Other IdP (SAML 2.0)
このトピックでは、SAML 2.0 プロトコルをサポートする任意の ID プロバイダー (IdP) を使用して、Zilliz Cloud でシングルサインオン (SSO) を設定する方法について説明します。
Zilliz Cloud では、Okta、Google Workspace、Microsoft Entra 専用の統合ガイドを提供していますが、標準準拠の SAML 2.0 IdP であれば、Other IdP (SAML 2.0) オプションを使用して利用できます。
開始前の準備
-
Zilliz Cloud 組織に Dedicated (Enterprise) クラスタが少なくとも 1 つあること。
-
SSO を設定する Zilliz Cloud 組織の 組織オーナー であること。
-
使用予定の IdP の管理者アクセス権を持っていること。
-
IdP 固有の設定の詳細については、使用する IdP の公式ドキュメントを参照してください。
設定手順
ステップ 1: Zilliz Cloud コンソールでサービスプロバイダーの詳細にアクセスする
Zilliz Cloud コンソール にログインし、SSO を設定する組織に移動します。
左側のナビゲーションペインで、Settings をクリックします。
Settings ページで、Single Sign-On (SSO) セクションを見つけ、Configure をクリックします。
表示されたダイアログボックスで、IdP およびプロトコルとして Other IdP (SAML) を選択します。
サービスプロバイダーの詳細 カードで、以下の値をコピーします:
-
SP エンティティID
-
ACS URL
これらの値は、IdP で SAML アプリケーションを作成する ステップ 2 で必要になります。
ステップ 2: IdP コンソールで SAML アプリを作成する
正確な手順は使用する IdP によって異なります。一般的な手順は以下の通りです:
IdP の管理者コンソールにサインインします。
新しい SAML 2.0 アプリケーション(SAML 接続または統合と呼ばれることもあります)を作成します。
アプリケーションを保存し、以下のいずれかの形式で IdP 設定を取得します:
-
Option 1 – メタデータURL/File: ほとんどの IdP は、必要な SAML メタデータをすべて含むダウンロード可能な XML ファイルまたは公開 URL を提供します。
-
オプション2 – 手動: メタデータが利用できない場合は、IdP から以下を収集します:
-
IdP SSO URL (Zilliz Cloud が認証リクエストを送信するエンドポイント)
-
x.509証明書 (
-----BEGIN CERTIFICATE-----および-----END CERTIFICATE-----の行を含む)
-
この情報は ステップ 3 で使用します。
ステップ 3: Zilliz Cloud コンソールで IdP 設定を構成する
Zilliz Cloud コンソール に戻ります。
Configure Single Sign-On (SSO) ダイアログボックスの IDプロバイダーの詳細 カードで、以下のいずれかの方法を選択します:
Option 1 – メタデータURL/File
-
IdP からコピーした メタデータURL を貼り付けるか、ダウンロードしたメタデータ XML ファイルをアップロードします。
-
Zilliz Cloud は、証明書を含む必要な IdP 詳細を自動的にインポートします。
オプション2 – 手動
-
IdP から取得した IdP SSO URL を入力します。
-
X.509 形式で IdP 署名証明書をアップロードまたは貼り付けます。
-----BEGIN CERTIFICATE-----および-----END CERTIFICATE-----の行が含まれていることを確認してください。
Save をクリックします。
設定後のタスク
タスク 1: IdP でユーザーに SAML アプリを割り当てる
ユーザーが SSO でサインインできるようにするには、IdP で SAML アプリへのアクセス権を付与する必要があります:
-
アプリを特定のユーザーまたはグループに割り当てます。
-
割り当てられた各ユーザーのメールアドレスが、Zilliz Cloud アカウントのメールアドレスと一致していることを確認します。
タスク 2: プロジェクトにユーザーを招待する
ユーザーが初めて SSO で Zilliz Cloud にログインすると、組織メンバー として登録されますが、デフォルトではどのプロジェクトにもアクセスできません。
-
組織オーナー が適切なプロジェクトに招待する必要があります。
-
プロジェクトへのユーザー招待の詳細手順については、Manage Project Users を参照してください。
プロジェクトに招待された後、Organization オーナー は Zilliz Cloud のログイン URL をエンタープライズユーザーと共有し、SSO でサインインできるようにします。
設定やテストの過程で問題が発生した場合は、Zilliz support にお問い合わせください。
タスク 3: (オプション) SSO 強制を有効にする
SSO 接続が完全に設定され、テストされた後、オプションで SSO enforcement を有効にして、すべての組織メンバーが SSO を介してのみログインするよう要求できます。有効にすると、メンバーはメール/パスワードやサードパーティアカウント(Google、GitHub)を使用してサインインできなくなります。
この機能を有効にすると、パスワードで現在サインインしているすべてのメンバーが直ちにログアウトされ、SSO 以外のログイン方法がブロックされます。
詳細については、Enforce SSO in Your Organization を参照してください。
FAQ
SSO で初めてログインしたユーザーに割り当てられるロールは何ですか?
Zilliz Cloud アカウントをまだ持っていない新規ユーザーは、初回の SSO ログイン時に自動的に作成されます。これらのユーザーには、デフォルトで 組織メンバー ロールが割り当てられます。ロールは後で Zilliz Cloud コンソールで変更できます。詳細な手順については、Manage Project Users を参照してください。
SSO ログイン後、ユーザーはどのようにプロジェクトにアクセスしますか?
SSO でログインした後、ユーザーにはデフォルトで 組織メンバー ロールが付与されます。特定のプロジェクトにアクセスするには、組織オーナー または プロジェクト管理者 がプロジェクトに招待する必要があります。詳細な手順については、Manage Project Users を参照してください。
SSO でログインする前に既に Zilliz Cloud アカウントを持っているユーザーはどうなりますか?
ユーザーが既に Zilliz Cloud 組織に存在する場合(メールアドレスに基づく)、SSO でログインしても元のロールと権限が保持されます。システムはメールアドレスでユーザーを照合し、既存のアカウントを上書きしません。
同じ組織に複数の SSO プロバイダーを設定できますか?
現在、各 Zilliz Cloud 組織では、同時にアクティブにできる SAML SSO 設定は 1 つ のみです。