すべてのプロダクト
Search

このプロダクト

    CloudSSO:SCIM 資格情報の有効期限切れと SAML 署名証明書の有効期限切れのアラート通知を構成する

    ドキュメントセンター

    CloudSSO:SCIM 資格情報の有効期限切れと SAML 署名証明書の有効期限切れのアラート通知を構成する

    最終更新日:Jan 18, 2025

    このトピックでは、Cloud Config と CloudMonitor を使用して、CloudSSO のクロスドメイン ID 管理システム (SCIM) 資格情報の有効期限切れとセキュリティアサーションマークアップ言語 (SAML) 署名証明書の有効期限切れのアラート通知を構成する方法について説明します。

    シナリオ

    SCIM 資格情報の有効期限切れ

    CloudSSO とエンタープライズ ID プロバイダー (IdP) 間で SCIM ユーザー同期を構成する場合は、SCIM 資格情報を作成する必要があります。 詳細については、「SCIM 資格情報を管理する」をご参照ください。

    SCIM 資格情報の有効期間は 1 年です。 SCIM 資格情報の有効期限が切れると、SCIM 同期は無効になります。 ローテーションのために事前に別の SCIM 資格情報を作成する必要があります。 SCIM 同期設定が有効なままであることを保証するために、Cloud Config で SCIM 資格情報の有効期限ルールを構成し、CloudMonitor を使用して SAML 署名証明書の有効期限が切れるときに通知を送信できます。 この方法では、SCIM 資格情報を事前にローテーションできます。

    SAML 署名証明書の有効期限切れ

    CloudSSO とエンタープライズ IdP 間でシングルサインオン (SSO) を構成する場合は、エンタープライズ IdP のメタデータファイルをアップロードする必要があります。 メタデータファイルには、エンタープライズ IdP の SAML 署名証明書が含まれています。 CloudSSO は、メタデータファイルから証明書の有効期間を取得します。 詳細については、「SSO を構成する」をご参照ください。

    SAML 署名証明書の有効期限が切れると、SSO は失敗し、ユーザーは CloudSSO を使用して Alibaba Cloud にログインできなくなります。 ローテーションのために事前に別の SAML 署名証明書を作成する必要があります。 Cloud Config で SAML 署名証明書の有効期限ルールを構成し、CloudMonitor を使用して SAML 署名証明書の有効期限が切れるときに通知を送信できます。 この方法では、SAML 署名証明書を事前にローテーションできます。

    手順

    CloudSSO 管理者として次の操作を実行します。

    ステップ 1:Cloud Config でルールを作成する

    1. Cloud Config コンソール にログインします。

    2. [今すぐ有効にする] をクリックして Cloud Config を有効にします。

      説明

      Cloud Config をすでに有効にしている場合は、この手順をスキップします。

    3. ルールを作成します。

      1. 左側のナビゲーションウィンドウで、[コンプライアンスと監査] > [ルール] を選択します。

      2. [ルール] ページで、[ルールの作成] をクリックします。

      3. [作成方法の選択] ステップで、[管理ルールに基づく] を選択し、ルールを選択して、[次へ] をクリックします。

        [cloudsso-scim-credential-expired-check] または [cloudsso-directory-saml-expired-check] を選択します。

      4. [基本プロパティの設定] ステップで、パラメーターを構成し、[次へ] をクリックします。

        [パラメーター設定] セクションで、[期待値] 列に値を指定します。 この値は、有効期限の何日前に有効期限切れ通知を送信するかを指定します。 デフォルト値は 90 日です。 ビジネス要件に基づいて値を変更できます。

        その他のパラメーターについては、デフォルト値を保持します。

      5. [有効範囲の設定] ステップで、選択したリソースタイプを確認し、[次へ] をクリックします。

      6. [修復の設定] ステップで、[送信] をクリックします。

        [修復の設定][修復の設定] をオンにして、プロンプトに従ってルールにテンプレート修復またはカスタム修復を構成できます。 修復の構成方法の詳細については、「修復設定の概要」をご参照ください。

    ステップ 2:CloudMonitor コンソールでシステムイベントによってトリガーされるアラートルールを構成する

    1. CloudMonitor コンソール にログインします。

    2. アラート連絡先を作成します。

      詳細については、「アラート連絡先を作成する」をご参照ください。

    3. アラート連絡グループを作成します。

      詳細については、「アラート連絡グループを作成する」をご参照ください。

    4. イベントサブスクリプションポリシーを作成します。

      Cloud Config がすべての非準拠イベントを CloudMonitor に配信した後、ビジネス要件に基づいてイベントサブスクリプションポリシーを作成し、 E メールで非準拠イベントのアラート通知を受信できます。

      1. 左側のナビゲーションウィンドウで、[イベントセンター] > [イベントサブスクリプション] を選択します。

      2. [サブスクリプションポリシー] タブで、[サブスクリプションポリシーの作成] をクリックします。

      3. [サブスクリプションポリシーの作成] ページで、次のパラメーターを構成します。

        • [基本情報]: サブスクリプションポリシーの名前を入力します。

        • [アラートサブスクリプション]: [サブスクリプションタイプ] パラメーターを [システムイベント] に設定します。 [サブスクリプション範囲] セクションで、[製品] パラメーターを [cloudconfig] に、[イベントタイプ] パラメーターを [通知] に、[イベント名] パラメーターを [configurationnoncompliantnotification] に、[イベントレベル] パラメーターを [通知 (情報)] に設定します。 [イベントコンテンツ] フィールドに 1 つ以上のキーワードを入力するか、このパラメーターを空のままにします。 [アプリケーションのグループ化] パラメーターと [イベントリソース] パラメーターは空のままにします。

          説明

          • Cloud Config でサポートされているシステムイベントの詳細については、CloudConfig ページにリストされているイベントを参照してください。

          • [イベントコンテンツ] フィールドに入力した情報は、イベントの照合に使用されます。 たとえば、イベントコンテンツフィールドに [クリティカル] と入力した場合、Cloud Config で [リスクレベル][高] であるルールのみが一致します。 ビジネス要件に基づいて、このパラメーターを空のままにするか、1 つ以上のキーワードを入力できます。

        • [ノイズ除去の組み合わせ]: デフォルト設定を使用します。

        • [通知]: [通知設定] ドロップダウンリストから、ステップ 2 で作成したアラート連絡グループを選択します。 [カスタム通知方法] パラメーターには、デフォルト設定を使用します。

          説明

          • 通知設定の作成方法の詳細については、「アラート通知設定の管理」トピックの「通知設定ポリシーを作成する」セクションをご参照ください。

          • CloudMonitor は、指定された [アラート連絡グループ] 内のアラート連絡先の通知方法と、[カスタム通知方法] 内の対応するアラートレベルに基づいて、アラート通知を自動的に送信します。

        • [プッシュと統合]: 構成は不要です。

      4. [送信] をクリックします。

    関連情報