すべてのプロダクト
Search
ドキュメントセンター

CloudSSO:例:Microsoft Entra ID から CloudSSO への SSO

最終更新日:Jun 23, 2026

このトピックでは、Microsoft Entra ID (旧 Azure AD) から CloudSSO へのシングルサインオン (SSO ログイン) を設定する方法について説明します。

ユースケース

貴社が Alibaba Cloud の リソースディレクトリ (RD) でマルチアカウント構造を使用しているとします。この場合、シングルサインオンを設定して、Microsoft Entra ID ユーザーがリソースディレクトリ内の指定されたメンバーアカウントの特定のリソースにアクセスできるようにします。

説明

このトピックで説明する Microsoft Entra ID の構成は参考用です。これらは、シングルサインオンを設定するエンドツーエンドのプロセスを理解するのに役立ちます。Alibaba Cloud は、Microsoft Entra ID の構成に関するコンサルティングサービスは提供していません。

前提条件

  • Microsoft Entra ID のグローバル管理者がすべての構成操作を実行する必要があります。

    Microsoft Entra ID でユーザーを作成し、管理者権限を付与する方法については、Microsoft Entra ID ドキュメントをご参照ください。

  • Microsoft Entra ID から CloudSSO にユーザーを同期するか、一致するユーザー名で CloudSSO にユーザーを作成します。

    • (推奨) Microsoft Entra ID から CloudSSO へのユーザー同期:この方法は、Microsoft Entra ID で多数のユーザーを管理する場合に適しています。詳細については、「例:SCIM を使用した Microsoft Entra ID からのユーザーまたはユーザーグループの同期」をご参照ください。

    • 一致するユーザー名で CloudSSO にユーザーを作成:この方法は、Microsoft Entra ID で少数のユーザーを管理する場合に適しています。詳細については、「ユーザーの作成」をご参照ください。

      説明

      ユーザー名はユーザーログインに使用されます。シングルサインオンを使用する場合、CloudSSO のユーザー名は Microsoft Entra ID のシングルサインオンフィールドの値と一致する必要があります。詳細については、「ステップ 3:SAML の構成」をご参照ください。

  • CloudSSO でアクセス構成を作成し、メンバーアカウントに権限を付与して、CloudSSO ユーザーがアクセスできるものを定義します。

    詳細については、「アクセス構成の作成」および「メンバーアカウントへのアクセスの許可」をご参照ください。

ステップ 1:サービスプロバイダのメタデータの取得

  1. CloudSSO コンソールにログインします。

  2. 左側のナビゲーションウィンドウで、[設定] をクリックします。

  3. [SSO ログイン] セクションで、サービスプロバイダ (SP) のメタデータドキュメントをダウンロードします。

(オプション) ステップ 2:アプリケーションの作成

説明

すでに SCIM 同期を設定している場合は、このステップをスキップし、SCIM 用に設定したアプリケーションを使用してください。

  1. Microsoft Entra ID のグローバル管理者として Azure portal にログインします。

  2. ホームページの左上隅にある SSO_AAD_icon アイコンをクリックします。

  3. 左側のナビゲーションウィンドウで、[Microsoft Entra ID] > [管理] > [エンタープライズ アプリケーション] > [すべてのアプリケーション] を選択します。

  4. [新しいアプリケーション] をクリックします。

  5. [Microsoft Entra アプリ ギャラリーの参照] ページで、[独自のアプリケーションの作成] をクリックします。

  6. [独自のアプリケーションの作成] パネルで、アプリケーションの名前を入力します。この例では、CloudSSODemo と入力します。次に、[ギャラリーに見つからないその他のアプリケーションを統合します (ギャラリー以外)] を選択し、[作成] をクリックします。

ステップ 3:SAML の構成

  1. [CloudSSODemo] ページの左側のナビゲーションウィンドウで、[管理] > [シングル サインオン] を選択します。

  2. [シングル サインオン方式の選択] ページで、[SAML] をクリックします。

  3. [SAML でシングル サインオンをセットアップ] ページで、次の設定を構成します。

    1. ページの左上隅にある [メタデータ ファイルのアップロード] をクリックし、ステップ 1 で取得した SP メタデータドキュメントを選択して、[追加] をクリックします。

    2. [基本的な SAML 構成] セクションで、次のパラメーターを構成し、[保存] をクリックします。

      • [識別子 (エンティティ ID)]:必須。この値は、SP メタデータドキュメントをインポートすると自動的に入力されます。

        説明

        値が自動的に入力されない場合は、CloudSSO コンソールの [設定] ページの [SSO ログイン] セクションから [エンティティ ID] の値をコピーしてください。

      • [応答 URL (Assertion Consumer Service URL)]:必須。この値は、SP メタデータドキュメントをインポートすると自動的に入力されます。

        説明

        値が自動的に入力されない場合は、CloudSSO コンソールの [設定] ページの [SSO ログイン] セクションから [ACS URL] の値をコピーしてください。

      • [リレー状態]:オプション。SSO ログインが成功した後にユーザーがリダイレクトされる Alibaba Cloud のページを指定します。このパラメーターを構成しない場合、ユーザーはデフォルトで CloudSSO ユーザーポータルにリダイレクトされます。

        説明

        セキュリティ上の理由から、*.alibabacloudsso.com ドメインに属する URL のみ入力できます。それ以外の URL を入力した場合、構成は無効になります。

    3. [属性と要求] セクションで、[編集] をクリックします。[一意のユーザー識別子 (NameID)][user.userprincipalname] または他の一意のユーザー識別子に設定します。

      説明
      • SAML アサーションの NameID は、user.userprincipalnameuser.mail など、ユーザーを一意に識別する任意のフィールドに設定できます。CloudSSO では、受信する NameID の値が CloudSSO のユーザー名と一致する必要があります。したがって、SSO ログインを成功させるには、このフィールド値に基づいて CloudSSO でユーザーを作成する必要があります。

      • SCIM 同期も設定している場合は、SCIM 構成の userName 属性に user.userprincipalname などの同じフィールドを使用する必要があります。

    4. [SAML 証明書] セクションで、[ダウンロード] をクリックして [フェデレーション メタデータ XML] ファイルを取得します。

(オプション) ステップ 4:ユーザーの割り当て

説明

すでに SCIM 同期を設定している場合は、このステップをスキップしてください。

  1. [CloudSSODemo] ページの左側のナビゲーションウィンドウで、[管理] > [ユーザーとグループ] を選択します。

  2. 左上隅にある [ユーザー/グループの追加] をクリックします。

  3. 割り当てるユーザーを選択します。

  4. [割り当て] をクリックします。

ステップ 5:SSO ログインの有効化

  1. CloudSSO コンソールの左側のナビゲーションウィンドウで、[設定] をクリックします。

  2. [SSO ログイン] セクションで、[ID プロバイダーの構成] をクリックします。

  3. [ID プロバイダーの構成] ダイアログボックスで、[メタデータ ドキュメントのアップロード] を選択します。

  4. [ファイルのアップロード] をクリックして、ステップ 3 で取得した ID プロバイダーのメタデータドキュメントをアップロードします。

  5. SSO ログインスイッチをオンにして、SSO ログインを有効にします。

    説明

    SSO ログインを有効にすると、ユーザー名とパスワードによるログインが無効になります。つまり、CloudSSO ユーザーはプラットフォームの認証情報でサインインできなくなります。有効にすると、すべてのユーザーは ID プロバイダー経由でサインインする必要があります。

結果の検証

シングルサインオンの設定が完了したら、Alibaba Cloud または Microsoft Entra ID からシングルサインオンを開始できます。

Alibaba Cloud からの SSO の開始

  1. CloudSSO コンソール[概要] ページで、ユーザーログイン URL をコピーします。

  2. コピーしたユーザーログイン URL を新しいブラウザウィンドウで開きます。

  3. [Go] をクリックします。システムは自動的に Microsoft Entra ID のサインインページにリダイレクトします。[SSO サインイン] ページで、[法人アカウントのサインイン URL] を確認し、[Go] をクリックします。

  4. Microsoft Entra ID のユーザー名とパスワードでログインします。

    システムにログインすると、[リレー状態] パラメーターで指定されたページにリダイレクトされます。[リレー状態] が指定されていないか、許可された範囲外である場合、CloudSSO ユーザーポータルにリダイレクトされます。

  5. [RAM ロールとしてログイン] タブで、対象のメンバーアカウントを見つけ、[権限] 列の [詳細の表示] をクリックします。

  6. 権限パネルで、対象の権限を見つけ、[アクション] 列の [ログイン] をクリックします。

  7. メンバーアカウントで許可されたリソースにアクセスします。

Microsoft Entra ID からの SSO の開始

  1. ユーザーアクセス URL を取得します。

    1. 管理者として Azure ポータルにログインします。

    2. ホームページで、SSO_AAD_icon アイコンをクリックします。

    3. 左側のナビゲーションウィンドウで、[Microsoft Entra ID] > [管理] > [エンタープライズ アプリケーション] > [すべてのアプリケーション] に移動します。

    4. [CloudSSODemo] アプリケーションをクリックします。

    5. 左側のナビゲーションウィンドウで、[プロパティ] をクリックし、[ユーザー アクセス URL] をコピーします。

      [ユーザー アクセス URL] は、ユーザーがブラウザからこのアプリケーションに直接アクセスするために使用できるリンクです。

  2. 管理者から [ユーザー アクセス URL] を取得し、ブラウザに URL を入力してから、Microsoft Entra ID の認証情報でサインインします。

    システムにログインすると、[リレー状態] パラメーターで指定されたページにリダイレクトされます。[リレー状態] が指定されていないか、許可された範囲外である場合、CloudSSO ユーザーポータルにリダイレクトされます。

  3. [RAM ロールとしてログイン] タブで、対象のメンバーアカウントを見つけ、[権限] 列の [詳細の表示] をクリックします。

  4. 権限パネルで、対象の権限を見つけ、[アクション] 列の [ログイン] をクリックします。

  5. メンバーアカウントで許可されたリソースにアクセスします。

関連トピック