その他のIdP(SAML 2.0)
このトピックでは、SAML 2.0プロトコルをサポートする任意のアイデンティティプロバイダー(IdP)を使用して、Zilliz Cloudでシングルサインオン(SSO)を設定する方法について説明します。
Zilliz Cloudは、Okta、Google Workspace、およびMicrosoft Entra向けに専用の統合ガイドを提供していますが、その他のIdP(SAML)オプションを使用して、SAML 2.0準拠の任意のIdPを使用できます。
始める前に
-
Zilliz Cloudの組織に少なくとも1つの専用(エンタープライズ)クラスターがある。
-
SSOを設定するZilliz Cloudの組織において、組織オーナーである。
-
使用予定のIdPに対して管理者アクセス権を持っている。
-
IdP固有のセットアップ手順については、IdPの公式ドキュメントを参照してください。
設定手順
ステップ1:Zilliz Cloudコンソールでサービスプロバイダーの詳細を確認
-
Zilliz Cloudコンソールにログインし、SSOを設定する組織に移動します。
-
左側のナビゲーションペインで、設定をクリックします。
-
設定ページで、**シングルサインオン(SSO)**セクションを見つけて、設定をクリックします。
-
表示されるダイアログボックスで、IdPとして**その他のIdP(SAML)**を選択します。
-
サービスプロバイラードetailsカードで、以下の値をコピーします:
-
SPエンティティID
-
ACS URL
-
これらの値は、IdPでSAMLアプリケーションを作成する際にステップ2で必要になります。
ステップ2:IdPコンソールでSAMLアプリを作成
正確なプロセスはIdPによって異なります。一般的には:
-
IdPの管理者コンソールにサインインします。
-
新しいSAML 2.0アプリケーション(SAMLコネクションまたは統合と呼ばれる場合もあります)を作成します。
-
サービスプロバイダー情報の入力を求められたら、以下を入力します:
-
アプリケーションを保存し、以下のいずれかの形式でIdP構成情報を取得します:
-
オプション1 - メタデータURL/ファイル:多くのIdPは、必要なSAMLメタデータをすべて含むダウンロード可能なXMLファイルまたはパブリックURLを提供します。
-
オプション2 - 手動:メタデータが利用できない場合は、IdPから以下を収集してください:
-
IdP SSO URL(Zilliz Cloudが認証要求を送信するエンドポイント)
-
x.509証明書(
-----BEGIN CERTIFICATE-----と-----END CERTIFICATE-----の両行を含む)
-
-
ステップ3でこの情報を使用します。
ステップ3: Zilliz CloudコンソールでIdP設定を構成
-
Zilliz Cloudコンソールに戻ります。
-
シングルサインオン(SSO)設定ダイアログボックスのアイデンティティプロバイダーの詳細カードで、以下のいずれかの方法を選択します:
オプション1 – メタデータURL/ファイル
-
IdPからコピーしたメタデータURLを貼り付けるか、ダウンロードしたメタデータXMLファイルをアップロードします。
-
Zilliz Cloudは証明書を含む必要なIdP詳細を自動的にインポートします。
オプション2 – 手動
-
IdPから取得したIdP SSO URLを入力します。
-
X.509形式のIdP署名証明書をアップロードまたは貼り付けます。
-----BEGIN CERTIFICATE-----および-----END CERTIFICATE-----行が含まれていることを確認してください。
-
-
保存をクリックします。
事後設定タスク
タスク1:IdPでSAMLアプリをユーザーに割り当てる
SSO経由でユーザーがサインインできるようになる前に、IdPでSAMLアプリへのアクセスをユーザーに付与する必要があります:
-
特定のユーザーまたはグループにアプリを割り当てます。
-
各ユーザーのメールアドレスがZilliz Cloudアカウントのメールアドレスと一致していることを確認します。
タスク2:プロジェクトにユーザーを招待する
ユーザーがSSO経由でZilliz Cloudに初めてログインすると、自動的に組織メンバーとして登録されますが、デフォルトではどのプロジェクトにもアクセスできません。
-
組織オーナーがユーザーを適切なプロジェクトに招待する必要があります。
-
ユーザーをプロジェクトに招待する手順については、プロジェクトユーザーの管理を参照してください。
プロジェクトに招待された後、組織オーナーは企業ユーザーにSSO経由でサインインできるZilliz CloudのログインURLを知らせることができます。
セットアップまたはテストプロセスで問題が発生した場合は、Zillizサポートにお問い合わせください。
FAQ
SSOで初めてログインするユーザーにはどのようなロールが割り当てられますか?
SSOで初めてログインした新しいユーザーは自動的に作成されます。これらのユーザーにはデフォルトで組織メンバーロールが割り当てられます。Zilliz Cloudコンソールで後からロールを変更できます。詳細手順については、プロジェクトユーザーの管理を参照してください。
SSOログイン後にユーザーはプロジェクトにどのようにアクセスできますか?
SSOでログインした後、ユーザーにはデフォルトで組織メンバーロールが付与されます。特定のプロジェクトにアクセスするには、組織オーナーまたはプロジェクト管理者がプロジェクトに招待する必要があります。詳細手順については、プロジェクトユーザーの管理を参照してください。
Zilliz Cloudアカウントが既に存在するユーザーがSSOでログインした場合どうなりますか?
Zilliz Cloud組織に既にユーザーが存在する場合(メールアドレスベース)、SSO経由でログインしても元のロールと権限を保持します。システムはメールアドレスでユーザーを一致させ、既存のアカウントを上書きしません。
同じ組織に複数のSSOプロバイダーを構成できますか?
現在、各Zilliz Cloud組織は同時に1つのアクティブなSAML SSO構成のみをサポートしています。