CloudSSO:Alibaba Cloud IDaaS から CloudSSO への SSO の構成

構成を容易にするために、IDaaS は Alibaba Cloud CloudSSO アプリケーションテンプレートを提供しています。 IDaaS で Alibaba Cloud CloudSSO アプリケーションを追加し、IDaaS によって提供されたメタデータファイルを CloudSSO にアップロードするだけで済みます。

概要

CloudSSO は Alibaba Cloud リソースディレクトリと統合されており、統一された複数アカウント ID 管理とアクセス制御を提供します。 CloudSSO を使用すると、Alibaba Cloud リソースへのアクセスを必要とする企業のユーザーを一元管理し、リソースディレクトリのアカウントに対するアクセス権限をユーザーに割り当てることができます。 ID プロバイダー (IdP) から Alibaba Cloud リソースへの SSO アクセスを実装するための設定を構成することもできます。 設定は一度だけ構成する必要があります。

手順

ステップ 1: IDaaS でアプリケーションを追加する

1. IDaaS コンソール にログインします。

2. EIAM ページで、必要なインスタンスを見つけ、[アクション] 列の [管理] をクリックします。

3. 左側のナビゲーションウィンドウで、[アプリケーション] をクリックします。[アプリケーション] ページで、[アプリケーションの追加] をクリックして [マーケットプレイス] タブに移動します。次に、[Alibaba Cloud CloudSSO] を検索します。[アプリケーションの追加] をクリックします。

   

4. アプリケーション名を確認し、[追加] をクリックします。アプリケーションが追加されます。

   

ステップ 2: アプリケーションの SSO を構成する

1. アプリケーションを追加すると、[SSO] タブに自動的にリダイレクトされます。

   

テスト目的では、[承認] パラメーターを [すべてのユーザー] に設定することをお勧めします。

• CloudSSO ACS URL: CloudSSO コンソールの [設定] ページで ACS URL パラメーターの値を入力します。 詳細については、「ステップ 3: CloudSSO でユーザーベースの SSO を構成する」をご参照ください。

• CloudSSO エンティティ ID: CloudSSO コンソールの [設定] ページでエンティティ ID パラメーターの値を入力します。 詳細については、「ステップ 3: CloudSSO でユーザーベースの SSO を構成する」をご参照ください。

2. [アプリケーション設定] セクションで、[Security Assertion Markup Language (SAML) メタデータファイル] をコンピューターにダウンロードします。次のステップでは、SSO 構成を完了するために、このファイルを CloudSSO にアップロードする必要があります。

   

ステップ 3: CloudSSO でユーザーベースの SSO を構成する

1. CloudSSO コンソール にログインします。

2. 左側のナビゲーションウィンドウで、[設定] をクリックします。

3. [設定] ページの [SSO ログイン] セクションで、[IdP の構成] をクリックします。

4. ステップ 2 で取得したメタデータファイルをアップロードします。 IdP 情報は自動的に構成されます。 右上隅のスイッチをオンにして、[SSO ログインを有効にする]。

5. SP 情報 セクションで [ACS URL] と [エンティティ ID] の値をコピーします。 IDaaS コンソールに移動し、[SSO] タブに値を貼り付けます。

6. [保存] をクリックします。 SSO 構成が IDaaS で完了します。

ステップ 4: SSO をテストする

1. CloudSSO コンソールに表示されている [ログイン URL] にアクセスします。

2. IDaaS IdP が有効になっているため、IDaaS ログインページにリダイレクトされます。 ログインには、IDaaS によって提供される複数の認証方式と ID セキュリティ機能を使用できます。

3. ログインに成功すると、アクセス権限を持つアカウントにアクセスできます。