メインコンテンツまでスキップ
バージョン: User Guides (Cloud)

Okta(SAML 2.0)

このトピックでは、SAML 2.0プロトコルを使用してOktaでシングルサインオン(SSO)を設定する方法について説明します。

このガイドでは、Zilliz Cloudがサービスプロバイダー(SP)として、Oktaがアイデンティティプロバイダー(IdP)として機能します。以下の図は、Zilliz CloudとOkta管理コンソールで必要な手順を示しています。

KywHwe7VIhcwsAbecTpcEsL3njb

始める前に

  • あなたのZilliz Cloud組織には少なくとも1つの**専用(エンタープライズ)**クラスターがあります。

  • Okta管理コンソールに管理者としてアクセスできます。詳細については、Okta公式ドキュメントを参照してください。

  • SSOを設定するZilliz Cloud組織では組織オーナーである必要があります。

設定手順

ステップ1:Zilliz CloudコンソールでSPの詳細を確認

SPとして、Zilliz CloudはOktaでSAMLアプリを設定する際に必要な対象URL(SPエンティティID)シングルサインオンURLを提供します。

  1. Zilliz Cloudコンソールにログインし、SSOを設定する組織に移動します。

  2. 左側のナビゲーションペインで、設定をクリックします。

  3. 設定ページで、**シングルサインオン(SSO)**セクションを見つけ、設定をクリックします。

  4. 表示されるダイアログボックスで、IdPとプロトコルとして**Okta(SAML 2.0)**を選択します。

  5. サービスプロバイラードetailsカードで、オーディエンスURL(SPエンティティID)およびシングルサインオンURLをコピーします。これらの値は、ステップ2でOkta管理コンソールにSAMLアプリを作成する際に必要になります。

  6. 完了したら、ステップ2に進みます。

ステップ2:Okta管理コンソールでSAMLアプリを作成

このステップでは、Zilliz Cloudから取得したSPの詳細を使用してOkta(IdP)を設定します。

  1. Okta管理コンソールにログインします。

  2. 左側のナビゲーションペインで、アプリケーション > アプリケーションを選択します。

  3. アプリ統合の作成をクリックします。

  4. 新しいアプリ統合の作成ダイアログボックスで、SAML 2.0を選択して次へをクリックします。

  5. 簡単にするために、アプリ名zillizに設定し、次へをクリックします。

  6. SAMLを設定ステップの全般エリアで、以下のフィールドを設定します:

    • シングルサインオンURL

      • ステップ1でZilliz CloudコンソールからコピーしたシングルサインオンURLをここに貼り付けます。

      • SAML要求時におけるルーティングを確実にするために、受信者URLと宛先URLにこれを使用のチェックボックスを必ずオンにしてください。

    • オーディエンスURI(SPエンティティID)ステップ1でZilliz Cloudコンソールからコピーした**オーディエンスURL(SPエンティティID)**をここに貼り付けます。

  7. **属性ステートメント(オプション)**領域で、以下を指定します:

    • 名前:値をemailに設定します。

    • :ドロップダウンリストからuser.emailを選択します。

  8. 次へをクリックし、終了をクリックします。アプリページにリダイレクトされます。

  9. アプリページのサインオンタブで、メタデータURLを取得し、コピーをクリックします。これは、Zilliz Cloudコンソールのステップ3で必要になります。

    📘ノート

    または、詳細を表示をクリックして、以下の詳細を取得できます:

    • サインオンURL:URLをコピーします。これは、ステップ3手動モードを選択した場合にZilliz Cloudコンソールで必要になります。

    • 署名証明書ダウンロードをクリックして、証明書をローカルコンピューターに保存します。これは、ステップ3手動モードを選択した場合にZilliz Cloudコンソールで必要になります。

ステップ3:Zilliz CloudコンソールでIdPの設定を構成

このステップでは、Zilliz Cloudに戻してSAML信頼関係を完了するためにOktaのIdPの詳細を提供します。

  1. Zilliz Cloudコンソールに戻ります。

  2. シングルサインオン(SSO)の設定ダイアログボックスのアイデンティティプロバイダ詳細カードに、ステップ2でOkta管理コンソールからコピーしたメタデータURLを貼り付けます。

    📘ノート

    または、IdP詳細構成で手動モードを選択した場合は、以下を構成します:

    • サインオンURLステップ2でOkta管理コンソールからコピーしたサインオンURLをここに貼り付けます。

    • 署名証明書ステップ2でOkta管理コンソールからダウンロードした証明書をここにアップロードします。-----BEGIN CERTIFICATE-----で始まり-----END CERTIFICATE-----で終わる証明書の全文が提供されていることを確認してください。

  3. 完了したら、保存をクリックします。

事後設定タスク

タスク1:SAMLアプリをユーザーに割り当てる

ユーザーがSSO経由でZilliz Cloudにアクセスできるようになる前に、Oktaアプリケーションをユーザーに割り当てる必要があります:

  1. Okta管理コンソールのアプリの詳細ページで、割り当てをクリックします。

  2. 割り当て > 人に割り当てを選択します。

  3. SAMLアプリをユーザーに割り当て、変更を保存します。

  4. 保存して戻るをクリックします。

必要に応じてすべてのユーザーに対して繰り返します。詳細については、Oktaドキュメントを参照してください。

タスク2:プロジェクトにユーザーを招待

ユーザーがSSO経由でZilliz Cloudに初めてログインすると、組織メンバーとして登録されますが、デフォルトではどのプロジェクトにもアクセス権がありません。

  • 組織オーナーが適切なプロジェクトに招待する必要があります。
  • ユーザーをプロジェクトに招待する手順については、プロジェクトユーザーの管理を参照してください。

プロジェクトに招待された後、組織オーナーは企業ユーザーにSSO経由でサインインできるZilliz CloudのログインURLを知らせることができます。

セットアップまたはテストプロセスで問題が発生した場合は、Zillizサポートにお問い合わせください。

FAQ

SSOで初めてログインするユーザーにはどのようなロールが割り当てられますか?

既にZilliz Cloudアカウントがない新規ユーザーは、最初のSSOログイン時に自動的に作成されます。これらのユーザーにはデフォルトで組織メンバーロールが割り当てられます。Zilliz Cloudコンソールで後からロールを変更できます。詳細手順については、プロジェクトユーザーの管理を参照してください。

SSOログイン後にユーザーはプロジェクトにどのようにアクセスできますか?

SSOでログインした後、ユーザーにはデフォルトで組織メンバーロールが付与されます。特定のプロジェクトにアクセスするには、組織オーナーまたはプロジェクト管理者がプロジェクトに招待する必要があります。詳細手順については、プロジェクトユーザーの管理を参照してください。

Zilliz Cloudアカウントが既に存在するユーザーがSSOでログインした場合どうなりますか?

ユーザーが既にZilliz Cloud組織に存在する場合(メールアドレスベース)、SSOでログインする際に元のロールと権限を保持します。システムはメールアドレスでユーザーを一致させ、既存のアカウントを上書きしません。

同じ組織に複数のSSOプロバイダーを構成できますか?

現在、各Zilliz Cloud組織は同時に1つのアクティブなSAML SSO構成のみをサポートしています。