CloudSSO は、Security Assertion Markup Language(SAML)2.0 に基づくシングルサインオン(SSO)をサポートしています。Alibaba Cloud はサービスプロバイダー(SP)です。企業の ID 管理システムは ID プロバイダー(IdP)です。SSO を使用すると、企業の従業員は IdP のユーザー ID を使用して CloudSSO にアクセスできます。CloudSSO を使用する場合、IdP から Alibaba Cloud への SSO を簡単に実装するために設定を 1 回構成するだけで済みます。
手順
CloudSSO から SP メタデータを取得します。
CloudSSO コンソールで SP メタデータをダウンロードして表示します。詳細については、「SSO を構成する」トピックのSP メタデータを取得するセクションをご参照ください。
IdP で Alibaba Cloud を信頼できる SAML SP として指定し、SAML アサーションを構成します。
特定の IdP で Alibaba Cloud を信頼できる SAML SP として指定した後、ユーザーをアプリケーションに関連付ける必要があります。構成方法は、IdP によって異なります。詳細については、IdP のドキュメントをご参照ください。
IdP から IdP SAML メタデータを取得します。
IdP から SAML メタデータファイルをダウンロードします。方法は IdP によって異なります。詳細については、IdP のドキュメントをご参照ください。
Cloud SSO コンソールで IdP を信頼できる SAML IdP として指定します。
IdP に関する SAML 情報を手動で構成するか、IdP の SAML メタデータファイルを直接アップロードします。SAML 情報を手動で構成する場合は、SSO の実装に必要な次のパラメーター(エンティティ ID、ログイン URL、および証明書)のみを構成できます。さらにパラメーターを構成する必要がある場合は、IdP クライアントを使用して IdP メタデータファイルを作成し、SAML メタデータファイルをアップロードします。
CloudSSO コンソールで SSO を有効にします。
詳細については、「SSO を構成する」トピックのSSO を有効にするセクションをご参照ください。
SCIM を使用してユーザーを同期するか、Cloud SSO コンソールで IdP ユーザーと同じユーザー名を持つユーザーを作成します。
IdP が System for Cross-domain Identity Management(SCIM)をサポートし、多数のユーザーがいる場合は、IdP のユーザーを Cloud SSO に直接同期できます。詳細については、SCIM を使用して Azure AD のユーザーまたはグループを同期するおよびSCIM を使用して Okta のユーザーまたはグループを同期するをご参照ください。
IdP のユーザー数が少ない場合は、CloudSSO コンソールで IdP ユーザーと同じユーザー名を持つユーザーを作成できます。ユーザーを作成するときは、
NameID属性を SAML アサーションのユーザーの名前に設定します。詳細については、「基本操作を実行する」トピックのユーザーを作成するセクションをご参照ください。
SSO を使用して IdP ユーザーとして CloudSSO にログインします。
参照
FAQ
詳細については、「SSO に関する FAQ」をご参照ください。