このトピックでは、Microsoft Entra ID (旧 Azure AD) から CloudSSO へのシングルサインオン (SSO ログイン) を設定する方法について説明します。
ユースケース
貴社が Alibaba Cloud の リソースディレクトリ (RD) でマルチアカウント構造を使用しているとします。この場合、シングルサインオンを設定して、Microsoft Entra ID ユーザーがリソースディレクトリ内の指定されたメンバーアカウントの特定のリソースにアクセスできるようにします。
このトピックで説明する Microsoft Entra ID の構成は参考用です。これらは、シングルサインオンを設定するエンドツーエンドのプロセスを理解するのに役立ちます。Alibaba Cloud は、Microsoft Entra ID の構成に関するコンサルティングサービスは提供していません。
前提条件
-
Microsoft Entra ID のグローバル管理者がすべての構成操作を実行する必要があります。
Microsoft Entra ID でユーザーを作成し、管理者権限を付与する方法については、Microsoft Entra ID ドキュメントをご参照ください。
-
Microsoft Entra ID から CloudSSO にユーザーを同期するか、一致するユーザー名で CloudSSO にユーザーを作成します。
-
(推奨) Microsoft Entra ID から CloudSSO へのユーザー同期:この方法は、Microsoft Entra ID で多数のユーザーを管理する場合に適しています。詳細については、「例:SCIM を使用した Microsoft Entra ID からのユーザーまたはユーザーグループの同期」をご参照ください。
-
一致するユーザー名で CloudSSO にユーザーを作成:この方法は、Microsoft Entra ID で少数のユーザーを管理する場合に適しています。詳細については、「ユーザーの作成」をご参照ください。
説明ユーザー名はユーザーログインに使用されます。シングルサインオンを使用する場合、CloudSSO のユーザー名は Microsoft Entra ID のシングルサインオンフィールドの値と一致する必要があります。詳細については、「ステップ 3:SAML の構成」をご参照ください。
-
-
CloudSSO でアクセス構成を作成し、メンバーアカウントに権限を付与して、CloudSSO ユーザーがアクセスできるものを定義します。
詳細については、「アクセス構成の作成」および「メンバーアカウントへのアクセスの許可」をご参照ください。
ステップ 1:サービスプロバイダのメタデータの取得
-
CloudSSO コンソールにログインします。
-
左側のナビゲーションウィンドウで、[設定] をクリックします。
-
[SSO ログイン] セクションで、サービスプロバイダ (SP) のメタデータドキュメントをダウンロードします。
(オプション) ステップ 2:アプリケーションの作成
すでに SCIM 同期を設定している場合は、このステップをスキップし、SCIM 用に設定したアプリケーションを使用してください。
-
Microsoft Entra ID のグローバル管理者として Azure portal にログインします。
-
ホームページの左上隅にある
アイコンをクリックします。 -
左側のナビゲーションウィンドウで、 を選択します。
-
[新しいアプリケーション] をクリックします。
-
[Microsoft Entra アプリ ギャラリーの参照] ページで、[独自のアプリケーションの作成] をクリックします。
-
[独自のアプリケーションの作成] パネルで、アプリケーションの名前を入力します。この例では、CloudSSODemo と入力します。次に、[ギャラリーに見つからないその他のアプリケーションを統合します (ギャラリー以外)] を選択し、[作成] をクリックします。
ステップ 3:SAML の構成
-
[CloudSSODemo] ページの左側のナビゲーションウィンドウで、 を選択します。
-
[シングル サインオン方式の選択] ページで、[SAML] をクリックします。
-
[SAML でシングル サインオンをセットアップ] ページで、次の設定を構成します。
-
ページの左上隅にある [メタデータ ファイルのアップロード] をクリックし、ステップ 1 で取得した SP メタデータドキュメントを選択して、[追加] をクリックします。
-
[基本的な SAML 構成] セクションで、次のパラメーターを構成し、[保存] をクリックします。
-
[識別子 (エンティティ ID)]:必須。この値は、SP メタデータドキュメントをインポートすると自動的に入力されます。
説明値が自動的に入力されない場合は、CloudSSO コンソールの [設定] ページの [SSO ログイン] セクションから [エンティティ ID] の値をコピーしてください。
-
[応答 URL (Assertion Consumer Service URL)]:必須。この値は、SP メタデータドキュメントをインポートすると自動的に入力されます。
説明値が自動的に入力されない場合は、CloudSSO コンソールの [設定] ページの [SSO ログイン] セクションから [ACS URL] の値をコピーしてください。
-
[リレー状態]:オプション。SSO ログインが成功した後にユーザーがリダイレクトされる Alibaba Cloud のページを指定します。このパラメーターを構成しない場合、ユーザーはデフォルトで CloudSSO ユーザーポータルにリダイレクトされます。
説明セキュリティ上の理由から、*.alibabacloudsso.com ドメインに属する URL のみ入力できます。それ以外の URL を入力した場合、構成は無効になります。
-
-
[属性と要求] セクションで、[編集] をクリックします。[一意のユーザー識別子 (NameID)] を [user.userprincipalname] または他の一意のユーザー識別子に設定します。
説明-
SAML アサーションの
NameIDは、user.userprincipalname や user.mail など、ユーザーを一意に識別する任意のフィールドに設定できます。CloudSSO では、受信するNameIDの値が CloudSSO のユーザー名と一致する必要があります。したがって、SSO ログインを成功させるには、このフィールド値に基づいて CloudSSO でユーザーを作成する必要があります。 -
SCIM 同期も設定している場合は、SCIM 構成の userName 属性に user.userprincipalname などの同じフィールドを使用する必要があります。
-
-
[SAML 証明書] セクションで、[ダウンロード] をクリックして [フェデレーション メタデータ XML] ファイルを取得します。
-
(オプション) ステップ 4:ユーザーの割り当て
すでに SCIM 同期を設定している場合は、このステップをスキップしてください。
-
[CloudSSODemo] ページの左側のナビゲーションウィンドウで、 を選択します。
-
左上隅にある [ユーザー/グループの追加] をクリックします。
-
割り当てるユーザーを選択します。
-
[割り当て] をクリックします。
ステップ 5:SSO ログインの有効化
-
CloudSSO コンソールの左側のナビゲーションウィンドウで、[設定] をクリックします。
-
[SSO ログイン] セクションで、[ID プロバイダーの構成] をクリックします。
-
[ID プロバイダーの構成] ダイアログボックスで、[メタデータ ドキュメントのアップロード] を選択します。
-
[ファイルのアップロード] をクリックして、ステップ 3 で取得した ID プロバイダーのメタデータドキュメントをアップロードします。
-
SSO ログインスイッチをオンにして、SSO ログインを有効にします。
説明SSO ログインを有効にすると、ユーザー名とパスワードによるログインが無効になります。つまり、CloudSSO ユーザーはプラットフォームの認証情報でサインインできなくなります。有効にすると、すべてのユーザーは ID プロバイダー経由でサインインする必要があります。
結果の検証
シングルサインオンの設定が完了したら、Alibaba Cloud または Microsoft Entra ID からシングルサインオンを開始できます。
Alibaba Cloud からの SSO の開始
-
CloudSSO コンソールの [概要] ページで、ユーザーログイン URL をコピーします。
-
コピーしたユーザーログイン URL を新しいブラウザウィンドウで開きます。
-
[Go] をクリックします。システムは自動的に Microsoft Entra ID のサインインページにリダイレクトします。[SSO サインイン] ページで、[法人アカウントのサインイン URL] を確認し、[Go] をクリックします。
-
Microsoft Entra ID のユーザー名とパスワードでログインします。
システムにログインすると、[リレー状態] パラメーターで指定されたページにリダイレクトされます。[リレー状態] が指定されていないか、許可された範囲外である場合、CloudSSO ユーザーポータルにリダイレクトされます。
-
[RAM ロールとしてログイン] タブで、対象のメンバーアカウントを見つけ、[権限] 列の [詳細の表示] をクリックします。
-
権限パネルで、対象の権限を見つけ、[アクション] 列の [ログイン] をクリックします。
-
メンバーアカウントで許可されたリソースにアクセスします。
Microsoft Entra ID からの SSO の開始
-
ユーザーアクセス URL を取得します。
-
管理者として Azure ポータルにログインします。
-
ホームページで、
アイコンをクリックします。 -
左側のナビゲーションウィンドウで、 に移動します。
-
[CloudSSODemo] アプリケーションをクリックします。
-
左側のナビゲーションウィンドウで、[プロパティ] をクリックし、[ユーザー アクセス URL] をコピーします。
[ユーザー アクセス URL] は、ユーザーがブラウザからこのアプリケーションに直接アクセスするために使用できるリンクです。
-
-
管理者から [ユーザー アクセス URL] を取得し、ブラウザに URL を入力してから、Microsoft Entra ID の認証情報でサインインします。
システムにログインすると、[リレー状態] パラメーターで指定されたページにリダイレクトされます。[リレー状態] が指定されていないか、許可された範囲外である場合、CloudSSO ユーザーポータルにリダイレクトされます。
-
[RAM ロールとしてログイン] タブで、対象のメンバーアカウントを見つけ、[権限] 列の [詳細の表示] をクリックします。
-
権限パネルで、対象の権限を見つけ、[アクション] 列の [ログイン] をクリックします。
-
メンバーアカウントで許可されたリソースにアクセスします。