すべてのプロダクト
Search

このプロダクト

    CloudSSO:概要

    ドキュメントセンター

    CloudSSO:概要

    最終更新日:Jan 18, 2025

    アクセス構成は、CloudSSO ユーザーがリソースディレクトリ内のアカウントにアクセスするために使用する構成テンプレートです。このテンプレートには権限構成が含まれています。テンプレートを使用すると、リソースディレクトリ内のアカウントへのアクセス権限を CloudSSO ユーザーに割り当てることができます。

    要素

    アクセス構成は、次の要素で構成されます。

    • セッション期間: CloudSSO ユーザーがアクセス構成を使用してリソースディレクトリ内のアカウントにアクセスするセッションの期間。

    • リレー状態: CloudSSO ユーザーがアクセス構成を使用してリソースディレクトリ内のアカウントにアクセスした後に表示される最初の Web ページ。

    • 権限: CloudSSO ユーザーがリソースディレクトリ内のアカウントに対して持つアクセス権限のコレクション。

      • システムポリシー: Resource Access Management (RAM) システムポリシーが再利用されます。

      • インラインポリシー: インラインポリシーは RAM ポリシーの構文と構造に基づいて作成され、現在のアクセス構成でのみ有効になります。

    アクセス構成の初回プロビジョニング

    リソースディレクトリ内のアカウントに対するアクセス権限をユーザーまたはグループに割り当てるには、アクセス構成を指定する必要があります。アクセス構成が他のユーザーまたはグループにプロビジョニングされていない場合、CloudSSO はアクセス構成をプロビジョニングします。プロビジョニングには、次の構成が含まれます。

    • AliyunReservedSSO-<アクセス構成名> という名前の RAM ロールが作成されます。たとえば、TestAccessConfiguration アクセス構成がプロビジョニングされている場合、AliyunReservedSSO-TestAccessConfiguration という名前の RAM ロールが作成されます。

    • アクセス構成でインラインポリシーが構成されている場合、AliyunReservedSSO-<アクセス構成名>-InlinePolicy という名前の RAM カスタムポリシーが作成されます。たとえば、TestAccessConfiguration アクセス構成でインラインポリシーが構成されている場合、AliyunReservedSSO-TestAccessConfiguration-InlinePolicy という名前の RAM カスタムポリシーが作成されます。

    • すべてのシステムポリシーと、アクセス構成のインラインポリシー用に作成された RAM カスタムポリシーは、RAM ロールにアタッチされます。

    • リソースディレクトリ内のアカウントに対するアクセス権限が CloudSSO ユーザーに割り当てられていない場合、AliyunReservedSSO-<CloudSSO ディレクトリの ID> という名前の ID プロバイダー (IdP) が作成されます。これにより、CloudSSO ユーザーはロールベースのシングルサインオン (SSO) を使用してアカウントにアクセスできます。たとえば、アクセス構成が属する CloudSSO ディレクトリの ID が d-x0h0w370**** の場合、AliyunReservedSSO-d-x0h0w370**** という名前の IdP が作成されます。

    RAM コンソールで、リソースディレクトリ内のアカウントの、上記の RAM ロール、カスタムポリシー、および IdP を表示できます。ただし、変更または削除することはできません。

    詳細については、「リソースディレクトリ内のアカウントにアクセス権限を割り当てる」をご参照ください。

    アクセス構成の再プロビジョニング

    リソースディレクトリ内のアカウントに対してアクセス構成がプロビジョニングされているが、アクセス構成に次の変更のいずれかが行われた場合は、変更を有効にするためにアクセス構成を手動で再プロビジョニングする必要があります。これは、変更をアカウントに自動的に適用できないためです。

    • システムポリシーが追加または削除された。
    • インラインポリシーが作成、変更、または削除された。
    説明 セッション期間とリレー状態が変更された場合は、アクセス構成を再プロビジョニングする必要はありません。

    詳細については、「アクセス構成を再プロビジョニングする」をご参照ください。

    アクセス構成のプロビジョニング解除

    リソースディレクトリ内のアカウントからアクセス構成のプロビジョニングを解除できます。次に例を示します。

    • アクセス構成を使用する最後の CloudSSO ID からアクセス権限を削除するときに、アクセス構成のプロビジョニングも解除できます。

    • リソースディレクトリ内のアカウントにプロビジョニングされているすべてのアクセス構成を参照するときに、不要なアクセス構成のプロビジョニングを解除できます。

    • リソースディレクトリ内でアクセス構成がプロビジョニングされているすべてのアカウントを参照するときに、不要なアクセス構成のプロビジョニングを解除できます。

    詳細については、「アクセス構成のプロビジョニングを解除する」をご参照ください。

    参照