この Topic では、Alibaba Cloud で Security Assertion Markup Language (SAML) 2.0 設定を構成して、企業の ID プロバイダー (IdP) との信頼を確立する方法について説明します。この構成は、ユーザーベースのシングルサインオン (SSO) を有効にするために必要なステップです。
背景情報
SAML ベースの SSO 構成を簡素化するために、Alibaba Cloud アカウントのデフォルトドメイン名、ドメインエイリアス、または補助ドメイン名を使用できます。Alibaba Cloud アカウントのデフォルトドメイン名またはドメインエイリアスを指定する方法の詳細については、「デフォルトドメイン名の表示と変更」または「ドメインエイリアスの作成と検証」をご参照ください。
手順
RAM 管理者として Resource Access Management (RAM) コンソールにログインします。
左側のナビゲーションウィンドウで、 を選択します。
[ユーザーベース SSO] タブをクリックして、設定を構成します。
[SSO ステータス]: [有効] または [無効] を選択します。
[無効] (デフォルト): Resource Access Management (RAM) ユーザーはパスワードでログインできます。すべての SSO 設定は無視されます。
[有効]: RAM ユーザーは、ID プロバイダー (IdP) にリダイレクトされて身分認証を行います。RAM ユーザーのパスワードベースのログインは無効になります。
説明ユーザーベース SSO はグローバル機能です。この機能を有効にすると、すべての RAM ユーザーは SSO を使用してログインする必要があります。この機能は、Alibaba Cloud アカウントへのログインや、AccessKey を使用して開始される OpenAPI 呼び出しには影響しません。
[メタデータファイル]: [メタデータのアップロード] をクリックして、ID プロバイダー (IdP) からメタデータファイルをアップロードします。
説明メタデータファイルは、ID プロバイダー (IdP) によって提供される XML ドキュメントです。これには、IdP のログインサービスエンドポイントと、IdP によって発行された SAML アサーションを検証するために使用される X.509 公開鍵証明書が含まれています。
[補助ドメイン名] (オプション): このスイッチをオンにして、補助ドメイン名を設定します。
補助ドメイン名を設定した場合、SAML アサーションの
NameID要素のサフィックスとして使用できます。補助ドメイン名を設定しない場合、
NameID要素のサフィックスは、アカウントのデフォルトドメイン名またはドメインエイリアスである必要があります。
NameID要素の値の詳細については、「ユーザーベース SSO の SAML 応答」をご参照ください。説明ドメインエイリアスと補助ドメイン名の両方を設定した場合、補助ドメイン名は無視されます。この場合、
NameID要素のサフィックスは、ドメインエイリアスまたはデフォルトドメイン名である必要があります。
次のステップ
SAML を構成した後、RAM ユーザーを作成して、ID プロバイダー (IdP) の ID にマッピングする必要があります。RAM ユーザー名は、SAML アサーションで渡される NameID 値と完全に一致する必要があります。次の方法でユーザーを作成できます。
RAM コンソールにログインし、ID プロバイダー (IdP) のユーザーに対応する RAM ユーザーを手動で作成します。詳細については、「RAM ユーザーの作成」をご参照ください。
RAM ソフトウェア開発キット (SDK) または Alibaba Cloud CLI を使用して RAM ユーザーを作成します。詳細については、「CreateUser - RAM ユーザーの作成」をご参照ください。