Microsoft Entra(SAML 2.0)
このトピックでは、SAML 2.0プロトコルを使用してMicrosoft Entraとのシングルサインオン(SSO)を構成する方法について説明します。
このガイドでは、Zilliz Cloudがサービスプロバイダー(SP)として機能し、Microsoft Entraがアイデンティティプロバイダー(IdP)として機能します。以下の図は、Zilliz CloudとMicrosoft Entra管理センターで必要な手順を示しています。
始める前に
-
Zilliz Cloud組織に少なくとも1つの**専用(Enterprise)**クラスターがあります。
-
Microsoft Entra管理センターへのアクセス権があります。詳しくは、Microsoft Entraドキュメントを参照してください。
-
SSOを構成するZilliz Cloud組織の組織所有者です。
構成手順
ステップ1:Zilliz CloudコンソールでSPの詳細にアクセス
SPとして、Zilliz Cloudは、Microsoft EntraでSAMLアプリケーションを設定するときに必要な**識別子(エンティティID)と応答URL(アサーションコンシューマーサーイースURL)**を提供します。
-
Zilliz Cloudコンソールにログインし、SSOを構成する組織に移動します。
-
左側のナビゲーションペインで、設定をクリックします。
-
設定ページで、**シングルサインオン(SSO)**セクションを見つけ、構成をクリックします。
-
表示されるダイアログボックスで、IdPおよびプロトコルとして**Microsoft Entra(SAML 2.0)**を選択します。
-
サービスプロバイダーの詳細カードで、**識別子(エンティティID)と応答URL(アサーションコンシューマーサーイースURL)**をコピーします。これらの値は、Microsoft Entra管理センターでアプリケーションを設定するときにステップ2で必要になります。
-
作業が完了したら、ステップ2に進みます。
ステップ2:Microsoft Entra管理センターでアプリケーションを設定
この手順では、Zilliz Cloudから取得したSPの詳細でMicrosoft Entra(IdP)を構成します。
-
Microsoft Entra管理センターにログインします。
-
左側のナビゲーションペインで、エンタープライズアプリをクリックします。
-
表示されるページで、新しいアプリケーションをクリックします。次に、独自のアプリケーションを作成をクリックします。
-
独自のアプリケーションを作成パネルで、アプリケーション名をzillizに設定し、**ギャラリーで見つからない他のアプリケーションを統合(非ギャラリー)**オプションを選択します。
-
次に、作成をクリックします。作業が完了すると、アプリケーションが作成され、アプリケーションの詳細ページにリダイレクトされます。
-
アプリケーション詳細ページで、シングルサインオン > SAMLを選択します。
-
基本SAML構成セクションで、編集をクリックします。
-
**識別子(エンティティID)領域で、識別子を追加をクリックします。次に、ステップ1でZilliz Cloudコンソールからコピーした識別子(エンティティID)**をテキストボックスに貼り付けます。
-
**応答URL(アサーションコンシューマーサーイースURL)領域で、応答URLを追加をクリックします。次に、ステップ1でZilliz Cloudコンソールからコピーした応答URL(アサーションコンシューマーサーイースURL)**をテキストボックスに貼り付けます。
-
保存をクリックします。
-
作業が完了すると、作成したアプリケーションのシングルサインオンパネルに戻り、アプリ連携メタデータURLをコピーします。これは、ステップ3でZilliz Cloudコンソールで必要になります。
ステップ3:Zilliz CloudコンソールでIdP設定を構成
この手順では、SAMLの信頼関係を完了するためにMicrosoft EntraのIdP詳細をZilliz Cloudに戻して提供します。
-
Zilliz Cloudコンソールに戻ります。
-
シングルサインオン(SSO)を構成ダイアログボックスのアイデンティティプロバイダーの詳細カードで、ステップ2でMicrosoft Entra管理センターからコピーしたアプリ連携メタデータURLを貼り付けます。
-
作業が完了したら、保存をクリックします。
構成後のタスク
タスク1:Microsoft Entraアプリケーションをユーザーに割り当てる
ユーザーがSSO経由でZilliz Cloudにアクセスする前に、Microsoft Entraアプリケーションをユーザーに割り当てる必要があります:
-
Microsoft Entra管理センターのアプリケーションページで、ユーザーとグループ > + ユーザー/グループを追加を選択します。
-
ユーザーまたはグループを選択して、アプリケーションへのアクセス権を付与します。
詳細については、Microsoft Entraドキュメントを参照してください。
タスク2:プロジェクトにユーザーを招待
ユーザーがSSO経由でZilliz Cloudに初めてログインする際、ユーザーは組織メンバーとして登録されますが、デフォルトではどのプロジェクトにもアクセスできません。
-
組織所有者が適切なプロジェクトにユーザーを招待する必要があります。
-
ユーザーをプロジェクトに招待するためのステップバイステップの説明については、プロジェクトユーザーの管理を参照してください。
プロジェクトに招待された後、組織所有者はZilliz CloudログインURLをエンタープライズユーザーと共有して、SSO経由でサインインできるようにできます。
セットアップまたはテストプロセス中に問題が発生した場合は、Zillizサポートに連絡してください。
FAQ
初回SSOでログインするユーザーにはどのロールが割り当てられますか?
既存のZilliz Cloudアカウントを持たない新規ユーザーは、最初のSSOログイン時に自動的に作成されます。これらのユーザーにはデフォルトで組織メンバーロールが割り当てられます。Zilliz Cloudコンソールで後からロールを変更できます。詳細な手順については、プロジェクトユーザーの管理を参照してください。
ユーザーはSSOログイン後にプロジェクトにどのようにアクセスできますか?
SSO経由でログイン後、ユーザーにはデフォルトで組織メンバーロールがあります。特定のプロジェクトにアクセスするには、組織所有者またはプロジェクト管理者がプロジェクトに招待する必要があります。詳細な手順については、プロジェクトユーザーの管理を参照してください。
ユーザーがSSOでログインする前にZilliz Cloudアカウントを既に持っている場合どうなりますか?
ユーザーがZilliz Cloud組織に既に存在する場合(メールアドレスに基づく)、SSO経由でログインしても元のロールと権限を保持します。システムはメールアドレスでユーザーを照合し、既存のアカウントを上書きしません。
同じ組織に対して複数のSSOプロバイダーを構成できますか?
現在、各Zilliz Cloud組織は同時に1つの有効なSAML SSO構成のみをサポートしています。