その他の IdP (SAML 2.0)
このトピックでは、SAML 2.0 プロトコルをサポートする任意のアイデンティティプロバイダー (IdP) を使用して Zilliz Cloud でシングルサインオン (SSO) を構成する方法について説明します。
Zilliz Cloud は、Okta、Google Workspace、および Microsoft Entra 向けの専用統合ガイドを提供していますが、標準に準拠した SAML 2.0 IdP であれば、その他の IdP (SAML 2.0) オプションで使用できます。
開始前に
-
Zilliz Cloud 組織に少なくとも 1 つの Dedicated (Enterprise) クラスターがあること。
-
SSO を構成する Zilliz Cloud 組織において、あなたが組織オーナーであること。
-
使用する予定の IdP に対して管理者アクセス権を持っていること。
-
IdP 固有の設定詳細については、お使いの IdP の公式ドキュメントを参照してください。
構成手順
ステップ 1: Zilliz Cloud コンソールでサービスプロバイダーの詳細にアクセスする
Zilliz Cloud コンソール にログインし、SSO を構成したい組織へ移動します。
左側のナビゲーションペインで、設定をクリックします。
設定ページで、シングルサインオン (SSO) セクションを見つけ、構成をクリックします。
表示されたダイアログボックスで、IdP およびプロトコルとしてその他の IdP (SAML) を選択します。
サービスプロバイダーの詳細カードで、以下の値をコピーします:
-
SP エンティティ ID
-
ACS URL
これらの値は、IdP で SAML アプリケーションを作成する際の ステップ 2 で必要になります。
ステップ 2: IdP コンソールで SAML アプリを作成する
正確なプロセスは IdP によって異なります。一般的には以下の通りです:
IdP の管理者コンソールにサインインします。
新しい SAML 2.0 アプリケーション(SAML 接続または統合と呼ばれる場合もあります)を作成します。
アプリケーションを保存し、以下のいずれかの形式で IdP 構成を取得します:
-
オプション 1 – メタデータ URL/ファイル: ほとんどの IdP は、必要なすべての SAML メタデータを含むダウンロード可能な XML ファイルまたは公開 URL を提供します。
-
オプション 2 – 手動: メタデータが利用できない場合は、IdP から以下を収集します:
-
IdP SSO URL(Zilliz Cloud が認証リクエストを送信するエンドポイント)
-
x.509 証明書(
-----BEGIN CERTIFICATE-----および-----END CERTIFICATE-----の行を含む)
-
この情報は ステップ 3 で使用します。
ステップ 3: Zilliz Cloud コンソールで IdP 設定を構成する
Zilliz Cloud コンソール に戻ります。
シングルサインオン (SSO) の構成ダイアログボックス内のID プロバイダーの詳細カードで、以下のいずれかの方法を選択します:
オプション 1 – メタデータ URL/ファイル
-
IdP からコピーしたメタデータ URLを貼り付けるか、ダウンロードしたメタデータ XML ファイルをアップロードします。
-
Zilliz Cloud は、証明書を含む必要な IdP 詳細を自動的にインポートします。
オプション 2 – 手動
-
IdP から取得したIdP SSO URLを入力します。
-
X.509 形式の IdP 署名証明書をアップロードまたは貼り付けます。
-----BEGIN CERTIFICATE-----および-----END CERTIFICATE-----の行が含まれていることを確認してください。
保存をクリックします。
構成後のタスク
タスク 1: IdP でユーザーに SAML アプリを割り当てる
ユーザーが SSO を介してサインインできるようにする前に、IdP で SAML アプリへのアクセス権限を付与する必要があります:
-
特定のユーザーまたはグループにアプリを割り当てます。
-
割り当てられた各ユーザーのメールアドレスが、そのユーザーの Zilliz Cloud アカウントのメールアドレスと一致していることを確認します。
タスク 2: ユーザーをプロジェクトに招待する
ユーザーが初めて SSO を介して Zilliz Cloud にログインすると、組織メンバーとして登録されますが、デフォルトではどのプロジェクトにもアクセスできません。
-
組織オーナーは、それらを適切なプロジェクトに招待する必要があります。
-
ユーザーをプロジェクトに招待する手順の詳細については、プロジェクトユーザーの管理 を参照してください。
プロジェクトに招待された後、組織 オーナーは、エンタープライズユーザーが SSO を介してサインインできるよう、Zilliz Cloud ログイン URL を共有できます。
設定またはテストプロセス中に問題が発生した場合は、Zilliz サポート までお問い合わせください。
タスク 3: (オプション)SSO 強制を有効にする
SSO 接続が完全に構成され、テストが完了した後、オプションでSSO 強制を有効にして、組織メンバー全員に SSO を介したみのログインを必須にすることができます。有効にすると、メンバーはメール/パスワードまたはサードパーティアカウント(Google、GitHub)を使用してサインインできなくなります。
この機能を有効にすると、現在パスワードでサインインしているすべてのメンバーが直ちにログアウトされ、非 SSO ログイン方法がブロックされます。
詳細については、組織での SSO 強制 を参照してください。
よくある質問
初めて SSO を介してログインするユーザーにはどのような役割が割り当てられますか?
Zilliz Cloud アカウントをまだ持っていない新規ユーザーは、最初の SSO ログイン時に自動的に作成されます。これらのユーザーには、デフォルトで組織メンバーロールが割り当てられます。後で Zilliz Cloud コンソールでロールを変更できます。詳細な手順については、プロジェクトユーザーの管理 を参照してください。
SSO ログイン後、ユーザーはどのようにプロジェクトにアクセスしますか?
SSO を介してログインした後、ユーザーにはデフォルトで組織メンバーロールが付与されます。特定のプロジェクトにアクセスするには、組織オーナーまたはプロジェクト管理者がそれらをプロジェクトに招待する必要があります。詳細な手順については、プロジェクトユーザーの管理 を参照してください。
SSO でログインする前にユーザーがすでに Zilliz Cloud アカウントを持っている場合、どうなりますか?
ユーザーがすでに(メールアドレスに基づいて)Zilliz Cloud 組織に存在する場合、SSO を介してログインしても元のロールと権限は維持されます。システムはメールアドレスでユーザーを照合し、既存のアカウントを上書きしません。
同じ組織に対して複数の SSO プロバイダーを構成できますか?
現在、各 Zilliz Cloud 組織では、一度にアクティブな SAML SSO 構成を1 つのみサポートしています。