このトピックでは、Okta と CloudSSO の間でシングルサインオン (SSO) を設定する方法の例を説明します。
背景
お客様の組織が ID プロバイダー (IdP) として Okta を使用し、Alibaba Cloud の Resource Directory でマルチアカウント構造を持っていると仮定します。SSO を設定することで、Okta ユーザーが Resource Directory 内の指定されたメンバーアカウントの特定のリソースに直接アクセスできるようにします。
このトピックで説明する Okta の設定手順は、CloudSSO のシングルサインオンにおけるエンドツーエンドの設定プロセスを理解するための推奨事項です。Alibaba Cloud は Okta の設定に関するコンサルティングサービスを提供していません。
ステップ1:CloudSSO からの SP メタデータの取得
-
CloudSSO コンソールにログインします。
-
左側のナビゲーションペインで、[Settings] をクリックします。
-
[SSO ログイン] セクションで、サービスプロバイダー (SP) の [ACS URL] と [エンティティ ID] をコピーします。
ステップ2:Okta でのアプリケーションの作成
-
Okta ポータルにログインします。
-
右上隅にあるアカウントアイコンをクリックし、[Your Org] をクリックします。
-
左側のナビゲーションペインで、 の順に選択します。
-
[Applications] ページで、[Browse App Catalog] をクリックします。
-
[Alibaba Cloud CloudSSO] アプリケーションを検索します。
-
アプリケーションのページで、[Add integration] をクリックします。
-
アプリケーションの設定を構成します。
-
[General Settings] ページで、アプリケーション名として [CloudSSODemo] を入力し、[Done] をクリックします。
-
[サインオン] タブの [設定] セクションで、[編集] をクリックします。
-
[Default RelayState]:SSO ログインが成功した後にユーザーがリダイレクトされる Alibaba Cloud のページです。この項目を空のままにした場合、ユーザーはデフォルトで CloudSSO ユーザーポータルにリダイレクトされます。
説明セキュリティ上の理由から、
*.alibabacloudsso.comドメインの URL のみ入力できます。それ以外の URL を入力した場合、設定は無効になります。 -
[ACS URL]: ステップ 1: CloudSSO から SP メタデータを取得するでコピーした [ACS URL] を貼り付けます。
-
[エンティティ ID]:ステップ 1: CloudSSO から SP メタデータを取得する でコピーした [エンティティ ID] を貼り付けます。
-
[Application username]:[Okta username] を選択します。
-
-
[Save] をクリックします。
-
ステップ3:Okta からの IdP メタデータの取得
-
CloudSSODemo アプリケーションの詳細ページで、[Sign On] タブをクリックします。
-
[SAML Signing Certificates] セクションの [Actions] ドロップダウンリストから [View IdP metadata] を選択し、メタデータをコンピューターに保存します。
ステップ4:アプリケーションへのユーザーの割り当て
Okta にユーザーがいない場合は、まずユーザーを作成してください。詳細については、Okta ドキュメントの「Add users manually」をご参照ください。
-
CloudSSODemo アプリケーションの詳細ページで、[Assignments] タブをクリックします。
-
[Assign] をクリックし、割り当て方法を選択します。
-
[Assign to People]:個々のユーザーにアプリケーションを割り当てます。このチュートリアルではこの方法を使用します。
-
[Assign to Groups]:ユーザーグループにアプリケーションを割り当てます。
-
-
[Assign CloudSSODemo to People] ダイアログボックスで、対象ユーザーの横にある[Assign] をクリックします。
-
[User Name] を確認または変更し、[Save and Go Back] をクリックします。
-
[Done] をクリックします。
ステップ5:CloudSSO でのシングルサインオンの有効化
-
CloudSSO コンソールの左側のナビゲーションペインで、[Settings] をクリックします。
-
[SSO Logon] セクションで、[Configure IdP] をクリックします。
-
[Configure IdP] パネルで、[Upload Metadata File] を選択します。
-
[Upload File] をクリックして、「ステップ3:Okta からの IdP メタデータの取得」で保存した IdP メタデータファイルをアップロードします。
-
SSO ログオンスイッチをオンにします。
重要SSO を有効化すると、すべての CloudSSO ユーザーのユーザー名とパスワードによるログインが自動的に無効になります。これはグローバル設定であり、一度有効化されると、すべてのユーザーが SSO 経由での認証を行う必要があります。
ステップ6:ユーザーの同期または作成
Okta から CloudSSO にユーザーを同期するか、CloudSSO で同じユーザー名を持つユーザーを作成します。
-
Okta から CloudSSO へのユーザー同期 (推奨):この方法は、Okta に多数のユーザーがいる場合に適しています。詳細については、「チュートリアル:SCIM を使用した Okta からのユーザーとグループの同期」をご参照ください。
-
一致する名前で CloudSSO にユーザーを作成:この方法は、Okta に少数のユーザーしかいない場合に適しています。詳細については、「ユーザーの作成」をご参照ください。
説明ユーザー名はログオンに使用されます。SSO を使用する場合、CloudSSO のユーザー名は Okta の [Application username] フィールドで設定されたユーザー名と一致する必要があります。詳細については、「ステップ2:Okta でのアプリケーションの作成」をご参照ください。
(オプション) ステップ7:ユーザーへの権限付与
ログオン後にユーザーがメンバーアカウント内のリソースにアクセスできるようにするには、アクセス構成を作成し、RD アカウントに対する権限を付与します。
-
アクセス構成を作成し、CloudSSO でポリシーを定義します。
詳細については、「アクセス構成の作成」をご参照ください。
-
RD アカウントに対する権限をユーザーに付与します。
詳細については、「RD アカウントに対する権限の付与」をご参照ください。
結果の検証
設定が完了したら、Alibaba Cloud または Okta のいずれかから SSO を開始できます。
-
Alibaba Cloud から SSO を開始 (SP 起点)
-
CloudSSO コンソールの [Overview] ページで、ユーザーログオン URL をコピーします。
-
新しいブラウザウィンドウでユーザーログオン URL を開きます。
-
[Redirect] をクリックします。[SSO Login] ページにリダイレクトされます。[Redirect] をクリックして Okta のログインページに移動します。
-
Okta のユーザー名とパスワードでログインします。
自動的にログインされ、[Default RelayState] で指定されたページにリダイレクトされます。このチュートリアルでは、[Default RelayState] は空に設定されていたため、CloudSSO ユーザーポータルにリダイレクトされます。
-
-
Okta から SSO を開始 (IdP 起点)
-
Okta ユーザーとしてOkta ポータルにログインします。
-
[CloudSSODemo] アプリケーションをクリックします。
自動的にログインされ、[Default RelayState] で指定されたページにリダイレクトされます。 このチュートリアルでは、[Default RelayState] は空白に設定されているため、CloudSSO ユーザーポータルにリダイレクトされます。
-