本ドキュメントでは、内部アカウントが Alibaba Cloud リソースへのアクセスに使用される前に、内部エンタープライズアカウントの ID を認証する方法について説明します。

シナリオ

エンタープライズ A には、Alibaba Cloud リソースを使用する 2 つの部門があります。 各部門には、独自の (A1 と A2 という名前の) Alibaba Cloud アカウントがあります。 エンタープライズ A には、Microsoft Active Directory(AD)および Active Directory Federation Services(AD FS)という独自のドメインアカウントシステムがあります。

エンタープライズ A には、ID アクセス管理に関する厳しい要件があります。
  • Alibaba Cloud でのすべての操作は、エンタープライズ A のドメインアカウントシステムを介して ID 認証を通過させる必要があります。すべての従業員には独立したアカウントおよびパスワードを使用したクラウドリソースへのアクセスが禁止されています。
  • エンタープライズ A は、Alibaba Cloud RAM ユーザーをローカルドメインアカウントシステムと統合し、全従業員がローカルドメインアカウントを使用して Alibaba Cloud にログインし、許可されているクラウドリソースにアクセスするようにする必要があります。

ソリューション

関連概念

次の表に、このソリューションに関連する概念を示します。
概念 説明
ワークロードアカウント ECS インスタンス、RDS、OSS などの Alibaba Cloud リソースを購入します。
アイデンティティアカウント Alibaba Cloud アカウントで RAM ユーザーのみを作成します。
サービスプロバイダ IDP の ID 管理機能を使用して、特定のサービスアプリケーションをユーザーに提供します。 SP は、アイデンティティプロバイダ(IdP)によって提供されたユーザー情報を使用します。

エンタープライズに 2 つのワークロードアカウントがある場合は、次の手順に従います。

  1. 独立した ID アカウントを作成します。
  2. ID アカウントをサービスプロバイダとして使用し、それをローカル IdP と統合して SSO を実装します。
  3. RAM ロールを通じて Alibaba Cloud が提供するクロスアカウントアクセス機能を使用して、その RAM ユーザー(従業員)が他の Alibaba Cloud アカウントのリソースにアクセスすることを承認します。
図 1. プロセス

手順

  1. 新しい Alibaba Cloud アカウントを登録し、それを ID アカウント (A0) として使用します。
    A0 は、ユーザーの同期と SSO に関する問題を解決する場合に使用します。
  2. アカウント A0 を使用して RAM コンソールにログインし、SSO を設定します。
  3. 企業の AD FS で、サービスプロバイダとして A0 を追加します。
  4. クラウドリソースにアクセスする必要があるローカルドメインユーザーを RAM に同期させます。
  5. ワークロードアカウント A1 を使用して RAM コンソールにログインし、ワークロードアカウント A1 でクロスアカウント認証に使用できる RAM ロール(RAM ロール 1)を作成し、必要な権限を RAM ロール 1 に付与し、A0 を信頼される Alibaba Cloud アカウントとして設定します。
  6. ワークロードアカウント A2 を使用して RAM コンソールにログインし、ワークロードアカウント A2 でクロスアカウント認証に使用できる RAM ロール(RAM ロール 2)を作成し、必要な権限を RAM ロール 2 に付与し、A0 を信頼される Alibaba Cloud アカウントとして設定します。
  7. ID アカウント A0 の RAM ユーザーに、RAM ロール 1 または RAM ロール 2 を引き受ける権限を付与します。