このトピックでは、Okta から CloudSSO へのシングルサインオン (SSO) ログインを構成する方法について説明します。
背景情報
企業が多数のユーザーを含むローカル ID プロバイダー (IdP) として Okta を使用しており、リソースディレクトリにマルチアカウント構造を構築しているとします。企業は、SSO ログインを実装するための設定を構成したいと考えています。このようにして、Okta のユーザーは、リソースディレクトリの指定されたメンバー内の特定のリソースに直接アクセスできます。
ステップ 1: CloudSSO コンソールで SP メタデータファイルを取得する
CloudSSO コンソール にログインします。
左側のナビゲーションウィンドウで、[設定] をクリックします。
[SSO ログイン] セクションで、サービスプロバイダー (SP) の [ACS URL] と [エンティティ ID] の値をコピーします。
ステップ 2: Okta でアプリケーションを作成する
Okta ポータル にログインします。
Okta ポータルの右上隅にあるアカウント名をクリックし、ドロップダウンリストから [組織] を選択します。
左側のナビゲーションウィンドウで、 を選択します。
[アプリケーション] ページで、[アプリカタログを参照] をクリックします。
[alibaba Cloud Cloudsso] という名前のアプリケーションを検索します。
検索結果でアプリケーションタイルをクリックし、[統合を追加] をクリックしてアプリケーションを追加します。
アプリケーションを構成します。
[一般設定] ステップで、アプリ名を [cloudssodemo] に設定し、[完了] をクリックします。
設定[サインオン] ページの [編集] セクションで、 をクリックします。
[デフォルト Relaystate]: このパラメーターには、SSO ログイン方式を使用して Alibaba Cloud 管理コンソールにログインした後に表示されるページの URL を設定します。このパラメーターを構成しない場合、ユーザーはデフォルトで CloudSSO ユーザーポータルにリダイレクトされます。
説明セキュリティを確保するために、*.alibabacloudsso.com を含む URL のみを入力できます。このドメイン名を含まない URL を入力すると、構成は無効になります。
[ACS URL]: このパラメーターには、ステップ 1: CloudSSO コンソールで SP メタデータファイルを取得する で取得した [ACS URL] パラメーターの値を設定します。
[エンティティ ID]: このパラメーターには、ステップ 1: CloudSSO コンソールで SP メタデータファイルを取得する で取得した [エンティティ ID] パラメーターの値を設定します。
[アプリケーションユーザー名]: [okta ユーザー名] を選択します。
[保存] をクリックします。
ステップ 3: Okta で IdP メタデータファイルを取得する
CloudSSODemo 詳細ページで、[サインオン] タブをクリックします。
[SAML 署名証明書] セクションで、[アクション] を右クリックし、ドロップダウンリストから [idp メタデータを表示] を選択して、IdP メタデータをコンピューターに保存します。
ステップ 4: Okta でアプリケーションにユーザーを割り当てる
Okta にユーザーが作成されていない場合は、最初にユーザーを作成する必要があります。詳細については、「Okta ユーザーを作成する」をご参照ください。
CloudSSODemo 詳細ページで、[割り当て] タブをクリックします。
[割り当て] をクリックし、割り当て方法を選択します。
[ユーザーに割り当てる]: ユーザーを割り当てます。この例では、この方法を選択します。
[グループに割り当てる]: グループを割り当てます。
[cloudssodemo をユーザーに割り当てる] ダイアログボックスで、必要なユーザーの右側にある [割り当て] をクリックします。
[ユーザー名] の値を確認または変更します。次に、[保存して戻る] をクリックします。
[完了] をクリックします。
ステップ 5: CloudSSO コンソールで SSO ログインを有効にする
CloudSSO コンソールの左側のナビゲーションウィンドウで、[設定] をクリックします。
[設定] ページの [SSO ログイン] セクションで、[idp を構成] をクリックします。
[idp を構成] ダイアログボックスで、[メタデータファイルをアップロード] を選択します。
[メタデータファイルをアップロード] をクリックして、ステップ 3: Okta で IdP メタデータファイルを取得する で取得した IdP メタデータファイルをアップロードします。
SSO ログインのスイッチをオンにして、SSO ログインを有効にします。
説明SSO が有効になると、ユーザー名とパスワードによるログインは自動的に無効になります。SSO はすべてのユーザーに有効です。SSO を有効にすると、すべてのユーザーは SSO ログイン方式を使用する必要があります。
ステップ 6: ユーザーを同期または作成する
Okta から CloudSSO にユーザーを同期するか、CloudSSO コンソールで Okta のユーザーと同じユーザー名を持つユーザーを作成できます。次のアカウントのいずれかを準備します。
Okta から CloudSSO にユーザーを同期する: この方法は、Okta に多数のユーザーが存在するシナリオに適しています。この方法を使用することをお勧めします。詳細については、「SCIM を使用して Okta のユーザーまたはグループを同期する」をご参照ください。
CloudSSO コンソールで Okta のユーザーと同じユーザー名を持つユーザーを作成する: この方法は、Okta に少数のユーザーが存在するシナリオに適しています。詳細については、「ユーザーを作成する」をご参照ください。
説明ユーザー名はユーザーログインに使用されます。SSO ログインを構成する場合、CloudSSO ユーザーのユーザー名は、Okta で SSO ログインに使用されるフィールドの値と同じである必要があります。詳細については、「ステップ 2: Okta でアプリケーションを作成する」をご参照ください。
ステップ 7: (オプション) ユーザーにアクセス権限を割り当てる
CloudSSO ユーザーが SSO ログイン方式を使用してユーザーポータルにログインした後に、リソースディレクトリ内の指定されたメンバー内の特定のリソースにアクセスできるようにするには、アクセス権限を定義するアクセス構成を作成する必要があります。次に、メンバーのアクセス権限をユーザーに割り当てる必要があります。
CloudSSO コンソールでアクセス構成を作成し、ポリシーを指定します。
詳細については、「アクセス構成を作成する」をご参照ください。
リソースディレクトリのアカウントに対するアクセス権限をユーザーに割り当てます。
詳細については、「リソースディレクトリのアカウントに対するアクセス権限を割り当てる」をご参照ください。
構成結果を確認する
上記の構成を完了した後、Alibaba Cloud または Okta から SSO ログインを開始できます。
Alibaba Cloud から SSO ログインを開始する
CloudSSO コンソール にログインします。[概要] ページに移動し、ユーザーポータルにログインするために使用する URL をコピーします。
ブラウザを開き、コピーした URL を貼り付けて、Enter キーを押します。
[リダイレクト] をクリックします。Okta のログインページにリダイレクトされます。
表示されたページで、必要な Okta ユーザーのユーザー名とパスワードを入力します。
ログインに成功すると、[デフォルト Relaystate] で指定されたページにリダイレクトされます。この例では、[デフォルト Relaystate] は構成されていないため、CloudSSO ユーザーポータルにリダイレクトされます。
Okta から SSO ログインを開始する
Okta ユーザーとして Okta ポータル にログインします。
[cloudssodemo] アプリケーションをクリックします。
ログインに成功すると、[デフォルト Relaystate] で指定されたページにリダイレクトされます。この例では、[デフォルト Relaystate] は構成されていないため、CloudSSO ユーザーポータルにリダイレクトされます。