カスタムドメイン - Identity as a Service - Alibaba Cloud ドキュメントセンター

概要

カスタムドメイン機能を使用すると、ログインページやユーザーポータルなどの IDaaS EIAM ページの URL をお客様が所有するドメインに置き換え、ブランドの一貫性を維持できます。

プロキシサービスを設定することで、IDaaS EIAM にアクセスできるユーザーを制御することもできます。たとえば、アプリケーションポータルへのアクセスを特定の IP アドレスのユーザーに制限できます。

基本概念

用語	説明
初期ドメイン	IDaaS EIAM インスタンスの作成時に割り当てられるシステム生成ドメインで、`xxxx.aliyunidaas.com` という形式です。
カスタムドメイン	お客様が所有し、IDaaS EIAM インスタンスに追加するドメインです。例： `xxxx.example.com`
デフォルトドメイン	IDaaS EIAM インスタンスがデフォルトで使用するドメインです。初期ドメインまたはカスタムドメインのいずれかを選択する必要があります。自動リダイレクトが有効な場合、初期ドメインにアクセスすると、ユーザーはデフォルトドメインにリダイレクトされます。

潜在的リスク

カスタムドメインの設定は、以下の機能に影響します。カスタムドメインを有効にする前後に、これらの影響を確認し、設定を調整してください。

影響を受けるオブジェクト	機能	説明
ユーザーポータル	ログインページ	ログインページの URL にはドメインが含まれます。
ユーザーポータル	アプリケーションポータル	アプリケーションポータルの URL にはドメインが含まれます。
DingTalk ID プロバイダー - アウトバウンド	QR コードログイン/Workbench シングルサインオン (SSO)	DingTalk のコールバックドメインは、常に初期ドメインを使用する必要があります。
DingTalk ID プロバイダー - アウトバウンド	IDaaS アプリケーションポータルまたはアプリケーションへの SSO	アプリケーションのホームページ URL にはドメインが含まれます。
WeCom ID プロバイダー - インバウンド	QR コードログイン	ユーザーがアクセスするドメイン (ユーザーポータルや、カスタム、OIDC、SAML アプリケーションへの直接アクセスなど) は、WeCom の認可コールバックドメインと一致する必要があります。一致しない場合、ユーザーは WeCom QR コードを使用してログインできません。
WeCom ID プロバイダー - インバウンド	Web ページ認可ログイン (Workbench SSO) および機密データ同期	ユーザーがアクセスするドメイン (ユーザーポータルや、カスタム、OIDC、SAML アプリケーションへの直接アクセスなど) は、WeCom の信頼できるドメインと一致する必要があります。一致しない場合、ユーザーは WeCom の Web ページ認可ログインや機密データ同期を使用できません。
OIDC アプリケーション/カスタムアプリケーション	認可エンドポイント	インスタンスが 1 つのカスタムドメインのみを使用する場合、初期ドメインをデフォルトとして維持し、カスタムドメインをデフォルトドメインとして設定して、自動リダイレクトを有効にすることを推奨します。そうしないと、SSO 中にユーザーが再度ログインする必要がある場合があります。インスタンスが複数のカスタムドメインを必要とする場合、認可エンドポイントはユーザーのログインページのドメインと一致する必要があります。そうしないと、SSO 中にユーザーが再度ログインする必要がある場合があります。
OIDC アプリケーション/カスタムアプリケーション	ログアウトエンドポイント
SAML アプリケーション	IdP メタデータ URL	インスタンスが 1 つのカスタムドメインのみを使用する場合、初期ドメインをデフォルトとして維持し、カスタムドメインをデフォルトドメインとして設定して、自動リダイレクトを有効にすることを推奨します。そうしないと、SSO 中にユーザーが再度ログインする必要がある場合があります。インスタンスが複数のカスタムドメインを必要とする場合、IdP メタデータ URL はユーザーのログインページのドメインと一致する必要があります。そうしないと、SSO 中にユーザーが再度ログインする必要がある場合があります。
SAML アプリケーション	SSO URL
WebAuthn	オーセンティケーターの登録	WebAuthn オーセンティケーターは、登録されたドメインでのみ機能します。たとえば、ユーザーがドメイン A でオーセンティケーター A1 を登録した場合、ドメイン B からログインする際には A1 を使用できず、ドメイン B で新しいオーセンティケーターを登録する必要があります。ユーザーは、異なるドメインに対して複数のオーセンティケーターを持つことができます。

前提条件

項目	説明
ドメイン	IDaaS EIAM 専用のドメイン。第 1 レベルまたは第 2 レベルのドメインを使用することを推奨します。
DNS レコードを管理する権限	ドメインの所有権を検証するために、DNS プロバイダーのコンソール (例： Alibaba Cloud DNS) で 1 つまたは 2 つの DNS レコードを追加し、その後、ドメインをお客様のプロキシサーバーに名前解決する必要があります。
ICP 申告番号	Web サイトが中国本土でホストされている場合は、ドメインの ICP 申告番号を提供する必要があります。
Edge Security Acceleration (ESA) の有効化	ESA サービスを有効化する必要があります。
プロキシサービスを管理する権限	プロキシサービス (Alibaba Cloud DCDN や Alibaba Cloud ESA など) で、ドメインの HTTPS 証明書、オリジンホスト、その他の設定を構成する必要があります。
トライアルまたはアップグレードされたインスタンス	トライアルおよび Enterprise Edition のインスタンスのみがカスタムドメインをサポートしています。インスタンスを試すか、既存のインスタンスをアップグレードしてください。

説明

カスタムドメイン機能自体に追加料金はかかりません。ただし、プロキシサービス (Alibaba Cloud ESA または DCDN) は使用量に基づいて課金されます。料金の詳細については、対応する課金ドキュメントをご参照ください。

カスタムドメインの追加

左側のナビゲーションペインで、Branding > [カスタムドメイン] をクリックし、次に Add Custom Domain Name をクリックします。

重要

カスタムドメインは、ログイン、SSO、データ同期に影響を与える可能性があります。業務の中断を避けるため、続行する前に潜在的リスクを確認してください。

ステップ 1：ドメインの入力

カスタムドメイン (例： login.example.com) を入力します。このドメインは、すべての IDaaS EIAM インスタンスでグローバルに一意である必要があります。ドメインのみを入力し、パスやパラメーターは含めないでください。ドメインには小文字の英字、数字、ハイフン (-)、ピリオド (.) を含めることができ、最大長は 128 文字です。

重要

IDaaS EIAM チームがお客様のインスタンスを保護しますが、IDaaS EIAM インスタンスに対するクロスサイトスクリプティング (XSS) 攻撃が成功した場合、理論的には同じ親ドメイン下の他のサブドメインに対するクロスサイトリクエストフォージェリ (CSRF) 攻撃が可能になる可能性があります。カスタムドメインからのクロスオリジンリソース共有 (CORS) リクエストをブロックするか、別の親ドメインをカスタムドメインとして使用することを推奨します。

ステップ 2：DNS レコードの追加

Alibaba Cloud DNS などの DNS プロバイダーに移動して、DNS レコードを追加します。これにより、ドメインの所有権が検証されます。特定の IDaaS EIAM インスタンスとカスタムドメインに対して、レコードタイプ、名前、値は固定です。DNS 管理権限がない場合は、他の人にレコードの追加を依頼できます。

以下のドキュメントは、特定のプロバイダーで DNS レコードを追加する手順を説明しています。

ステップ 3：ICP 申告番号の入力

インターネット情報サービス管理弁法によると、Web サイトが中国本土でホストされている場合、エンティティまたは Web サイトの ICP 申告番号を提供する必要があります。現地の規制を遵守するため、中国本土内の Alibaba Cloud リージョンにある IDaaS EIAM インスタンスでカスタムドメイン機能を使用する場合は、ICP 申告番号の提供が必須です。申告番号は、インスタンスのログインページに表示されます。

ステップ 4：プロセスの完了

情報に誤りがないことを確認したら、Added をクリックしてカスタムドメインを追加します。カスタムドメインが使用可能になるには、プロキシ設定も完了している必要があります。

プロキシサービスの設定

ユーザーまたはアプリケーションがカスタムドメインを介して IDaaS EIAM にアクセスすると、プロキシサービスがリクエストを転送します。プロキシの高可用性を確保する責任はお客様にあります。ニーズに応じて、次のいずれかのプロキシオプションを選択してください。

説明

3 つのプロキシオプションの比較：

Alibaba Cloud ESA：エッジセキュリティアクセラレーション。CDN アクセラレーションと WAF 保護が必要なシナリオに最適です。
Alibaba Cloud DCDN：動的 CDN アクセラレーション。設定が簡単です。迅速なセットアップが必要なシナリオに最適です。
Nginx：自己管理型プロキシ。柔軟性が高く、完全に制御可能です。すでに Nginx インフラストラクチャを使用しているシナリオに最適です。

迅速かつ簡単なセットアップには、Alibaba Cloud DCDN を推奨します。CDN アクセラレーションと WAF 保護には、Alibaba Cloud ESA を使用してください。完全な制御が必要な既存の Nginx インフラストラクチャの場合は、Nginx を使用してください。

Alibaba Cloud ESA (Edge Security Acceleration)

ステップ 1：ESA サイトの追加

Alibaba Cloud ESA コンソールに移動します。左側のナビゲーションペインで、サイト管理 > サイトを追加 をクリックします。コンソールウィザードに従って サイトの入力 > エリアと接続方式の選択 > プランの選択 の設定を完了し、お支払いへ進む をクリックします。

ステップ 2：DNS レコードの追加 (プロキシアクセラレーション)

ナビゲーションバーで、サイト管理 をクリックし、目的のサイトをクリックします。
DNS > レコード を選択し、レコードの追加 をクリックします。

詳細については、「DNS レコードの手動追加」をご参照ください。

ステップ 3：HTTPS 証明書の設定

ナビゲーションバーでサイト管理 をクリックし、対象のサイトをクリックします。
エッジ証明書 を選択し、カスタム証明書のアップロード をクリックします。

詳細については、「エッジ証明書の設定」をご参照ください。

ステップ 4：オリジンホストの設定

ナビゲーションバーで、サイト管理 をクリックし、目的のサイトをクリックします。
ルール > back-to-origin ルール を選択し、ルールを追加 をクリックします。

詳細については、「オリジンホストのカスタマイズ」をご参照ください。

ステップ 5：オリジンリクエストヘッダーの設定

ナビゲーションバーで、サイト管理をクリックし、対象のサイトをクリックします。
ルール > 変換ルールを選択します。リクエストヘッダーの変更 タブで、リクエストタイプ を選択し、リクエストヘッダーの変更 をクリックし、適用可能なリソースの タイプ と操作を選択して、リクエストヘッダー名 と リクエストヘッダー値を入力 を入力します。
1. 1 番目のレコード： Type: Static; Action: Add; Header Name: X-IDaaS-Client-IP; Header Value: $remote_addr。
2. 2 番目のレコード： Type: Static; Action: Add; Header Name: X-IDaaS-Host; Header Value: IDaaS EIAM インスタンスの初期ドメイン (例: xxxx.aliyunidaas.com)。
3. 3 番目のレコード： Type: Static; Action: Add; Header Name: X-IDaaS-Proxy-Token; Header Value: プロキシ設定ページで取得したプロキシトークン。
必要な値を見つけるには、IDaaS EIAM コンソールに移動し、左側のナビゲーションペインでBranding > Custom Domain Nameをクリックし、カスタムドメインを見つけ、ActionsをクリックしてProxy Configuration タブを開きます。

詳細については、「発信リクエストヘッダーの変更」をご参照ください。

Alibaba Cloud DCDN

ステップ 1：ドメインの追加

Alibaba Cloud DCDN コンソールの [Domain Names] ページでドメインを追加します。

Accelerated Domain Name：カスタムドメイン。
Origin Info：
- [Origin Type] を [Origin Domain] に設定します。
- IDaaS EIAM インスタンスの初期ドメインを入力します (https:// プレフィックスなし)。
- ポート 443 を選択します。

ドメインを追加した後、DCDN から CNAME レコードをコピーし、DNS プロバイダーの設定に追加します。詳細については、「CNAME レコードの設定」をご参照ください。

ステップ 2：HTTPS 証明書の設定

Alibaba Cloud DCDN コンソールで、ドメイン名ページに移動し、[ドメイン詳細] ページを開き、[HTTPS] 設定で HTTPS 証明書を設定します。詳細については、「HTTPS 証明書を設定する」をご参照ください。

ステップ 3：オリジンホストの有効化

引き続き「ドメイン詳細」ページで、Back-to-origin Configuration に移動し、Origin Host を有効にします。

ドメインタイプを [Origin Domain] に設定します。これにより、IDaaS EIAM インスタンスの初期ドメインが自動的に選択されます。

ステップ 4：オリジン HTTP ヘッダーの追加

引き続きドメイン詳細ページで、Back-to-origin Configurationに移動し、[カスタムオリジン HTTPS ヘッダー] をクリックして IP、Host、Token 情報を追加します。これらのヘッダーは、IP アドレスのなりすましを防止し、アクセスセキュリティを向上させるのに役立ちます。

Nginx の設定

ステップ 1：Nginx のインストール

ソースからのインストール

# インストールパッケージをダウンロード
wget http://nginx.org/download/nginx-1.18.0.tar.gz

# アーカイブを展開
tar -zxvf nginx-1.18.0.tar.gz
cd nginx-1.18.0

# Nginx のインストールディレクトリを設定および指定
./configure --prefix=/usr/local/nginx

# コンパイルとインストール
make && make install

# インストールの確認
cd /usr/local/nginx/sbin
./nginx -t

説明

インストールが成功すると、次の出力が返されます。

nginx: the configuration file /usr/local/nginx//conf/nginx.conf syntax is ok

nginx: configuration file /usr/local/nginx//conf/nginx.conf test is successful

CentOS/AlmaLinux/RHEL

# EPEL リポジトリをインストール (一部のシステムで必要)
sudo yum install epel-release -y

# Nginx をインストール
sudo yum install nginx -y

# Nginx サービスを開始
sudo systemctl start nginx

# 起動時の自動開始を有効化
sudo systemctl enable nginx

# サービスの状態を確認
sudo systemctl status nginx

Ubuntu/Debian

# パッケージリストを更新
sudo apt update

# Nginx をインストール
sudo apt install nginx -y

# Nginx サービスを開始
sudo systemctl start nginx

# 起動時の自動開始を有効化
sudo systemctl enable nginx

# サービスの状態を確認
sudo systemctl status nginx

ステップ 2：Nginx 設定の変更

Nginx 設定ファイルのパスを見つけます。
```
nginx -t
```

ドメインプロキシを設定します。

nginx.conf ファイルの http ブロック内にある server ブロックを編集します。

カスタムドメイン (例： www.example.com) からのリクエストを IDaaS ドメイン *****.aliyunidaas.com に転送するようにリバースプロキシを設定します。

server {
    # HTTPS ポートでリッスンし、SSL を有効化
    listen 443 ssl;

    # 転送するドメインを設定 (カスタムドメイン)
    server_name www.example.com;

    location / {
        # リバースプロキシのターゲット (IDaaS インスタンスドメイン)
        proxy_pass https://*****.aliyunidaas.com;

    }
}

HTTP から HTTPS へのリダイレクト。

セキュリティと SEO を向上させるために、カスタムドメインの HTTP トラフィックを HTTPS にリダイレクトします。

# HTTP サーバーブロック (ポート 80 でリッスン)
server {
    listen 80;
    server_name www.example.com;

    # HTTP リクエストを HTTPS にリダイレクト
    location / {
        return 301 https://$host$request_uri;
    }
}

SSL 証明書の設定。

証明書ファイルを準備し、Nginx サーバーにアップロードします。

Nginx 設定ファイルを編集します。

server {
    # HTTPS サーバーブロック (ポート 443 でリッスン)
    listen 443 ssl;
    server_name www.example.com;

    # SSL 証明書のパス (実際のパスに置き換えてください)
    ssl_certificate      /usr/local/nginx/ssl/www.example.com.crt;
    ssl_certificate_key /usr/local/nginx/ssl/www.example.com.key;

    # SSL 設定 (オプションの最適化)
    ssl_protocols TLSv1.2 TLSv1.3;
    ssl_ciphers HIGH:!aNULL:!MD5;

}

IDaaS オリジンリクエストヘッダーの設定

nginx.conf ファイルの http ブロック内にある server ブロックを編集します。

proxy_set_header を使用してオリジンリクエストヘッダーを設定します。

    # IDaaS オリジンリクエストヘッダーを設定
    location / {
        proxy_pass https://***.aliyunidaas.com;

        # クライアントの実際の IP アドレスを渡す
        proxy_set_header X-IDaaS-Client-IP $remote_addr;

        # ホストヘッダーを渡す (IDaaS インスタンスの初期ドメイン)
        proxy_set_header X-IDaaS-Host ***.aliyunidaas.com;

        # プロキシ認証トークン (IDaaS コンソールからプロキシトークンを取得)
        proxy_set_header X-IDaaS-Proxy-Token ;

        # 元のホストヘッダーを保持 (オプション)
        proxy_set_header Host $host;


    }

ステップ 3：Nginx の再起動

ソースからのインストール

sudo /usr/local/nginx/sbin/nginx -s reload

CentOS/AlmaLinux/RHEL

sudo service nginx restart

Ubuntu/Debian

sudo systemctl restart nginx

プロキシ設定の検証

IDaaS EIAM コンソールで、左側のナビゲーションウィンドウで Branding > Custom Domain Name をクリックします。カスタムドメインを見つけ、Actions をクリックし、次に Proxy Configuration をクリックします。設定したプロキシのタブに切り替え、Test Connection をクリックして、IDaaS EIAM インスタンスからカスタムドメインへのアクセスをシミュレートします。ドメイン自体にアクセスポリシー (たとえば、オフィスネットワークの IP のみを許可するなど) がある場合があるため、テスト結果は参考用です。最も信頼性の高い結果を得るには、シミュレートされたユーザー環境からテストすることを推奨します。

テストが成功した後、潜在的リスクに基づいて関連設定を確認および調整し、カスタムドメインをユーザーに提供します。ユーザーが引き続き初期ドメインを使用する場合は、自動リダイレクトを有効化します。

ドメインステータス

ドメインには独自のアクセスポリシー (オフィスネットワークの IP からのアクセスのみを許可するなど) がある場合があるため、IDaaS EIAM はカスタムドメインが正しく動作しているかどうかを確認できません。可用性ステータスは、インスタンスでカスタムドメイン機能が有効になっていることを示すだけで、ドメインがアクセス可能であることを保証するものではありません。カスタムドメインが正しく動作していることを確認する必要があります。

デフォルトドメインの変更

デフォルトドメインには 2 つの目的があります。

Automatic Redirect 機能が有効になっている場合、初期ドメインにアクセスするユーザーまたはアプリケーションは、デフォルトドメインに自動的にリダイレクトされます。
ユーザーポータルの URL やログイン URL など、コンソールの複数の場所に表示されます。

重要

カスタムドメインをデフォルトドメインとして選択し、自動リダイレクトを有効にする場合、カスタムドメインが利用できなくなった (たとえば、インスタンスの有効期限が切れた) 場合は、手動でデフォルトドメインを変更する必要があります。そうしないと、ユーザーやアプリケーションがインスタンスにアクセスできなくなる可能性があります。

自動リダイレクトの有効化

自動リダイレクトは、ユーザーとアプリケーションをインスタンスの初期ドメインからデフォルトドメインに転送します。カスタムドメインへのアクセスはリダイレクトをトリガーしません。1 つのカスタムドメインのみを使用する場合は、それをデフォルトドメインとして設定し、自動リダイレクトを有効にします。これにより、ユーザーは初期ドメインまたはカスタムドメインのどちらにアクセスしても、シームレスに SSO を実行できます。SSO 設定の変更は必要ありません。

自動リダイレクトを有効にしない場合や、複数のカスタムドメインが必要な場合は、アプリケーションの SSO やその他の設定を調整する必要があります (「潜在的リスク」をご参照ください)。そうしないと、ユーザーは SSO 中に再度ログインする必要があったり、WeCom QR コードを使用してログインできなくなったりする可能性があります。

カスタムドメインの削除

重要

カスタムドメインを削除する前に、それがまだ使用されているかどうか (たとえば、ID プロバイダーやアプリケーションの SSO 設定で) を確認してください。確認ダイアログに表示される最終使用時間は参考用です。これは proxy_token の最終使用も反映しており、プロキシ設定で直接確認できます。

IDaaS EIAM コンソールで、左側のナビゲーションペインでBranding > Custom Domain Nameをクリックし、カスタムドメインを見つけ、Actionsをクリックし、次にDeleteをクリックします。

削除後、カスタムドメインは IDaaS EIAM インスタンスにアクセスできなくなります。誤ったドメイン転送を防ぐために、DNS プロバイダーとプロキシサービスから対応する設定を削除してください。