ここでは、ユーザーベースの SSO 用 ID プロバイダー (IdP) によって発行される SAML アサーションで NameID 要素を設定する方法について説明します。

背景情報

Alibaba Cloud は UPN (User Principal Name) を使用して RAM ユーザーを特定します。 このため、IdP が生成する SAML レスポンスには、RAM ユーザーの UPN が含まれている必要があります。 ユーザーベースの SSO を実装するには、SAML アサーションの NameID 要素を解決し、対応する RAM ユーザーの UPN にこの要素をマッピングします。

IdP によって発行された SAML アサーションを設定する場合は、対象の RAM ユーザーの UPN を SAML アサーションの NameID 要素にマッピングする必要があります。

NameID 要素の設定

NameID 要素には、以下のサフィックスのいずれかを含める必要があります。

  • Alibaba Cloud アカウントのドメインエイリアス。例:<username>@<domain_alias> <username> サブ要素は RAM ユーザーのユーザー名で、<domain_alias> サブ要素はドメインエイリアスです。 ドメインエイリアスの指定方法については、「ドメインエイリアスの作成」をご参照ください。
  • 補助ドメイン名 : <username>@<auxiliary_domain> <username> サブ要素は RAM ユーザーのユーザー名で、<auxiliary_alias> サブ要素は補助ドメイン名です。 デフォルトドメイン名の指定方法については、「ユーザーベース SSO 用 SAMLの構成」をご参照ください。
    ドメインエイリアスと補助ドメイン名の両方を指定した場合、ドメインエイリアスが NameID 要素のサフィックスとして使用されます。
  • Alibaba Cloud アカウントのデフォルトドメイン名:<username>@<default_domain> <username> サブ要素は RAM ユーザーのユーザー名で、<default_domain> サブ要素はデフォルトのドメイン名です。 デフォルトドメイン名の指定方法については、「デフォルトドメイン名の管理」をご参照ください。
    ドメインエイリアスか、補助ドメイン名が設定されたとしても、Alibaba Cloud アカウントのデフォルトドメイン名を NameID 要素のサフィックスとして使用できます。

ここでは、NameID 要素を設定する方法について例を用いて説明します。 この例では、Alibaba Cloud アカウントで Alice という名の RAM ユーザーを作成し、Alibaba Cloud アカウントのデフォルトのドメイン名を example.onaliyun.com とします。
  • Alibaba Cloud アカウントのドメインエイリアスを example.com 指定した場合、SAML アサーションの NameID 要素の値は Alice@example.onaliyun.com またはAlice@example.com となります。
  • ドメインエイリアスを指定せずに補助ドメイン名を example2.com に指定した場合、SAML アサーションの NameID 要素の値は Alice@example.onaliyun.com または Alice@example2.com になります。
  • Alibaba Cloud アカウントのドメインエイリアスを example.com に指定し、補助ドメイン名を example2.com に指定した場合、SAML アサーションの NameID 要素の値は Alice@example.onaliyun.com または Alice@example.com となります。