すべてのプロダクト
Search

このプロダクト

    Bastionhost:身分認証のベストプラクティス

    ドキュメントセンター

    Bastionhost:身分認証のベストプラクティス

    最終更新日:Jun 11, 2025

    このトピックでは、Bastionhost を使用して、Resource Access Management (RAM)、Active Directory (AD)、Lightweight Directory Access Protocol (LDAP)、Identity as a Service (IDaaS) などの異なる身分認証ソースのユーザーを一元管理する方法について説明します。

    背景情報

    大規模な企業では、管理者は多数のユーザーを管理する必要がある場合があります。ユーザー管理の効率を向上させるために、管理者は通常、異なる身分認証システムを統合してユーザーを一元管理する必要があります。 Bastionhost は一元化された O&M 管理プラットフォームとして機能し、さまざまな身分認証ソースと連携して、企業のユーザー管理コストを大幅に削減できます。

    ソリューション

    Bastionhost は一元化された O&M セキュリティ管理プラットフォームとして機能し、さまざまな身分認証ソースのユーザーを管理できます。 Bastionhost でユーザーを作成したり、RAM、AD、LDAP ユーザーを Bastionhost にインポートしたり、Bastionhost を IDaaS と統合してさまざまな ID のユーザーを管理したりできます。たとえば、DingTalk ユーザーと Azure AD ユーザーを IDaaS の Employee Identity and Access Management (EIAM) インスタンスにインポートし、これらのユーザーを Bastionhost にプッシュできます。このように、ID がサードパーティによって認証されたユーザーは、Bastionhost の O&M ポータルを介してアセットにアクセスできます。

    説明

    • IDaaS ユーザーは、クライアントを使用してパスワードベースの認証で Bastion ホストにログインし、アセット O&M を実行することはできません。 Bastion ホストを使用してアセット O&M を実行するには、IDaaS ユーザーはクライアントを使用して O&M トークンベースの認証を渡すか、O&M ポータルを使用する必要があります。 詳細については、「O&M マニュアル」をご参照ください。

    • IDaaS に関連付けることができる身分認証ソースの詳細については、「IdP」をご参照ください。 身分認証ソースがサポートされていない場合は、IDaaS ユーザーを作成した後、AWS 上のインスタンス、Bastion ホスト、およびその他のアプリケーションでシングルサインオン (SSO) を有効にできます。 SSO の構成方法の詳細については、「アプリケーションの作成」をご参照ください。

    既存の身分認証ソースから Bastionhost にユーザーをインポートする

    RAM ユーザーのインポート

    1. [Bastionhost コンソール] にログインし、上部のナビゲーションバーで Bastion ホストがデプロイされているリージョンを選択します。

    2. Bastion ホストリストで、ターゲットインスタンスを見つけ、管理 をクリックします。

    3. 左側のナビゲーションウィンドウで、Users > Users を選択します。

    4. Users ページで、Import RAM Users をクリックします。

    5. オプション。 RAM ユーザーが作成されていない場合は、Import RAM Users ダイアログボックスで Create RAM User をクリックし、指示に従って RAM ユーザーを作成します。

      詳細については、「RAM ユーザーの作成」をご参照ください。

    6. Import RAM Users ダイアログボックスで、インポートする RAM ユーザーの Actions 列にある Import をクリックします。 複数の RAM ユーザーを一度にインポートする場合は、RAM ユーザーを選択し、リストの下にある Import をクリックします。

      説明

      RAM ユーザーの二要素認証を有効にするには、[RAM コンソール] にログインし、多要素認証 (MFA) を有効にします。 詳細については、「Alibaba Cloud アカウントへの MFA デバイスのバインド」をご参照ください。

    ローカルユーザーの作成

    1. [Bastionhost コンソール] にログインし、上部のナビゲーションバーで Bastion ホストがデプロイされているリージョンを選択します。

    2. Bastion ホストリストで、ターゲットインスタンスを見つけ、管理 をクリックします。

    3. 左側のナビゲーションウィンドウで、Users > Users を選択します。

    4. [ユーザー] ページで、次の表に記載されている手順に基づいて、単一のローカルユーザーを作成するか、ファイルから複数のローカルユーザーをインポートします。

      シナリオ

      手順

      単一のローカルユーザーを作成する

      1. Import Other Users > ユーザの作成 を選択します。

      2. ユーザの作成 パネルで、ユーザー情報を構成し、Create をクリックします。

        ユーザー情報を構成する際は、認証方法Local Authentication に設定する必要があります。 基本情報の構成に加えて、次の設定を構成できます。

        • ユーザは次回ログイン時にパスワードをリセットする必要があります。  を選択します。 このパラメーターを選択すると、ローカルユーザーは次回ログイン時にパスワードをリセットする必要があります。 このパラメーターは、ローカルユーザーに対してのみ有効です。

        • Validity Period を指定します。 ローカルユーザーに指定した有効期間が経過すると、ローカルユーザーの Status 列の値が Expired に変更されます。 O&M エンジニアは、ローカルユーザーを使用して Bastion ホストにログインできません。

        • 二要素認証方法 を構成します。 二要素認証方法を有効にすると、ローカルユーザーは有効なパスワードを入力した後、ショートメッセージ、メール、または DingTalk によって送信される動的確認コードを入力する必要があります。 これは、セキュリティリスクの軽減に役立ちます。

          説明

          • ローカルユーザーの二要素認証方法を有効にした場合、ローカルユーザーが Bastion ホストにログインしようとすると、ローカルユーザーはショートメッセージまたはメールで送信される動的確認コードを入力する必要があります。 ローカルユーザーの有効な携帯電話番号またはメールアドレスを入力してください。 ショートメッセージベースの二要素認証がサポートされている国と地域の詳細については、「サポートされている国と地域」をご参照ください。

          • 入力した携帯電話番号とメールアドレスは、確認コードまたはアラート通知の受信にのみ使用されます。

          二要素認証方法 の有効な値:

          • すべてのユーザ向け: System Settings ページで構成したグローバル二要素認証方法が使用されることを示します。 詳細については、「二要素認証を有効にする」をご参照ください。

          • 単一のユーザ向け: ローカルユーザーに特定の二要素認証方法を構成する必要があることを示します。 Bastionhost は、次の二要素認証方法をサポートしています。

            • 無効化: 二要素認証は無効です。

            • SMS: 二要素認証はショートメッセージを使用して実装されます。 この方法を選択した場合は、ローカルユーザーの携帯電話番号を指定する必要があります。

            • メール: 二要素認証はメールを使用して実装されます。 この方法を選択した場合は、ローカルユーザーのメールアドレスを指定する必要があります。

            • DingTalk: 二要素認証は DingTalk 通知を使用して実装されます。 この方法を選択した場合は、ローカルユーザーの携帯電話番号を指定する必要があります。

              説明

              二要素認証を有効にする際に DingTalk を選択した場合は、次の要件が満たされていることを確認してください。

              • 運用および保守操作を実行するユーザーの携帯電話番号が指定されていること。 ユーザーの携帯電話番号を追加する方法の詳細については、「ローカルユーザーの基本情報を変更する」をご参照ください。

              • DingTalk 管理者が社内エンタープライズ アプリケーションを作成し、アプリケーションに [携帯電話番号と名前に基づいてメンバー情報を取得するための API にアクセスする権限] を付与していること。

              • 社内エンタープライズ アプリケーションの [AppKey][AppSecret]、および [AgentId] が取得されていること。

            • OTP アプリによる認証: 二要素認証は、現在のユーザーのモバイル OTP トークンを使用して実装されます。 ユーザーは最初に OTP トークンをバインドする必要があります。

              説明

              この方法を選択した場合は、Alibaba Cloud アプリなどの標準 TOTP 認証アプリをダウンロードする必要があります。 次に、パブリックエンドポイントを使用して Bastionhost O&M ポータルにログインします。 左側のナビゲーションウィンドウで、セキュリティ設定 をクリックします。 OTP の有効化 タブで、OTP アプリのバインド をクリックし、クイックレスポンス (QR) コードをスキャンして認証用の OTP トークンをバインドします。 Bastion ホストの O&M アドレスを取得する方法の詳細については、「概要ページ」をご参照ください。

          • 二要素通知の送信言語 を構成します。

            • すべてのユーザ向け を選択した場合、現在のユーザーは System Settings ページで構成された二要素通知送信言語を使用します。 詳細については、「二要素認証を有効にする」をご参照ください。

            • 単一のユーザ向け を選択した場合、二要素通知送信言語として [簡体字中国語] または [英語] を選択できます。

      ファイルから複数のローカルユーザーをインポートする

      1. Import Other Users ドロップダウンリストから Import Users from File を選択します。

      2. Download User Template をクリックし、ユーザテンプレートパッケージをコンピューターにダウンロードして解凍します。 次に、インポートするローカルユーザーに関する情報をユーザテンプレートファイルに入力して保存します。

      3. Import Local Users パネルで、Upload をクリックして、編集したユーザテンプレートファイルをアップロードします。

      4. Preview ダイアログボックスで、インポートするローカルユーザーを選択し、Import をクリックします。

      5. Import Local Users パネルで、ローカルユーザーに関する情報を確認し、Import Local Users をクリックします。

        ユーザは次回ログイン時にパスワードをリセットする必要があります。  を選択した場合、インポートされたすべてのローカルユーザーは次回ログイン時にパスワードをリセットする必要があります。

      説明

      インポートするローカルユーザーは表に表示されます。 一部のローカルユーザー (たとえば、最初のユーザー、3 番目のユーザー、5 番目のユーザー) が同じユーザー名を共有している場合、Bastion ホストは 5 番目のユーザーのみをインポートします。 インポートするローカルユーザーが Bastionホストの既存のユーザーと同じユーザー名を共有している場合、ローカルユーザーに関する情報はインポートされません。 Import Local Users パネルで Details をクリックすると、インポートされていないユーザーに関する情報を表示できます。

    5. オプション。 Bastion ホストがユーザーに O&M アドレスを通知するようにするには、ローカルユーザーの携帯電話番号またはメールアドレスを指定し、ユーザに O&M アドレスを送信 を選択する必要があります。

    AD 認証または LDAP 認証されたユーザーのインポート

    AD 認証または LDAP 認証されたユーザーをインポートする前に、AD 認証または LDAP 認証が構成されていることを確認してください。 詳細については、「AD 認証または LDAP 認証の構成」をご参照ください。

    1. [Bastionhost コンソール] にログインし、上部のナビゲーションバーで Bastion ホストがデプロイされているリージョンを選択します。

    2. Bastion ホストリストで、ターゲットインスタンスを見つけ、管理 をクリックします。

    3. 左側のナビゲーションウィンドウで、Users > Users を選択します。

    4. Import Other Users > Import AD Users または Import LDAP Users を選択します。

    5. Import AD Users または Import LDAP Users ダイアログボックスで、インポートする AD 認証または LDAP 認証されたユーザーの Actions 列にある Import をクリックします。

      複数の AD 認証または LDAP 認証されたユーザーを一度にインポートすることもできます。

    IDaaS 認証されたユーザーのインポート

    IDaaS 認証されたユーザーをインポートする前に、IDaaS 認証が構成されていることを確認してください。 詳細については、「IDaaS 認証の管理」をご参照ください。

    重要

    IDaaS 認証されたユーザーは、クライアントでパスワードベースの認証を渡すことによって、アセット O&M 用に Bastion ホストにログインできません。 Bastion ホストを使用するには、IDaaS 認証されたユーザーは、クライアントで O&M トークンベースの認証を渡すか、O&M ポータルを使用する必要があります。 詳細については、「O&M マニュアル」をご参照ください。

    1. [Bastionhost コンソール] にログインし、上部のナビゲーションバーで Bastion ホストがデプロイされているリージョンを選択します。

    2. Bastion ホストリストで、ターゲットインスタンスを見つけ、管理 をクリックします。

    3. 左側のナビゲーションウィンドウで、Users > Users を選択します。

    4. Import Other Users > IDaaS ユーザのインポート を選択します。

    5. IDaaS ユーザのインポート ダイアログボックスで、インポートする IDaaS 認証されたユーザーの Actions 列にある Import をクリックします。

      複数の AD 認証または LDAP 認証されたユーザーを一度にインポートすることもできます。 ダイアログボックスに IDaaS 認証されたユーザーが表示されない場合は、今すぐ同期 をクリックします。