このトピックでは、CloudSSO を使用する際の前提条件と手順について説明し、構成例へのリンクを提供します。
前提条件
リソースディレクトリが有効になっており、複数アカウントの組織構造が構築されています。
詳細については、「リソースディレクトリの概要」をご参照ください。
CloudSSO を有効にするには、リソースディレクトリの管理アカウント、または管理アカウント内で管理権限を持つ RAM ユーザーのみを使用できます。
管理アカウント
管理アカウントとは、リソースディレクトリを有効にするために使用されるアカウントであり、リソースディレクトリのスーパー管理者です。 管理アカウントは、リソースディレクトリとそのメンバーに対するすべての権限を持っています。 enterprise real-name verification を通過した Alibaba Cloud アカウントを使用して、リソースディレクトリを有効にする必要があります。 各リソースディレクトリには、管理アカウントが 1 つだけあります。
RAM ユーザー
管理アカウントの RAM ユーザーに AliyunCloudSSOFullAccess システムポリシーをアタッチする必要があります。 詳細については、「RAM ユーザーに権限を付与する」をご参照ください。
手順
CloudSSO を有効にし、CloudSSO ディレクトリを作成します。
詳細については、「CloudSSO を有効にする」および「CloudSSO ディレクトリを作成する」をご参照ください。
ユーザーとグループを管理します。
次のいずれかの方法を使用できます。
ID プロバイダー (IdP) からユーザーまたはグループを同期します。 この方法を使用することをお勧めします。
CloudSSO コンソールで System for Cross-domain Identity Management (SCIM) 同期を有効にし、SCIM 認証情報を作成します。
詳細については、「SCIM 同期を有効にする」および「SCIM 認証情報を作成する」をご参照ください。
IdP でユーザーとグループの同期を構成します。
詳細については、「構成例」をご参照ください。
説明IdP が SCIM をサポートしている場合にのみ、SCIM 同期を構成できます。
CloudSSO コンソールでユーザーまたはグループを作成します。
詳細については、「ユーザーを作成する」、「グループを作成する」、および「グループにユーザーを追加する」をご参照ください。
ログイン方法を指定します。
次のログイン方法のいずれかを有効にできます。 あるログイン方法を有効にすると、他のログイン方法は自動的に無効になります。
SSO ログイン
詳細については、「SSO ログインを有効にする」および「構成例」をご参照ください。
ユーザー名とパスワードによるログイン
詳細については、「ユーザー名とパスワードによるログインを有効にする」をご参照ください。
アクセス構成を作成します。
アクセス構成とは、CloudSSO ユーザーがリソースディレクトリ内のアカウントにアクセスするための構成テンプレートです。 このテンプレートには、アクセス許可、セッション期間、リレー状態などの情報が含まれます。 詳細については、「概要」および「アクセス構成を作成する」をご参照ください。
リソースディレクトリ内のアカウントに対するアクセス許可をユーザーまたはグループに割り当てます。
リソースディレクトリの構造に基づいて、リソースディレクトリ内のアカウントへのアクセスを許可するユーザーまたはグループを指定できます。 また、ユーザーまたはグループにアクセス許可または構成を割り当てることもできます。 企業管理アカウントと、リソースディレクトリ内のメンバーにアクセス許可を割り当てることができます。 詳細については、「リソースディレクトリ内のアカウントにアクセス許可を割り当てる」をご参照ください。
Alibaba Cloud リソースにアクセスします。
指定したログイン方法を使用して、CloudSSO ユーザーポータルにログインします。
リソースディレクトリ内でアクセスできるすべてのアカウントを表示します。
アカウントを選択して、そのアカウントが権限を持つ Alibaba Cloud リソースにアクセスします。
詳細については、「CloudSSO ユーザーポータルにログインして Alibaba Cloud リソースにアクセスする」をご参照ください。
構成例
企業 IdP | SCIM 同期 | SSO ログイン |
Azure AD | ||
Okta | ||
AD FS | なし | |
Shibboleth | なし |