すべてのプロダクト
Search

このプロダクト

    Resource Access Management:Microsoft Entra ID を使用したロールベース SSO の例

    ドキュメントセンター

    Resource Access Management:Microsoft Entra ID を使用したロールベース SSO の例

    最終更新日:Nov 11, 2025

    このトピックでは、Microsoft Entra ID (旧 Azure AD) と Alibaba Cloud の間でロールベース SSO を設定する方法の例を示します。設定が完了すると、Microsoft Entra ID のユーザーは SAML SSO を使用して Alibaba Cloud にログインし、一時的に RAM ロールを偽装できます。

    説明

    環境でロールベース SSO を設定する前に、使用する Alibaba Cloud サービスが RAM ロールをサポートしていることを確認してください。詳細については、「STS をサポートする Alibaba Cloud サービス」をご参照ください。

    シナリオ

    この例では、ある企業が Alibaba Cloud アカウントと Microsoft Entra ID テナントを所有しています。テナントには、グローバル管理者権限を持つ管理者と、ユーザープリンシパル名 (UPN) が ssotest01@example.onmicrosoft.com の従業員ユーザーが含まれています。目的は、従業員ユーザー (ssotest01@example.onmicrosoft.com) が Microsoft Entra ID にログインした後、Alibaba Cloud にアクセスできるようにロールベース SSO を設定することです。

    説明

    ロールベース SSO の設定は、RAM ユーザーの標準的なログインプロセスには影響しません。ユーザーは、パスワード、ユーザーベース SSO、またはその他のログイン方法を使用して、引き続き RAM ユーザーとしてログインできます。ロールベース SSO を使用したログインは、IdP から開始する必要があります。これは [IdP-initiated SSO] と呼ばれます。ロールベース SSO は、Alibaba Cloud からの SP-initiated ログインをサポートしていません。

    ロールベース SSO を使用する場合、事前に Alibaba Cloud に対応するユーザーを作成する必要はありません。ユーザーが IdP から SSO ログインを開始すると、Alibaba Cloud は、SAML アサーションで指定された RAM ロールをユーザーが一時的に偽装することを許可します。

    ユーザーベース SSO とロールベース SSO の違いの詳細については、「SSO メソッドの比較」をご参照ください。

    準備

    • RAM コンソールで操作を実行するには、AliyunRAMFullAccess 権限を持つ RAM 管理者が必要です。RAM ユーザーの作成と権限の付与の詳細については、「RAM ユーザーの作成」および「RAM ユーザーへの権限付与」をご参照ください。

    • Microsoft Entra ID で操作を実行するには、グローバル管理者ロールを持つ Microsoft Entra ID 管理者が必要です。Microsoft Entra ID でのユーザーの作成と権限の付与の詳細については、「Microsoft Entra ID ドキュメント」をご参照ください。

    設定フロー

    この例では、Microsoft Entra ID が ID プロバイダー (IdP) で、Alibaba Cloud RAM がサービスプロバイダー (SP) です。コアとなる設定タスクは、IdP と SP の間に双方向の信頼関係を確立することです。また、Microsoft Entra ID のアプリケーションロールを Alibaba Cloud の RAM ロールにマップする必要もあります。

    1. ステップ 1: Microsoft Entra ID でエンタープライズアプリケーションを作成する。Microsoft Entra ID アプリケーションギャラリーから [Alibaba Cloud Service (ロールベース SSO)] アプリケーションテンプレートを使用してエンタープライズアプリケーションを作成します。

    2. ステップ 2: Microsoft Entra ID で SAML を設定する。Microsoft Entra ID で、Alibaba Cloud ロールベース SSO を信頼できる SAML [サービスプロバイダー] として設定します。

    3. ステップ 3: Alibaba Cloud で IdP を作成する。Alibaba Cloud RAM で、Microsoft Entra ID を信頼できる SAML [ID プロバイダー] として設定します。

    4. ステップ 4: Alibaba Cloud で RAM ロールを作成する。Alibaba Cloud RAM で、[プリンシパル][ID プロバイダー] に設定した RAM ロールを作成します。

    5. ステップ 5: Microsoft Entra ID でアプリケーションロールを作成し、ユーザーを割り当てる。Microsoft Entra ID で Alibaba Cloud ロールベース SSO アプリケーションのアプリケーションロールを作成して設定し、テストユーザーをエンタープライズアプリケーションに割り当てます。

    6. ステップ 6: SSO ログインを検証する。ロールベース SSO が期待どおりに機能することを確認します。

    ステップ 1: Microsoft Entra ID でエンタープライズアプリケーションを作成する

    1. Microsoft Entra ID 管理者として Azure portal にログインします。

    2. ホームページの左上隅にある SSO_AAD_icon アイコンをクリックします。

    3. 左側のナビゲーションウィンドウで、[Microsoft Entra ID] > [管理] > [エンタープライズアプリケーション] > [すべてのアプリケーション] に移動します。

    4. [新規アプリケーション]クリックします。

    5. [Alibaba Cloud Service (ロールベース SSO)] を検索してクリックします。

    6. アプリケーションの名前を入力し、[作成] をクリックします。

      この例では、デフォルトのアプリケーション名 Alibaba Cloud Service (Role-based SSO) を使用します。カスタム名を指定することもできます。

    ステップ 2: Microsoft Entra ID で SAML を設定する

    1. [Alibaba Cloud Service (ロールベース SSO)] ページの左側のナビゲーションウィンドウで、[管理] > [シングルサインオン] に移動します。

    2. [SAML] をクリックします。

    3. SSO 情報を設定します。

      1. ページの左上隅にある [メタデータファイルのアップロード] をクリックし、Alibaba Cloud ロールベース SSO のメタデータファイルを選択して、[追加] をクリックします。

        説明

        新しいブラウザウィンドウを開き、次の URL を使用してメタデータファイルを取得できます: https://signin.alibabacloud.com/saml-role/sp-metadata.xml。XML メタデータファイルをコンピューターに保存します。

      2. [基本的な SAML 構成] ページで、次のパラメーターを設定し、[保存] をクリックします。

        • [識別子 (エンティティ ID)]: entityID の値は、前のステップでアップロードしたメタデータファイルから自動的に入力されます。

        • [応答 URL (アサーションコンシューマーサービス URL)]: Location の値は、前のステップでアップロードしたメタデータファイルから自動的に入力されます。

        • [リレー状態]: ロールベース SSO ログインが成功した後にリダイレクトされる Alibaba Cloud ページ。このパラメーターはオプションです。

          説明

          セキュリティ上の理由から、[リレー状態] には *.aliyun.com、*.hichina.com、*.yunos.com、*.taobao.com、*.tmall.com、*.alibabacloud.com、*.alipay.com などの Alibaba Cloud ドメインの URL のみ指定できます。それ以外の場合、設定は無効になります。このパラメーターを設定しない場合、デフォルトで Alibaba Cloud 管理コンソールのホームページにリダイレクトされます。

      3. [属性と要求] セクションで、编辑 アイコンをクリックし、次の 2 つの要求が存在することを確認します。

        image

        存在しない場合は、[新しい要求の追加] をクリックして、次の表の情報に基づいて 2 つの要求を追加します。

        名前

        名前空間

        ソース

        ソース属性

        Role

        https://www.aliyun.com/SAML-Role/Attributes

        Attribute

        user.assignedroles

        RoleSessionName

        https://www.aliyun.com/SAML-Role/Attributes

        Attribute

        user.userprincipalname

      4. [SAML 証明書] セクションで、[フェデレーションメタデータ XML][ダウンロード] をクリックします。

    ステップ 3: Alibaba Cloud で IdP を作成する

    1. RAM 管理者として RAM コンソールにログインします。

    2. 左側のナビゲーションウィンドウで、[統合] > [SSO] に移動します。

    3. [ロールベース SSO] タブで、[SAML] タブをクリックし、[IdP の作成] をクリックします。

    4. [ID プロバイダーの作成] ページで、[ID プロバイダー名]AAD に設定します。

    5. [アップロード] をクリックし、「ステップ 2: Microsoft Entra ID で SAML を設定する」でダウンロードした [フェデレーションメタデータ XML] ファイルをアップロードします。

    6. [ID プロバイダーの作成] をクリックします。

    7. 作成した IdP (名前は AAD) をクリックします。[基本情報] セクションで、IdP の [ARN] を見つけてコピーし、後で使用します。

    ステップ 4: Alibaba Cloud で RAM ロールを作成する

    1. RAM コンソールの左側のナビゲーションウィンドウで、[ID] > [ロール] に移動します。

    2. [ロール] ページで、[ロールの作成] をクリックします。

    3. [ロールの作成] ページの右上隅にある [エディターに切り替え] をクリックします。

    4. エディターで、SAML IdP を指定します。

      エディターは、ビジュアルエディターモードとスクリプトエディターモードをサポートしています。どちらのモードも選択できます。このトピックでは、ビジュアルエディターを例として使用します。[プリンシパル] セクションで、[ID プロバイダー] を選択し、[編集] をクリックします。次に、AAD を IdP として指定し、[IdP タイプ][SAML] に設定します。

    5. [ロールの作成] ダイアログボックスで、[ロール名] に AADrole と入力し、[OK] をクリックしてロールを作成します。

    6. 作成した RAM ロールをクリックします。[基本情報] セクションで、ロールの [ARN] を見つけてコピーし、後で使用します。

    説明

    必要に応じて RAM ロールに権限を付与できます。詳細については、「RAM ロールへの権限付与」をご参照ください。

    ステップ 5: Microsoft Entra ID でアプリケーションロールを作成し、ユーザーを割り当てる

    1. Microsoft Entra ID でロールを作成します。

      1. 管理者として Azure portal にログインします。

      2. 左側のナビゲーションウィンドウで、[Microsoft Entra ID] > [管理] > [アプリの登録] に移動します。

      3. [すべてのアプリケーション] タブをクリックし、[Alibaba Cloud Service (ロールベース SSO)] をクリックします。

      4. 左側のナビゲーションウィンドウで、[管理] > [アプリのロール] に移動します。

      5. [アプリロールの作成] をクリックします。

      6. [アプリロールの作成] ページで、次のロールパラメーターを設定し、[適用] をクリックします。

        • [表示名]: この例では Admin と入力します。

        • [許可されるメンバーの種類]: この例では [ユーザー/グループ + アプリケーション] を選択します。

        • [値]: RAM ロールの ARN と IdP の ARN をカンマ (,) で区切って入力します。この例では、acs:ram::187125022722****:role/aadrole,acs:ram::187125022722****:saml-provider/AAD と入力します。

          説明

          ARN は必ず ARN of RAM role,ARN of IdP の形式で入力してください。順序が正しくないと、ロールベース SSO ログインが失敗します。

        • [説明]: 説明を入力します。

        • [このアプリロールを有効にしますか?] を選択します。

      説明

      Microsoft Entra ID で複数のロールを作成するには、上記の手順を繰り返し、異なる表示名とアプリケーションロールの値を指定します。

    2. ユーザーをエンタープライズアプリケーションに割り当て、ロールを指定します。

      1. 左側のナビゲーションウィンドウで、[Microsoft Entra ID] > [管理] > [エンタープライズアプリケーション] > [すべてのアプリケーション] に移動します。

      2. [名前] リストで、[Alibaba Cloud Service (ロールベース SSO)] をクリックします。

      3. 左側のナビゲーションウィンドウで、[管理] > [ユーザーとグループ] に移動します。

      4. 左上隅にある [ユーザー/グループの追加] をクリックします。

      5. [割り当ての追加] ページで、ターゲットユーザーを選択し、[選択] をクリックします。

      6. 選択したロールが Admin であることを確認します。そうでない場合は、Admin を選択します。次に、[割り当て] をクリックします。

        説明

        本番環境では、Microsoft Entra ID のユーザーグループにユーザーを追加し、そのユーザーグループをエンタープライズアプリケーションに割り当てることを推奨します。

        複数のロールがある場合は、異なるユーザーグループを異なるロールに関連付けることができます。たとえば、ecs-admin グループを作成して ecs-admin ロールに関連付け、oss-admin グループを作成して oss-admin ロールに関連付けることができます。これにより、詳細な権限コントロールと効率的なユーザー管理が可能になります。

    SSO ログインを検証する

    ロールベース SSO は IdP-initiated SSO のみをサポートします。したがって、結果を検証するには、Microsoft Entra ID からログインを開始する必要があります。

    1. ユーザーアクセス URL を取得します。

      1. 管理者として Azure portal にログインします。

      2. 左側のナビゲーションウィンドウで、[Microsoft Entra ID] > [管理] > [エンタープライズアプリケーション] > [すべてのアプリケーション] に移動します。

      3. [名前] リストで、[Alibaba Cloud Service (ロールベース SSO)] をクリックします。

      4. 左側のナビゲーションウィンドウで、[管理] > [プロパティ] に移動し、[ユーザーアクセス URL] を取得します。

        用户访问URL

    2. ユーザー (ssotest01@example.onmicrosoft.com) は管理者から [ユーザーアクセス URL] を取得し、その URL をブラウザに入力して、自分のアカウントでログインします。ログインが成功すると、ユーザーはデフォルトで Alibaba Cloud 管理コンソールにリダイレクトされます。定義した RAM ロールの名前 (aadrole) がアカウント名の前に表示されます。

      74AD0757-1D76-4AA9-BE1B-CEA53CD9219A

      システムは自動的に SSO を実行し、[リレー状態] に指定したページにリダイレクトします。[リレー状態] にページを指定しなかった場合、または指定したページが許可された範囲外である場合、Alibaba Cloud 管理コンソールのホームページにリダイレクトされます。

    高度な設定: Microsoft Entra ID から複数の Alibaba Cloud アカウントへのロールベース SSO の設定

    このセクションでは、従業員ユーザー (ssotest01@example.onmicrosoft.com) が Microsoft Entra ID にログインした後、2 つの Alibaba Cloud アカウント (Account1 と Account2) にアクセスできるようにロールベース SSO を設定する方法について説明します。

    1. Microsoft Entra ID ギャラリーから Alibaba Cloud Service (Role-based SSO) アプリケーションを追加します。

    2. Microsoft Entra ID SSO を設定します。

      詳細については、「ステップ 2: Microsoft Entra ID で SAML を設定する」をご参照ください。

    3. Alibaba Cloud で IdP を作成します。

      両方の Alibaba Cloud アカウント (Account1 と Account2) に AAD という名前の IdP を作成する必要があります。

      各 Alibaba Cloud アカウントの手順の詳細については、「ステップ 3: Alibaba Cloud で IdP を作成する」をご参照ください。

    4. Alibaba Cloud で RAM ロールを作成します。

      両方の Alibaba Cloud アカウント (Account1 と Account2) に RAM ロールを作成する必要があります。この例では、Account1 に 2 つの RAM ロールが作成され、Account2 に 1 つの RAM ロールが作成されると仮定します。ロールは次のとおりです。

      • Account1 の RAM ロール: adminaad および readaad

      • Account2 の RAM ロール: financeaad

      各 Alibaba Cloud アカウントの手順の詳細については、「ステップ 4: Alibaba Cloud で RAM ロールを作成する」をご参照ください。

    5. Alibaba Cloud RAM ロールを Microsoft Entra ID ユーザーに関連付けます。

      Microsoft Entra ID で 3 つのアプリケーションロールを作成し、その 3 つのロールをユーザー (ssotest01@example.onmicrosoft.com) に割り当てます。3 つのロールの値は次のとおりです。

      • acs:ram::<Account1_ID>:role/adminaad,acs:ram::<Account1_ID>:saml-provider/AAD

      • acs:ram::<Account1_ID>:role/readaad,acs:ram::<Account1_ID>:saml-provider/AAD

      • acs:ram::<Account2_ID>:role/financeaad,acs:ram::<Account2_ID>:saml-provider/AAD

      詳細については、「ステップ 5: Microsoft Entra ID でアプリケーションロールを作成し、ユーザーを割り当てる」をご参照ください。

    6. Microsoft Entra ID ユーザーは、ロールベース SSO を使用して Alibaba Cloud にアクセスします。

      ユーザー (ssotest01@example.onmicrosoft.com) は Azure の マイアプリ ページにログインし、[Alibaba Cloud Service (ロールベース SSO)] アプリケーションをクリックします。Alibaba Cloud インターフェイスで、ユーザーは Alibaba Cloud アカウント (Account1 または Account2) と、ロールベース SSO を使用して Alibaba Cloud にアクセスするためのロールを選択するように求められます。

    トラブルシューティング

    詳細については、「SSO に関するよくある質問」をご参照ください。