すべてのプロダクト
Search

このプロダクト

    Identity as a Service:Alibaba Cloud ロールベース SSO

    ドキュメントセンター

    Identity as a Service:Alibaba Cloud ロールベース SSO

    最終更新日:Nov 09, 2025

    この Topic では、Alibaba Cloud IDaaS でロールベースのシングルサインオン (SSO) を構成する方法について説明します。ロールベース SSO を使用すると、メンバーごとに Resource Access Management (RAM) ユーザーを作成する必要がなくなります。

    ステップ 1:IDaaS でアプリケーションを作成する

    1. IDaaS コンソールにログインします。

    2. IDaaS インスタンスを選択し、[操作] 列の Manage をクリックします。image

    3. [アプリケーション] > [アプリケーションの追加] > [マーケットプレイス] に移動し、Alibaba Cloud ロールベース SSO アプリケーションテンプレートを検索して、[アプリケーションの追加] をクリックします。

      image.png

    4. アプリケーション名を確認し、[追加] をクリックします。

      image.png

    ステップ 2: IDaaS でアプリケーション SSO を構成する

    1. アプリケーションを追加すると、アプリケーション SSO 構成ページに自動的にリダイレクトされます。

      image

    2. SSO 設定を構成します。

      1. Alibaba Cloud アカウント ID: この ID は、コンソールのホームページでプロファイル画像をクリックするか、アカウントセンターに移動して取得できます。

        image.png

      2. ID プロバイダー名: 名前には、文字、数字、および次の特殊文字のみを含めることができます: .-_。特殊文字で開始または終了することはできません。

      3. アプリケーションアカウント: このアカウントは、SSO 中に RAM ロールと照合するためのプライマリキーとして使用されます。

      4. 認可範囲: テスト目的で、「すべてのユーザー」を選択して、権限割り当てステップをスキップします。

    1. [アプリケーション構成情報] セクションで、[ダウンロード] をクリックして ID プロバイダー (IdP) メタデータファイルを保存します。このファイルは、Alibaba Cloud と IDaaS の間に信頼関係を確立するために使用されます。

      image.png

    1. [シングルサインオン] > [アプリケーションアカウント] で、[アプリケーションアカウントの追加] をクリックします。

    1. Alibaba Cloud ロールベース SSO を使用するアカウントを選択し、それらのアプリケーションアカウントを追加します。アプリケーションアカウント名は、Alibaba Cloud RAM ロール名と同一である必要があります。1 つの IDaaS アカウントが複数の Alibaba Cloud RAM ロールに対応する場合は、複数のアプリケーションアカウントを作成できます。

      image

    ステップ 3: RAM でロールベース SSO を構成する

    1. RAM コンソール にログオンします。

    2. 左側のナビゲーションウィンドウで、[統合] > [SSO] を選択します。

    3. [ロールベース SSO] タブで、[SAML] タブをクリックし、[IdP の作成] をクリックします。

      image.png

    4. ID プロバイダーの名前を入力します。名前は、ステップ 2 で指定した ID プロバイダー名と同じである必要があります。ステップ 2 で IDaaS からダウンロードした IdP メタデータファイルをアップロードします。[ID プロバイダーの作成] をクリックします。

      image.png

    ステップ 4:RAM で ID プロバイダーの権限を構成する

    1. RAM コンソール にログインします。

    2. 左側のナビゲーションウィンドウで、[ID] > [ロール] を選択します。

    3. [ロール] ページで、[ロールの作成] をクリックします。image

    4. [ロールの作成] ページで、右上隅の [ポリシーエディターに切り替え] をクリックします。image

    5. [ID プロバイダー] を選択し、[編集] をクリックします。[ID プロバイダータイプ] で、ステップ 3 で作成した ID プロバイダーを選択し、[OK] をクリックします。image

    6. [ロールの作成] ダイアログボックスで、[ロール名] を入力し、[OK] をクリックします。[ロール名] は、ステップ 2 で指定したアプリケーションアカウント名と同じである必要があります。

      image

    1. RAM ロールに権限を付与できます。このロールを使用して Alibaba Cloud に SSO するすべての IDaaS アカウントには、同じ権限が付与されます。

      image

    ステップ 5:SSO を確認する

    1. [Alibaba Cloud ロールベース SSO] アプリケーションの権限を持つ IDaaS アカウントを使用して IDaaS アプリケーションポータルにログインします。ポータルページで、[Alibaba Cloud ロールベース SSO] アイコンをクリックして SSO を開始します。

      image.png

    1. IDaaS アカウントに、異なる Alibaba Cloud RAM ロールに対応する複数のアプリケーションアカウントがある場合は、SSO に使用するアカウントを 1 つ選択する必要があります。

      image

    1. 適切なアプリケーションアカウントを選択し、[OK] をクリックして、選択したロールを使用して Alibaba Cloud にログインします。