CloudSSO は Alibaba Cloud リソースディレクトリと統合されており、複数アカウントの ID 管理とアクセスの制御を統合的に提供します。 CloudSSO を使用すると、Alibaba Cloud リソースへのアクセスを必要とする企業ユーザーを管理し、リソースディレクトリのアカウントに対するアクセス権限をユーザーに一元的に割り当てることができます。 また、設定を 1 回構成するだけで、ID プロバイダー (IdP) から Alibaba Cloud リソースへのシングルサインオン (SSO) アクセスを実装できます。
機能
Alibaba Cloud リソースへのアクセスを必要とするユーザーを一元管理できます
CloudSSO では、CloudSSO ディレクトリを作成してユーザーを管理できます。 ディレクトリ内の Alibaba Cloud リソースへのアクセスを必要とするすべてのユーザーを管理できます。 ユーザーとグループを手動で管理できます。 また、System for Cross-domain Identity Management (SCIM) を使用して、IdP からディレクトリにユーザーとグループを同期することもできます。
IdP から Alibaba Cloud リソースへの SSO アクセスを構成できます
CloudSSO ディレクトリのユーザーは、ユーザー名とパスワードによるログイン方法と多要素認証 (MFA) を使用して Alibaba Cloud リソースにアクセスできます。 ただし、ユーザーエクスペリエンスを向上させ、リスクを軽減するために、IdP からの SSO アクセスを構成することをお勧めします。 CloudSSO は、Security Assertion Markup Language (SAML) 2.0 に基づく企業の SSO ログインをサポートしています。 CloudSSO と IdP の両方で設定を 1 回構成するだけで、SSO アクセスを実装できます。
リソースディレクトリのアカウントに対するアクセス権限をすべての CloudSSO ID に一元的に割り当てることができます
CloudSSO はリソースディレクトリと緊密に統合されています。 リソースディレクトリのすべてのメンバーに対するアクセス権限を CloudSSO ID に一元的に割り当てることができます。 CloudSSO の ID は、ユーザーまたはグループです。 CloudSSO 管理者は、リソースディレクトリの組織構造に基づいて、リソースディレクトリのメンバーへのアクセスを許可する CloudSSO ID を指定できます。 管理者は、ID にアクセス権限を割り当てることができます。 また、割り当てられた権限を変更または削除することもできます。
統合 CloudSSO ユーザーポータルを提供します
CloudSSO は、統合ユーザーポータルを提供します。 企業の従業員がユーザーポータルにログインすると、リソースディレクトリでアクセスできるすべてのアカウントを表示できます。 その後、従業員はアカウントを選択して Alibaba Cloud 管理コンソールにログインできます。 また、ビジネス要件に基づいてアカウントを切り替えることもできます。
Alibaba Cloud CLI との統合を提供します
CloudSSO は Alibaba Cloud Command Line Interface (Alibaba Cloud CLI) と統合されています。 CloudSSO ユーザーは、ブラウザまたは Alibaba Cloud CLI を使用して CloudSSO ユーザーポータルにログインできます。 ユーザーがユーザーポータルにログインした後、リソースディレクトリ内のアカウントと必要なアクセス構成を選択し、CLI を使用して Alibaba Cloud リソースにアクセスできます。
サービスを無料で提供します
CloudSSO を有効にすると、無料で使用できます。
アーキテクチャ
CloudSSO ユーザーは、RAM ユーザーベースのログインまたは RAM ロールベースのログイン メソッドを使用して、リソースディレクトリのアカウントのクラウドリソースにアクセスできます。
次の表に、2 つの方法を示します。
アクセス方法 | 説明 | シナリオ | 参照 |
RAM ロールベースのログイン | 企業は CloudSSO を使用して、Alibaba Cloud リソースへのアクセスを許可されているユーザーを一元管理できます。 アクセス構成を作成して割り当て、CloudSSO ユーザーが SSO ログイン方法とリソースディレクトリ内のアカウント内の RAM ロールを使用して Alibaba Cloud 管理コンソールにログインできるようにすることができます。 これにより、CloudSSO ユーザーは RAM ロールとしてアカウントのクラウド リソースにアクセスできます。 | この方法は、RAM ロールを引き受けることでアクセスできるクラウド リソースに適しています。 | |
RAM ユーザーベースのログイン | 企業は CloudSSO を使用して、Alibaba Cloud リソースへのアクセスを許可されているユーザーを一元管理できます。 RAM ユーザーのプロビジョニングを作成して、CloudSSO ユーザーがリソースディレクトリ内のアカウント内の RAM ユーザーを使用して Alibaba Cloud 管理コンソールにログインできるようにすることができます。 これにより、CloudSSO ユーザーは RAM ユーザーとしてアカウントのリソースにアクセスできます。 | この方法は、RAM ロールを引き受けることでアクセスできないクラウド リソースに適しています。 |
CloudSSO ユーザーがリソースディレクトリ内のアカウントにアクセスできるようにアクセス構成を作成して割り当て、同じ CloudSSO ユーザーに対して RAM ユーザーのプロビジョニングを作成すると、CloudSSO ユーザーは RAM ユーザーベースのログインと RAM ロールベースのログイン方法を使用してリソースディレクトリ内のアカウントのクラウド リソースにアクセスできます。
CloudSSO と RAM の関係
RAM を使用すると、1 つの Alibaba Cloud アカウント内の ID と権限を管理できます。 RAM を使用して、1 つの Alibaba Cloud アカウント内でのみ SSO を構成し、権限を管理し、ID を管理できます。 ID は、ユーザー、グループ、または RAM ロールのいずれかです。 RAM を使用していて、企業用に複数の Alibaba Cloud アカウントが作成されている場合は、各 Alibaba Cloud アカウント内で ID と権限を管理し、SSO を構成する必要があります。 これにより、管理が困難になります。
CloudSSO はリソースディレクトリと統合されており、複数の Alibaba Cloud アカウントの ID と権限を一元管理できます。 CloudSSO でのみ設定を構成できます。 構成後、複数の Alibaba Cloud アカウントの ID と権限を一元管理して SSO アクセスを実装できます。 一元管理を実現するために、RAM から独立した CloudSSO ディレクトリを使用して ID を管理できます。 CloudSSO は、RAM のシステムポリシーとカスタムポリシーの構文を再利用して権限を管理します。 詳細については、「概要」をご参照ください。 CloudSSO ユーザーがリソースディレクトリ内のアカウントにアクセスすると、ユーザーはアカウントの RAM ロールを引き受けて SSO アクセスを実装します。 詳細については、「概要」をご参照ください。
CloudSSO を使用してリソースディレクトリ内のアカウントの ID と権限を一元管理する場合、RAM を使用して 1 つの Alibaba Cloud アカウント内の権限を管理する必要はありません。 場合によっては、引き続き RAM を使用して 1 つの Alibaba Cloud アカウント内の権限を管理できます。 たとえば、RAM ユーザーまたは RAM ロールを作成した場合、またはアプリケーションが AccessKey ペアを使用して Alibaba Cloud リソースにアクセスすることを承認する必要がある場合などです。 CloudSSO は RAM の機能に影響しません。 CloudSSO と RAM を一緒に使用できます。