すべてのプロダクト
Search
ドキュメントセンター

CloudSSO:SCIM 認証情報と SAML 署名証明書の有効期限切れアラートの設定

最終更新日:Jun 03, 2026

Cloud Config と CloudMonitor を使用して、CloudSSO の SCIM 認証情報または SAML 署名証明書の有効期限が切れる前にアラートを受信し、適時にローテーションできるようにします。

シナリオ

SCIM 認証情報の有効期限切れ

CloudSSO とエンタープライズ ID プロバイダー (IdP) 間の SCIM ユーザー同期には、SCIM 認証情報が必要です。詳細については、「SCIM 認証情報の管理」をご参照ください。

SCIM 認証情報は 1 年後に期限切れとなり、同期が無効になります。ローテーションのために、事前にもう 1 つの SCIM 認証情報を作成する必要があります。有効期限が切れる前に認証情報をローテーションするには、Cloud Config で SCIM 認証情報の有効期限ルールを設定し、CloudMonitor を使用して SCIM 認証情報の有効期限が切れるときに通知を送信します。

SAML 署名証明書の有効期限切れ

CloudSSO とエンタープライズ ID プロバイダー (IdP) 間のシングルサインオン (SSO) を設定するには、IdP メタデータファイルをアップロードする必要があります。このファイルには SAML 署名証明書が含まれています。CloudSSO は、このファイルから証明書の有効期間を読み取ります。詳細については、「SSO の設定」をご参照ください。

SAML 署名証明書の有効期限が切れると、SSO は失敗し、ユーザーは CloudSSO を介して Alibaba Cloud にログオンできなくなります。ローテーションのために、事前にもう 1 つの SAML 署名証明書を作成する必要があります。有効期限が切れる前に証明書をローテーションするには、Cloud Config で SAML 署名証明書の有効期限ルールを設定し、CloudMonitor を使用して SAML 署名証明書の有効期限が切れるときに通知を送信します。

操作手順

CloudSSO の管理者として、次の手順を実行します。

ステップ 1:Cloud Config でのルールの作成

  1. Cloud Configコンソールにログインします。

  2. Cloud Config をアクティブ化するには、Activate Now をクリックします。

    説明

    Cloud Config をアクティブ化している場合は、この手順をスキップしてください。

  3. ルールを作成します。

    1. 左側のナビゲーションウィンドウで、[コンプライアンスと監査] > [ルール] を選択します。

    2. [ルール] ページで、[ルールの作成] をクリックします。

    3. 作成方法の選択 ページで、テンプレートに基づく を選択し、ルールテンプレートを選択してから Next をクリックします。

      ルールテンプレートとして、cloudsso-scim-credential-expired-check または cloudsso-directory-saml-expired-check を選択します。

    4. 基本プロパティの設定 ページで、ルールの基本プロパティを設定し、Next をクリックします。

      Parameter Settings セクションで、リソースが非準拠と見なされる、有効期限までの日数を指定します。デフォルト値は 90 日です。この値は必要に応じて変更できます。

      他のパラメーターはデフォルト値のままにします。

    5. リソース範囲の設定 ページで、デフォルトのリソースタイプを確認し、Next をクリックします。

    6. [修復の設定] 手順で、[送信] をクリックします。

      [修復の設定][修復の設定] をオンにして、プロンプトに従ってルールのテンプレート修復またはカスタム修復を設定できます。修復の設定方法の詳細については、「修復設定の概要」をご参照ください。

ステップ 2:CloudMonitor コンソールでのシステムイベントのアラートルールの設定

  1. CloudMonitor コンソール にログインします。

  2. アラート連絡先を作成します。

    詳細については、「アラート連絡先の作成」をご参照ください。

  3. アラート連絡先グループを作成します。

    詳細については、「アラート連絡先グループの作成」をご参照ください。

  4. サブスクリプションポリシーを作成します。

    CloudConfig がすべての非準拠イベントを Cloud Monitor に配信した後、システムイベントサブスクリプションポリシーを作成して、メールで非準拠イベントのアラート通知を受信できます。

    1. 左側メニューで、イベントセンター > イベントサブスクリプション を選択します。

    2. サブスクリプションポリシー タブで、サブスクリプションポリシーの作成 をクリックします。

    3. サブスクリプションポリシーの作成 ページで、次のパラメーターを設定します。

      • [Basic Information]: サブスクリプションポリシー名を入力します。

      • [アラームサブスクリプション]: サブスクリプションタイプシステムイベント に設定します。サブスクリプションスコープ で、プロダクト監査の設定イベントタイプ通知イベント名[Non-compliant event]イベントレベル通知 (info) に設定し、任意で イベント内容 にキーワードを入力してフィルタリングします。アプリケーションのグループ化イベントリソース は空のままにします。

        説明
        • CloudConfig がサポートするシステムイベントについては、「CloudConfig」をご参照ください。

        • イベント内容 はキーワードマッチングを使用します。たとえば、[Critical] と入力すると、CloudConfig の Risk Level高リスク のルールのみにマッチします。このフィールドは空のままにすることも、他のキーワードを入力することもできます。

      • [複合ノイズリダクション]: デフォルト値を使用します。

      • [通知]: 通知設定を作成する際、ステップ 2 で作成したアラート連絡先グループを選択し、カスタム通知方法 にはデフォルト値を使用します。

        説明
        • 通知設定の作成方法については、「通知設定ポリシーの作成」をご参照ください。

        • Cloud Monitor は、アラーム送信先グループ のアラート連絡先に設定された通知方法と、カスタム通知方法 の各通知方法に関連付けられたアラートレベルに基づいて、アラート通知を自動的に送信します。

      • [プッシュと統合]: 設定は不要です。

    4. Submit をクリックします。

関連ドキュメント