すべてのプロダクト
Search
ドキュメントセンター

CloudSSO:例:Okta と CloudSSO によるシングルサインオン

最終更新日:Jun 22, 2026

このトピックでは、Okta と CloudSSO の間でシングルサインオン (SSO) を設定する方法の例を説明します。

背景

お客様の組織が ID プロバイダー (IdP) として Okta を使用し、Alibaba Cloud の Resource Directory でマルチアカウント構造を持っていると仮定します。SSO を設定することで、Okta ユーザーが Resource Directory 内の指定されたメンバーアカウントの特定のリソースに直接アクセスできるようにします。

説明

このトピックで説明する Okta の設定手順は、CloudSSO のシングルサインオンにおけるエンドツーエンドの設定プロセスを理解するための推奨事項です。Alibaba Cloud は Okta の設定に関するコンサルティングサービスを提供していません。

ステップ1:CloudSSO からの SP メタデータの取得

  1. CloudSSO コンソールにログインします。

  2. 左側のナビゲーションペインで、[Settings] をクリックします。

  3. [SSO ログイン] セクションで、サービスプロバイダー (SP) の [ACS URL][エンティティ ID] をコピーします。

ステップ2:Okta でのアプリケーションの作成

  1. Okta ポータルにログインします。

  2. 右上隅にあるアカウントアイコンをクリックし、[Your Org] をクリックします。

  3. 左側のナビゲーションペインで、[Applications] > [Applications] の順に選択します。

  4. [Applications] ページで、[Browse App Catalog] をクリックします。

  5. [Alibaba Cloud CloudSSO] アプリケーションを検索します。

  6. アプリケーションのページで、[Add integration] をクリックします。

  7. アプリケーションの設定を構成します。

    1. [General Settings] ページで、アプリケーション名として [CloudSSODemo] を入力し、[Done] をクリックします。

    2. [サインオン] タブの [設定] セクションで、[編集] をクリックします。

      • [Default RelayState]:SSO ログインが成功した後にユーザーがリダイレクトされる Alibaba Cloud のページです。この項目を空のままにした場合、ユーザーはデフォルトで CloudSSO ユーザーポータルにリダイレクトされます。

        説明

        セキュリティ上の理由から、*.alibabacloudsso.com ドメインの URL のみ入力できます。それ以外の URL を入力した場合、設定は無効になります。

      • [ACS URL]: ステップ 1: CloudSSO から SP メタデータを取得するでコピーした [ACS URL] を貼り付けます。

      • [エンティティ ID]:ステップ 1: CloudSSO から SP メタデータを取得する でコピーした [エンティティ ID] を貼り付けます。

      • [Application username]:[Okta username] を選択します。

    3. [Save] をクリックします。

ステップ3:Okta からの IdP メタデータの取得

  1. CloudSSODemo アプリケーションの詳細ページで、[Sign On] タブをクリックします。

  2. [SAML Signing Certificates] セクションの [Actions] ドロップダウンリストから [View IdP metadata] を選択し、メタデータをコンピューターに保存します。

ステップ4:アプリケーションへのユーザーの割り当て

説明

Okta にユーザーがいない場合は、まずユーザーを作成してください。詳細については、Okta ドキュメントの「Add users manually」をご参照ください。

  1. CloudSSODemo アプリケーションの詳細ページで、[Assignments] タブをクリックします。

  2. [Assign] をクリックし、割り当て方法を選択します。

    • [Assign to People]:個々のユーザーにアプリケーションを割り当てます。このチュートリアルではこの方法を使用します。

    • [Assign to Groups]:ユーザーグループにアプリケーションを割り当てます。

  3. [Assign CloudSSODemo to People] ダイアログボックスで、対象ユーザーの横にある[Assign] をクリックします。

  4. [User Name] を確認または変更し、[Save and Go Back] をクリックします。

  5. ステップ 34 を繰り返し、他のユーザーを割り当てます。

  6. [Done] をクリックします。

ステップ5:CloudSSO でのシングルサインオンの有効化

  1. CloudSSO コンソールの左側のナビゲーションペインで、[Settings] をクリックします。

  2. [SSO Logon] セクションで、[Configure IdP] をクリックします。

  3. [Configure IdP] パネルで、[Upload Metadata File] を選択します。

  4. [Upload File] をクリックして、「ステップ3:Okta からの IdP メタデータの取得」で保存した IdP メタデータファイルをアップロードします。

  5. SSO ログオンスイッチをオンにします。

    重要

    SSO を有効化すると、すべての CloudSSO ユーザーのユーザー名とパスワードによるログインが自動的に無効になります。これはグローバル設定であり、一度有効化されると、すべてのユーザーが SSO 経由での認証を行う必要があります。

ステップ6:ユーザーの同期または作成

Okta から CloudSSO にユーザーを同期するか、CloudSSO で同じユーザー名を持つユーザーを作成します。

  • Okta から CloudSSO へのユーザー同期 (推奨):この方法は、Okta に多数のユーザーがいる場合に適しています。詳細については、「チュートリアル:SCIM を使用した Okta からのユーザーとグループの同期」をご参照ください。

  • 一致する名前で CloudSSO にユーザーを作成:この方法は、Okta に少数のユーザーしかいない場合に適しています。詳細については、「ユーザーの作成」をご参照ください。

    説明

    ユーザー名はログオンに使用されます。SSO を使用する場合、CloudSSO のユーザー名は Okta の [Application username] フィールドで設定されたユーザー名と一致する必要があります。詳細については、「ステップ2:Okta でのアプリケーションの作成」をご参照ください。

(オプション) ステップ7:ユーザーへの権限付与

ログオン後にユーザーがメンバーアカウント内のリソースにアクセスできるようにするには、アクセス構成を作成し、RD アカウントに対する権限を付与します。

  1. アクセス構成を作成し、CloudSSO でポリシーを定義します。

    詳細については、「アクセス構成の作成」をご参照ください。

  2. RD アカウントに対する権限をユーザーに付与します。

    詳細については、「RD アカウントに対する権限の付与」をご参照ください。

結果の検証

設定が完了したら、Alibaba Cloud または Okta のいずれかから SSO を開始できます。

  • Alibaba Cloud から SSO を開始 (SP 起点)

    1. CloudSSO コンソール[Overview] ページで、ユーザーログオン URL をコピーします。

    2. 新しいブラウザウィンドウでユーザーログオン URL を開きます。

    3. [Redirect] をクリックします。[SSO Login] ページにリダイレクトされます。[Redirect] をクリックして Okta のログインページに移動します。

    4. Okta のユーザー名とパスワードでログインします。

      自動的にログインされ、[Default RelayState] で指定されたページにリダイレクトされます。このチュートリアルでは、[Default RelayState] は空に設定されていたため、CloudSSO ユーザーポータルにリダイレクトされます。

  • Okta から SSO を開始 (IdP 起点)

    1. Okta ユーザーとしてOkta ポータルにログインします。

    2. [CloudSSODemo] アプリケーションをクリックします。

      自動的にログインされ、[Default RelayState] で指定されたページにリダイレクトされます。 このチュートリアルでは、[Default RelayState] は空白に設定されているため、CloudSSO ユーザーポータルにリダイレクトされます。

関連ドキュメント