すべてのプロダクト
Search

このプロダクト

    CloudSSO:PingIdentity と CloudSSO を使用したシングルサインオンの例

    ドキュメントセンター

    CloudSSO:PingIdentity と CloudSSO を使用したシングルサインオンの例

    最終更新日:Jan 28, 2026

    このトピックでは、PingIdentity と CloudSSO を使用してシングルサインオン (SSO) を構成する方法の例を示します。

    背景情報

    所属する企業が ID プロバイダー (IdP) として PingIdentity を使用してユーザーを管理しているとします。Alibaba Cloud の Resource Directory (RD) でマルチアカウント構造をすでに設定しています。SSO を構成して、PingIdentity のユーザーがリソースディレクトリ内の特定のメンバーアカウントの特定のリソースにアクセスできるようにします。

    説明

    このトピックで説明する PingIdentity の構成手順は、CloudSSO ログインのエンドツーエンドの構成プロセスを理解するためのリファレンスとして提供されています。Alibaba Cloud は、PingIdentity の構成に関するコンサルティングサービスを提供していません。

    ステップ 1: CloudSSO からサービスプロバイダー (SP) のメタデータを取得

    1. CloudSSO コンソールにログインします。

    2. 左側のナビゲーションウィンドウで、[設定] をクリックします。

    3. [SSO ログイン] セクションで、サービスプロバイダー (SP) の ACS URLEntity ID をコピーするか、SP メタデータファイルをダウンロードして保存します。

    ステップ 2: PingIdentity でアプリケーションを作成および構成

    1. PingIdentity ポータルにログインし、コンソールを開きます。

    2. 左側のナビゲーションウィンドウで、[環境] を選択します。

    3. [環境] ページで、新しい [環境] を作成します。選択する Cloud Service には PingOne SSO を含める必要があります。

      image.png

    4. 新しい環境を開きます。左側のナビゲーションウィンドウで、[アプリケーション] > [アプリケーション] を選択します。

    5. [アプリケーション] ページで、プラス記号 (+) をクリックして [アプリケーション] を作成します。

      1. [アプリケーションタイプ] セクションで、[SAML Application] を選択し、アプリケーション情報を構成します。

        image.png

      2. [SAML 構成] ページで、[メタデータのインポート] を選択して、ステップ 1 で取得した SP メタデータファイルをアップロードします。または、[手動で入力] を選択します。次に、ステップ 1 の ACS URL の値を [ACS URL] フィールドに入力し、ステップ 1 の Entity ID の値を [Entity ID] フィールドに入力します。

        image.png

    6. [保存] をクリックします。

    ステップ 3: PingIdentity から ID プロバイダー (IdP) のメタデータを取得

    [アプリケーション] ページで、ステップ 2 で作成したアプリケーションを選択します。[概要] タブで、[メタデータのダウンロード] をクリックしてメタデータファイルをダウンロードし、保存します。

    image.png

    ステップ 4: PingIdentity でアプリケーションのグループ権限を設定

    1. ユーザーが存在しない場合は、まずユーザーを作成します。

      1. 左側のナビゲーションウィンドウで、[ディレクトリ] > [ユーザー] を選択します。

      2. [ユーザー] ページで、ユーザーを作成し、適切なグループに割り当てます。

    2. (オプション) [アプリケーション] ページで、ステップ 2 で作成したアプリケーションを選択します。[アクセス] タブで、アプリケーションのグループメンバーシップポリシーを設定します。グループメンバーシップポリシーを設定した場合、指定されたグループのメンバーであるユーザーのみが CloudSSO にログインできます。

      image.png

    ステップ 5: CloudSSO で SSO ログインを有効化

    1. CloudSSO コンソールで、左側のナビゲーションウィンドウにある [設定] をクリックします。

    2. [SSO ログイン] セクションで、[ID プロバイダーの構成] をクリックします。

    3. [ID プロバイダーの構成] ダイアログボックスで、[メタデータファイルのアップロード] を選択します。

    4. [ファイルのアップロード] をクリックし、ステップ 3 でダウンロードした IdP メタデータファイルをアップロードします。

    5. SSO ログインスイッチをオンにして、SSO ログインを有効にします。

      image.png

    ステップ 6: CloudSSO でユーザーを同期または作成

    PingIdentity から CloudSSO にユーザーを同期するか、CloudSSO で同じユーザー名のユーザーを作成できます。次のいずれかの方法を使用できます:

    • PingIdentity から CloudSSO へのユーザー同期 (推奨): この方法は、PingIdentity に多数のユーザーがいる場合に適しています。詳細については、ユーザー同期に関するドキュメントをご参照ください。

    • CloudSSO で同じユーザー名のユーザーを作成: この方法は、PingIdentity のユーザーが少数である場合に適しています。詳細については、「基本操作」をご参照ください。

    (オプション) ステップ 7: ユーザーへの権限付与

    SSO ログイン後、ユーザーがリソースディレクトリ内の特定のメンバーアカウントの特定のリソースにアクセスできるようにするには、アクセス構成を作成し、ユーザーに権限を付与する必要もあります。

    1. CloudSSO でアクセス構成を作成し、アクセスポリシーを定義します。

      詳細については、「アクセス構成の作成」をご参照ください。

    2. リソースディレクトリ内のアカウントに対する権限をユーザーに付与します。

      詳細については、「リソースディレクトリ内のアカウントに対する権限の付与」をご参照ください。

    検証結果

    構成が完了したら、Alibaba Cloud または PingIdentity のいずれかから SSO ログインを開始できます。

    • Alibaba Cloud からの SSO ログインの開始

      1. CloudSSO コンソール[概要] ページで、ユーザーログイン URL をコピーします。

      2. 新しいブラウザでユーザーログイン URL を開きます。

      3. [リダイレクト] をクリックします。自動的に PingIdentity のログインページにリダイレクトされます。image.png

      4. PingIdentity のユーザー名とパスワードでログインします。ログイン後、指定された Default RelayState ページに自動的にリダイレクトされます。この例では、Default RelayState が指定されていないため、CloudSSO ユーザーポータルにリダイレクトされます。

    • PingIdentity からの SSO ログインの開始

      1. [アプリケーション] ページで、ステップ 2 で作成したアプリケーションを選択します。[概要] タブで、Initiate Single Sign-On URL をコピーします。

        image.png

      2. 新しいブラウザでログイン URL を開きます。

      3. PingIdentity のユーザー名とパスワードでログインします。ログイン後、指定された Default RelayState ページに自動的にリダイレクトされます。この例では、Default RelayState が指定されていないため、CloudSSO ユーザーポータルにリダイレクトされます。