Okta (SAML 2.0)
このトピックでは、SAML 2.0 プロトコルを使用して Okta でシングルサインオン (SSO) を構成する方法について説明します。
このガイドでは、Zilliz Cloud がサービスプロバイダー (SP) として機能し、Okta が ID プロバイダー (IdP) として機能します。以下の図は、Zilliz Cloud と Okta Admin Console で必要な手順を示しています。
始める前に
-
Zilliz Cloud 組織に少なくとも 1 つのDedicated (Enterprise) クラスターがあること。
-
Okta Admin Console への管理者アクセス権限があること。詳細については、Okta 公式ドキュメント を参照してください。
-
SSO を構成する Zilliz Cloud 組織において、あなたが組織オーナーであること。
構成手順
ステップ 1: Zilliz Cloud コンソールで SP の詳細にアクセスする
SP として、Zilliz Cloud は Okta で SAML アプリを設定する際に必要な対象ユーザー URL (SP エンティティ ID)およびシングルサインオン URLを提供します。
Zilliz Cloud コンソール にログインし、SSO を構成したい組織へ移動します。
左側のナビゲーションペインで、設定をクリックします。
設定ページで、シングルサインオン (SSO) セクションを見つけ、構成をクリックします。
表示されたダイアログボックスで、IdP およびプロトコルとして**Okta (SAML 2.0)**を選択します。
サービスプロバイダーの詳細カードで、対象ユーザー URL (SP エンティティ ID)およびシングルサインオン URLをコピーします。これらの値は、Okta Admin Console で SAML アプリを作成する際の ステップ 2 で必要になります。
完了したら、ステップ 2 に進みます。
ステップ 2: Okta Admin Console で SAML アプリを作成する
このステップでは、Zilliz Cloud から取得した SP の詳細を使用して Okta (IdP) を構成します。
Okta Admin コンソール にログインします。
左側のナビゲーションペインで、アプリケーション > アプリケーションを選択します。
アプリ統合の作成をクリックします。
新しいアプリ統合の作成ダイアログボックスで、SAML 2.0を選択し、次へをクリックします。
簡略化のため、アプリ名をzillizに設定し、次へをクリックします。
SAML の構成ステップの一般エリアで、以下のフィールドを構成します。
属性ステートメント (オプション) エリアで、以下を指定します。
-
名前: 値をemailに設定します。
-
値: ドロップダウンリストからuser.emailを選択します。
次へをクリックし、次に完了をクリックします。アプリページにリダイレクトされます。
ステップ 3: Zilliz Cloud コンソールで IdP 設定を構成する
このステップでは、Okta の IdP 詳細を Zilliz Cloud に提供して、SAML 信頼関係を完了させます。
Zilliz Cloud コンソール に戻ります。
シングルサインオン (SSO) の構成ダイアログボックスのID プロバイダーの詳細カードで、ステップ 2 で Okta Admin Console からコピーしたメタデータ URLを貼り付けます。
完了したら、保存をクリックします。
構成後のタスク
タスク 1: ユーザーに SAML アプリを割り当てる
ユーザーが SSO を介して Zilliz Cloud にアクセスできるようにするには、Okta アプリケーションをユーザーに割り当てる必要があります。
Okta Admin コンソール のアプリ詳細ページで、割り当てをクリックします。
割り当て > 人へ割り当てを選択します。
SAML アプリをユーザーに割り当て、変更を保存します。
保存をクリックし、戻るをクリックします。
必要に応じて、すべてのユーザーに対してこの操作を繰り返します。詳細については、Okta ドキュメント を参照してください。
タスク 2: ユーザーをプロジェクトに招待する
ユーザーが初めて SSO を介して Zilliz Cloud にログインすると、組織メンバーとして登録されますが、デフォルトではどのプロジェクトにもアクセスできません。
-
組織オーナーは、それらを適切なプロジェクトに招待する必要があります。
-
ユーザーをプロジェクトに招待する方法に関する手順については、プロジェクトユーザーの管理 を参照してください。
プロジェクトに招待された後、組織オーナーはエンタープライズユーザーと Zilliz Cloud ログイン URL を共有し、SSO を介してサインインできるようにすることができます。
設定またはテストプロセス中に問題が発生した場合は、Zilliz サポート にお問い合わせください。
タスク 3: (オプション) SSO 強制を有効にする
SSO 接続が完全に構成され、テストされた後、オプションでSSO 強制を有効にして、すべての組織メンバーが SSO を介してのみログインすることを必須にすることができます。有効にすると、メンバーはメール/パスワードまたはサードパーティアカウント (Google、GitHub) を使用してサインインできなくなります。
この機能を有効にすると、現在パスワードでサインインしているすべてのメンバーがすぐにログアウトされ、非 SSO ログイン方法がブロックされます。
詳細については、組織で SSO を強制する を参照してください。
よくある質問
初めて SSO でログインするユーザーにはどのような役割が割り当てられますか?
Zilliz Cloud アカウントをまだ持っていない新規ユーザーは、最初の SSO ログイン時に自動的に作成されます。これらのユーザーには、デフォルトで組織メンバーの役割が割り当てられます。後で Zilliz Cloud コンソールで役割を変更できます。詳細な手順については、プロジェクトユーザーの管理 を参照してください。
SSO ログイン後、ユーザーはどのようにプロジェクトにアクセスしますか?
SSO でログインした後、ユーザーにはデフォルトで組織メンバーの役割が付与されます。特定のプロジェクトにアクセスするには、組織オーナーまたはプロジェクト管理者がそれらをプロジェクトに招待する必要があります。詳細な手順については、プロジェクトユーザーの管理 を参照してください。
SSO でログインする前にユーザーがすでに Zilliz Cloud アカウントを持っている場合、どうなりますか?
ユーザーがすでに (メールアドレスに基づいて) Zilliz Cloud 組織に存在する場合、SSO でログインしても元の役割と権限は維持されます。システムはメールアドレスでユーザーを照合し、既存のアカウントを上書きしません。
同じ組織に対して複数の SSO プロバイダーを構成できますか?
現在、各 Zilliz Cloud 組織では、一度にアクティブな SAML SSO 構成を1 つのみサポートしています。