この Topic では、ユーザーベースのシングルサインオン (SSO) のために、Alibaba Cloud を ID プロバイダー (IdP) の信頼できる SAML サービスプロバイダー (SP) として構成する方法について説明します。
手順
Resource Access Management (RAM) コンソールで Alibaba Cloud の SAML SP メタデータ URL を取得します。
RAM 管理者として Resource Access Management (RAM) コンソールにログインします。
左側のナビゲーションウィンドウで、 を選択します。
[ユーザーベース SSO] タブをクリックします。[SAML サービスプロバイダーメタデータ] セクションで、Alibaba Cloud アカウントのメタデータ URL をコピーします。
IdP で SAML SP を作成し、次のいずれかの方法を使用して Alibaba Cloud を依拠当事者として構成します:
ステップ 1 の Alibaba Cloud メタデータ URL を使用します。
IdP が URL による構成をサポートしていない場合は、ステップ 1 の URL からメタデータドキュメントをダウンロードし、IdP にアップロードします。
IdP がメタデータドキュメントのアップロードをサポートしていない場合は、次のパラメーターを手動で構成します:
Entity ID: ダウンロードしたメタデータ XML のmd:EntityDescriptor要素のentityID属性の値。ACS URL: ダウンロードしたメタデータ XML のmd:AssertionConsumerService要素のLocation属性の値。RelayState(任意): IdP がRelayStateパラメーターをサポートしている場合、SSO が成功した後のリダイレクト先 URL として設定できます。このパラメーターを構成しない場合、ユーザーは Alibaba Cloud 管理コンソールのホームページにリダイレクトされます。説明セキュリティ上の理由から、
RelayStateの値は、*.aliyun.com、*.hichina.com、*.yunos.com、*.taobao.com、*.tmall.com、*.alibabacloud.com、*.alipay.com などの Alibaba ドメイン名を使用する URL に設定してください。
次のステップ
Alibaba Cloud を信頼できる SAML SP として構成した後、IdP の SAML アサーションを構成する必要があります。詳細については、「ユーザーベース SSO の SAML 応答」をご参照ください。