このトピックでは、ロールベース シングルサインオン (SSO) のために、Alibaba Cloud をご利用の ID プロバイダー (IdP) の信頼済み Security Assertion Markup Language (SAML) サービスプロバイダー (SP) として構成する方法について説明します。
操作手順
Resource Access Management (RAM) コンソールで、Alibaba Cloud の SAML SP メタデータ URL を取得します。
SAML SP メタデータ URL は、
https://signin.alibabacloud.com/saml-role/sp-metadata.xmlです。ご利用の IdP で SAML SP を作成し、以下のいずれかの方法を使用して Alibaba Cloud を信頼済みパーティとして構成します。
ステップ 1 でコピーした Alibaba Cloud の SAML SP メタデータ URL を使用します。
ご利用の IdP が信頼済みパーティの URL ベースの構成をサポートしていない場合は、ステップ 1 でコピーした URL からメタデータファイルをダウンロードし、メタデータファイルをアップロードします。
ご利用の IdP がメタデータファイルのアップロードを許可していない場合は、以下のパラメーターを構成します。
Entity ID:urn:alibaba:cloudcomputing:internationalACS URL:https://signin.alibabacloud.com/saml-role/ssoRelayState: このパラメーターはオプションです。ご利用の IdP がRelayStateパラメーターを要求する場合は、パラメーターの値を URL に設定します。SSO の成功後、ユーザーは URL にリダイレクトされます。このパラメーターを構成しない場合、SSO の成功後、ユーザーは Alibaba Cloud マネジメントコンソール のホームページにリダイレクトされます。説明セキュリティ上の目的のため、
RelayStateパラメーターには Alibaba ウェブサイトを指す URL を入力する必要があります。たとえば、URL のドメイン名は *.aliyun.com、*.hichina.com、*.yunos.com、*.taobao.com、*.tmall.com、*.alibabacloud.com、または *.alipay.com である必要があります。
次のステップ
Alibaba Cloud を信頼済み SAML SP として構成した後、ご利用の IdP の SAML アサーションを構成する必要があります。詳細については、「ロールベース SSO のための SAML 応答」をご参照ください。