアプリをユーザーに割り当てる(Google管理コンソール)

ユーザーがSSO経由でZilliz Cloudにアクセスする前に、SAMLアプリを有効化します:

  1. 新しく作成したアプリの詳細ページで、ユーザーのアクセス領域を見つけ、サービスステータスを編集するためにクリックします。

  2. 組織内の全員に対してサービスを有効化または無効化するには、全員に対してONまたは全員に対してOFFをクリックし、保存をクリックします。

  3. (オプション)組織単位に対してサービスを有効化または無効化するには:

    1. 左側で組織単位を選択します。

    2. サ비스ステータスを変更するには、ONまたはOFFを選択します。

    3. 以下から1つ選択:

      • サービステータス継承に設定されていて、親の設定が変更された場合でも更新された設定を維持したい場合は、上書きをクリックします。

      • サービステータス上書きに設定されている場合、親と同じ設定に戻すには継承をクリックし、親の設定が変更された場合でも新しい設定を維持するには保存をクリックします。 注意: 組織構造について詳しく学んでください。

  4. (オプション)組織単位をまたいでまたは内部のユーザーのセットに対してサービスを有効化するには、アクセスグループを選択します。詳細については、グループを使用してサービスアクセスをカスタマイズを参照してください。

  5. ユーザーがSAMLアプリにサインインするために使用するメールアドレスが、Googleドメインにサインインするために使用するメールアドレスと一致していることを確認します。

タスク2:プロジェクトにユーザーを招待

ユーザーがSSO経由でZilliz Cloudに初めてログインする際、ユーザーは組織メンバーとして登録されますが、デフォルトではどのプロジェクトにもアクセスできません。

  • 組織所有者が適切なプロジェクトにユーザーを招待する必要があります。

  • ユーザーをプロジェクトに招待するためのステップバイステップの説明については、プロジェクトユーザーの管理を参照してください。

プロジェクトに招待された後、組織所有者はZilliz CloudログインURLをエンタープライズユーザーと共有して、SSO経由でサインインできるようにできます。

セットアップまたはテストプロセス中に問題が発生した場合は、Zillizサポートに連絡してください。

FAQ

初回SSOでログインするユーザーにはどのロールが割り当てられますか?

既存のZilliz Cloudアカウントを持たない新規ユーザーは、最初のSSOログイン時に自動的に作成されます。これらのユーザーにはデフォルトで組織メンバーロールが割り当てられます。Zilliz Cloudコンソールで後からロールを変更できます。詳細な手順については、プロジェクトユーザーの管理を参照してください。

ユーザーはSSOログイン後にプロジェクトにどのようにアクセスできますか?

SSO経由でログイン後、ユーザーにはデフォルトで組織メンバーロールがあります。特定のプロジェクトにアクセスするには、組織所有者またはプロジェクト管理者がプロジェクトに招待する必要があります。詳細な手順については、プロジェクトユーザーの管理を参照してください。

ユーザーがSSOでログインする前にZilliz Cloudアカウントを既に持っている場合どうなりますか?

ユーザーがZilliz Cloud組織に既に存在する場合(メールアドレスに基づく)、SSO経由でログインしても元のロールと権限を保持します。システムはメールアドレスでユーザーを照合し、既存のアカウントを上書きしません。

同じ組織に対して複数のSSOプロバイダーを構成できますか?

現在、各Zilliz Cloud組織は同時に1つの有効なSAML SSO構成のみをサポートしています。