Cloud Config と CloudMonitor を使用して、CloudSSO の SCIM 認証情報または SAML 署名証明書の有効期限が切れる前にアラートを受信し、適時にローテーションできるようにします。
シナリオ
SCIM 認証情報の有効期限切れ
CloudSSO とエンタープライズ ID プロバイダー (IdP) 間の SCIM ユーザー同期には、SCIM 認証情報が必要です。詳細については、「SCIM 認証情報の管理」をご参照ください。
SCIM 認証情報は 1 年後に期限切れとなり、同期が無効になります。ローテーションのために、事前にもう 1 つの SCIM 認証情報を作成する必要があります。有効期限が切れる前に認証情報をローテーションするには、Cloud Config で SCIM 認証情報の有効期限ルールを設定し、CloudMonitor を使用して SCIM 認証情報の有効期限が切れるときに通知を送信します。
SAML 署名証明書の有効期限切れ
CloudSSO とエンタープライズ ID プロバイダー (IdP) 間のシングルサインオン (SSO) を設定するには、IdP メタデータファイルをアップロードする必要があります。このファイルには SAML 署名証明書が含まれています。CloudSSO は、このファイルから証明書の有効期間を読み取ります。詳細については、「SSO の設定」をご参照ください。
SAML 署名証明書の有効期限が切れると、SSO は失敗し、ユーザーは CloudSSO を介して Alibaba Cloud にログオンできなくなります。ローテーションのために、事前にもう 1 つの SAML 署名証明書を作成する必要があります。有効期限が切れる前に証明書をローテーションするには、Cloud Config で SAML 署名証明書の有効期限ルールを設定し、CloudMonitor を使用して SAML 署名証明書の有効期限が切れるときに通知を送信します。
操作手順
CloudSSO の管理者として、次の手順を実行します。
ステップ 1:Cloud Config でのルールの作成
Cloud Configコンソールにログインします。
-
Cloud Config をアクティブ化するには、Activate Now をクリックします。
説明Cloud Config をアクティブ化している場合は、この手順をスキップしてください。
-
ルールを作成します。
左側のナビゲーションウィンドウで、 を選択します。
[ルール] ページで、[ルールの作成] をクリックします。
-
作成方法の選択 ページで、テンプレートに基づく を選択し、ルールテンプレートを選択してから Next をクリックします。
ルールテンプレートとして、cloudsso-scim-credential-expired-check または cloudsso-directory-saml-expired-check を選択します。
-
基本プロパティの設定 ページで、ルールの基本プロパティを設定し、Next をクリックします。
Parameter Settings セクションで、リソースが非準拠と見なされる、有効期限までの日数を指定します。デフォルト値は 90 日です。この値は必要に応じて変更できます。
他のパラメーターはデフォルト値のままにします。
-
リソース範囲の設定 ページで、デフォルトのリソースタイプを確認し、Next をクリックします。
[修復の設定] 手順で、[送信] をクリックします。
[修復の設定][修復の設定] をオンにして、プロンプトに従ってルールのテンプレート修復またはカスタム修復を設定できます。修復の設定方法の詳細については、「修復設定の概要」をご参照ください。
ステップ 2:CloudMonitor コンソールでのシステムイベントのアラートルールの設定
CloudMonitor コンソール にログインします。
-
アラート連絡先を作成します。
詳細については、「アラート連絡先の作成」をご参照ください。
-
アラート連絡先グループを作成します。
詳細については、「アラート連絡先グループの作成」をご参照ください。
サブスクリプションポリシーを作成します。
CloudConfig がすべての非準拠イベントを Cloud Monitor に配信した後、システムイベントサブスクリプションポリシーを作成して、メールで非準拠イベントのアラート通知を受信できます。
左側メニューで、 を選択します。
サブスクリプションポリシー タブで、サブスクリプションポリシーの作成 をクリックします。
サブスクリプションポリシーの作成 ページで、次のパラメーターを設定します。
[Basic Information]: サブスクリプションポリシー名を入力します。
[アラームサブスクリプション]: サブスクリプションタイプ を システムイベント に設定します。サブスクリプションスコープ で、プロダクト を 監査の設定、イベントタイプ を 通知、イベント名 を [Non-compliant event]、イベントレベル を 通知 (info) に設定し、任意で イベント内容 にキーワードを入力してフィルタリングします。アプリケーションのグループ化 と イベントリソース は空のままにします。
説明CloudConfig がサポートするシステムイベントについては、「CloudConfig」をご参照ください。
イベント内容 はキーワードマッチングを使用します。たとえば、[Critical] と入力すると、CloudConfig の Risk Level が 高リスク のルールのみにマッチします。このフィールドは空のままにすることも、他のキーワードを入力することもできます。
[複合ノイズリダクション]: デフォルト値を使用します。
[通知]: 通知設定を作成する際、ステップ 2 で作成したアラート連絡先グループを選択し、カスタム通知方法 にはデフォルト値を使用します。
説明通知設定の作成方法については、「通知設定ポリシーの作成」をご参照ください。
Cloud Monitor は、アラーム送信先グループ のアラート連絡先に設定された通知方法と、カスタム通知方法 の各通知方法に関連付けられたアラートレベルに基づいて、アラート通知を自動的に送信します。
[プッシュと統合]: 設定は不要です。
Submit をクリックします。