すべてのプロダクト
Search

このプロダクト

    Resource Access Management:IDaaS を使用したユーザーベースの SSO の実装

    ドキュメントセンター

    Resource Access Management:IDaaS を使用したユーザーベースの SSO の実装

    最終更新日:Aug 25, 2025

    このトピックでは、IDaaS で Alibaba Cloud のユーザーベースのシングルサインオン (SSO) を構成する方法について説明します。この構成により、企業メンバーは Resource Access Management (RAM) ユーザーとして Alibaba Cloud にアクセスできます。

    手順

    ステップ 1: アプリケーションを作成する

    1. Alibaba Cloud IDaaS コンソール にログインします。

    2. IDaaS インスタンスを選択し、操作列の [コンソールにアクセス] をクリックします。image

    3. [アプリケーション] > [アプリケーションを追加] > [マーケットプレイス] に移動し、Alibaba Cloud ユーザー SSO アプリケーションテンプレートを検索します。 [アプリケーションを追加] をクリックします。

      image.png

    4. アプリケーション名を確認し、[今すぐ追加] をクリックします。

      image.png

    ステップ 2: アプリケーションのシングルサインオンを構成する

    1. アプリケーションを追加すると、自動的にシングルサインオン構成ページにリダイレクトされます。

      image

    2. Alibaba Cloud アカウント ID を入力します。 ID を取得するには、右上隅にあるプロフィール写真をクリックし、[Alibaba Cloud 管理コンソールホームページ] > [アカウントセンター] に移動します。 アプリケーションアカウント名プロパティを選択します。 ユーザーが SSO を使用してログインすると、このフィールドはプライマリキーとして使用され、Alibaba Cloud の RAM ユーザーにマッピングされてログインが完了します。テスト目的でのみ、認証範囲をすべてのユーザーに設定し、IDaaS アカウントへの権限の割り当て手順を一時的にスキップします。

      image

    1. [アプリケーション構成情報] セクションで、ID プロバイダー (IdP) メタデータをダウンロードし、コンピューターに保存します。 このファイルは、Alibaba Cloud と IDaaS 間の信頼関係を確立するために使用されます。

      image.png

    1. IDaaS アカウント名が RAM ユーザーのログイン名 (ユーザー名プレフィックス) と同じ場合は、[アプリケーションアカウント][IDaaS アカウント名] を選択します。

      image

      IDaaS アカウント名が RAM ユーザーのログイン名と異なる場合は、[アプリケーションアカウント][アプリケーションアカウント] を選択します。 [アプリケーションアカウント] タブで、SSO 用の IDaaS アカウントを選択し、対応する RAM ユーザーのログイン名プレフィックスを入力して、アカウントをマッピングします。

      image

    ステップ 3: Alibaba Cloud でユーザーベースの SSO を構成する

    1. Alibaba Cloud RAM コンソール にログインします。

    2. 左側のナビゲーションウィンドウで、[SSO 管理] をクリックします。

    3. [ユーザー SSO] タブで、現在の SSO ログイン設定を表示します。

    4. [編集] をクリックします。 次に、[有効化] SSO 機能を有効にし、ステップ 2 で IDaaS からダウンロードした IdP メタデータをアップロードします。補助ドメイン名を有効にする必要はありません。image

    5. [OK] をクリックして構成を完了します。

    ステップ 4 (オプション): Alibaba Cloud で RAM ユーザーの権限を構成する

    既存の RAM ユーザーがいる場合、または IDaaS から Alibaba Cloud にアカウントを同期する場合があります。 詳細については、「アカウント同期 - イベントコールバック」をご参照ください。 その場合は、左側のナビゲーションウィンドウの [ユーザー] セクションで、これらのユーザーに必要な権限を割り当てる必要があります。 これにより、Alibaba Cloud リソースへの適切なアクセスが確保されます。 SSO 機能のみをテストする場合は、この手順をスキップできます。

    image

    ステップ 5: SSO をテストする

    1. IDaaS または Alibaba Cloud からユーザーベースの SSO を開始します。

      • IdP 開始 SSO: Alibaba Cloud ユーザー SSO アプリケーションの権限を持つ IDaaS アカウントを使用して、IDaaS アプリケーションポータルにログインします。 アプリケーションアイコンをクリックして、Alibaba Cloud への SSO を開始します。image

      • SP 開始: シークレットブラウザウィンドウで Alibaba Cloud ログインページを開きます。 ページ下部の [RAM ユーザーログイン] をクリックし、RAM ユーザー名を入力して、[次へ] をクリックします。 image

    2. プロンプトが表示されます。 [エンタープライズアカウントでログイン] をクリックするか、ログインリンクをコピーします。 すでに IDaaS アプリケーションポータルにログインしている場合は、Alibaba Cloud に直接ログインします。 それ以外の場合は、IDaaS ログインページにリダイレクトされます。 IDaaS にログインすると、Alibaba Cloud に自動的にログインします。

      image.png