OneLogin から Alibaba Cloud へのロールベース SSO の設定 - Resource Access Management

本トピックでは、OneLogin と Alibaba Cloud 間のロールベース SSO のエンドツーエンド設定について説明します。これにより、OneLogin ユーザーは、別途 Alibaba Cloud アカウントを作成することなく Alibaba Cloud にアクセスできるようになります。

背景情報

ある企業が Alibaba Cloud アカウント、OneLogin 管理者、および複数の OneLogin ユーザーを所有しているとします。目標は、OneLogin ユーザーが既存の OneLogin アカウントを使用してロールベース SSO 経由で Alibaba Cloud にサインインできるようにすることです。これにより、別途 Alibaba Cloud アカウントを作成する必要がなくなります。

OneLogin の背景情報については、OneLogin ドキュメントをご参照ください。

ステップ 1： OneLogin でのアプリケーションの作成

管理者として OneLogin にサインインします。
アカウントのプロフィール写真の横にある [Administration] をクリックします。
上部メニューで、Applications > Applications を選択します。
Applications ページで、[Add App] をクリックします。
Find Applications ページで、SAML Test Connector (Advanced) を検索します。
Add SAML Test Connector (Advanced) ページで、アプリケーションの基本情報を設定し、[Save] をクリックします。

この例では、[Display Name] を LoginToAliyun に設定し、他のパラメーターはデフォルト値のままにします。
Info ページで、[More Actions] にカーソルを合わせ、[SAML Metadata] をクリックして IdP メタデータファイルをダウンロードします。

ステップ 2： Alibaba Cloud での IdP の作成

RAM 管理者として RAM コンソールにサインインします。
左側のナビゲーションペインで、Integrations > SSO を選択します。
[ロールベースの SSO ログイン方式] タブで、SAML タブをクリックし、IdP の作成 をクリックします。
[IdP の作成] ページで、IdP 名 (例： OneLogin) と説明を入力します。
[メタデータファイル] セクションで、メタデータドキュメントをアップロード をクリックし、ステップ 1： OneLogin でのアプリケーションの作成で取得した IdP メタデータファイルをアップロードします。
IdP の作成 をクリックします。

後で使用するために、IdP の ARN を記録しておきます。

ステップ 3： Alibaba Cloud での RAM ロールの作成

RAM コンソールの左側のナビゲーションペインで、アイデンティティ > ロール を選択します。
[ロール] ページで、ロール作成 をクリックします。
[ロール作成] ページの右上隅にある Switch to Policy Editor をクリックします。
ポリシーエディターで SAML ID プロバイダーを指定します。

エディターはビジュアルモードとスクリプトモードをサポートしています。この例では、ビジュアルエディターを使用します。[Principal]には、ステップ 2： Alibaba Cloud での IdP の作成で作成した IdP を選択します。[IdP タイプ] には、SAML を選択します。
エディターで、キーが saml:recipient の条件を追加し、その値を https://signin.alibabacloud.com/saml-role/sso に設定します。
[ロール作成] ダイアログボックスで、ロール名 (例： Reader-OneLogin) を入力し、OK をクリックします。

後で使用するために、RAM ロールの ARN を記録しておきます。

ステップ 4： OneLogin アプリケーションの設定

管理者として OneLogin にサインインします。
カスタムユーザーフィールドを作成します。
1. 上部メニューで、Users > Users を選択します。
2. Users ページで、[More Actions] にカーソルを合わせ、[Custom User Fields] をクリックします。
3. Custom User Fields ページで、[New User Field] をクリックします。
4. New User Field ダイアログボックスで、[Name] と [Shortname] を設定し、[Save] をクリックします。
  
  この例では、[Name] を AliyunRoles for SSO に、[Shortname] を AliyunRoles に設定します。
アプリケーションを設定します。
1. 上部メニューで、Applications > Applications を選択します。
2. Applications ページで、ステップ 1： OneLogin でのアプリケーションの作成で作成したアプリケーション (LoginToAliyun) をクリックします。
3. 左側のナビゲーションペインで、[Configuration] をクリックします。
4. Configuration ページで、次のパラメーターを設定し、[Save] をクリックします。
  - RelayState：サインオン後にユーザーをリダイレクトする Alibaba Cloud ページの URL。
    
    説明
    セキュリティ上の理由から、RelayState の URL は、*.aliyun.com、*.hichina.com、*.yunos.com、*.taobao.com、*.tmall.com、*.alibabacloud.com、*.alipay.com などの Alibaba が所有するドメインである必要があります。Alibaba が所有していないドメインは無効です。空のままにした場合、ユーザーは Alibaba Cloud コンソールホームページにリダイレクトされます。
  - Audience (EntityID)：urn:alibaba:cloudcomputing:international。
  - Recipient：https://signin.alibabacloud.com/saml-role/sso。
  - ACS (Consumer) URL：https://signin.alibabacloud.com/saml-role/sso。
5. 左側のナビゲーションペインで、[Parameters] をクリックします。
6. Parameters ページで、プラスアイコン () をクリックして、最初のカスタム属性を追加します。
  1. New Field ダイアログボックスで、[Field name] を https://www.aliyun.com/SAML-Role/Attributes/Role に設定し、[Include in SAML assertion] と [Multi-value parameter] チェックボックスをオンにして、[Save] をクリックします。
  2. Edit Field https://www.aliyun.com/SAML-Role/Attributes/Role ダイアログボックスの Default if no value selected セクションで、最初のドロップダウンリストから Aliyun Roles for SSO (Custom) を選択し、2 番目のドロップダウンリストから Semicolon Delimited input (Multi-value output) を選択します。その後、[Save] をクリックします。
7. Parameters ページで、プラスアイコン () をクリックして、2 番目のカスタム属性を追加します。
  1. New Field ダイアログボックスで、[Field name] を https://www.aliyun.com/SAML-Role/Attributes/RoleSessionName に設定し、[Include in SAML assertion] チェックボックスをオンにして、[Save] をクリックします。
  2. Edit Field https://www.aliyun.com/SAML-Role/Attributes/RoleSessionName ダイアログボックスで、[Value] ドロップダウンリストから Email を選択し、[Save] をクリックします。
    
    説明
    [Value] を Username や userPrincipalName などの別の属性に設定することもできます。
8. Parameters ページの右上隅にある [Save] をクリックします。

ステップ 5： OneLogin でのユーザー作成とアプリケーションの割り当て

管理者として OneLogin にサインインします。
上部メニューで、Users > Users を選択します。
OneLogin ユーザーを作成します。

説明
既存の OneLogin ユーザーがいる場合は、この手順をスキップできます。
1. Users ページで、[New User] をクリックします。
2. New User ページで、[First name] (例： Taro)、[Last name] (例： Yamada)、[Username] (例： taroyamada)、[Email] (例： taroyamada@example.com) を設定し、[Save User] をクリックします。
3. User Info ページで、[More Actions] にカーソルを合わせ、[Change Password] をクリックし、ユーザーのパスワードを設定して [Update] をクリックします。
  
  ユーザーが OneLogin にサインインするには、このパスワードが必要です。
User Info ページの Custom Fields セクションで、Aliyun Roles for SSO 属性の値を設定します。

Aliyun Roles for SSO の値は、RAM ロール ARN と IdP ARN をカンマ (,) で区切ったもので、形式は acs:ram::<account_id>:role/RoleName,acs:ram::<account_id>:saml-provider/ProviderName です。RAM ロール ARN はステップ 3： Alibaba Cloud での RAM ロールの作成から、IdP ARN はステップ 2： Alibaba Cloud での IdP の作成から取得します。<account_id> をお使いの Alibaba Cloud アカウント ID に置き換えてください。

説明
ユーザーに複数の RAM ロールを引き受けさせるには、複数のロールとプロバイダーのペアをセミコロン (;) で区切って指定します。例： acs:ram::125022144354****:role/reader-onelogin,acs:ram::125022144354****:saml-provider/OneLogin;acs:ram::125022144354****:role/administrator-onelogin,acs:ram::125022144354****:saml-provider/OneLogin;acs:ram::158622887609****:role/finance,acs:ram::158622887609****:saml-provider/OneLogin2。
ユーザーにアプリケーションを割り当てます。
1. Applications ページで、プラスアイコン () をクリックします。
2. ステップ 1： OneLogin でのアプリケーションの作成で作成したアプリケーション (LoginToAliyun) を選択し、[Continue] をクリックします。
3. 表示されるダイアログボックスで、[Save] をクリックします。
Users ページで、[Save User] をクリックします。
他の OneLogin ユーザーに対しても、手順 4 から 6 を繰り返して Aliyun Roles for SSO 属性を設定し、アプリケーションを割り当てます。

設定の確認

ステップ 5： OneLogin でのユーザー作成とアプリケーションの割り当てで作成したユーザー (taroyamada) として OneLogin にサインインします。
アプリケーション (LoginToAliyun) をクリックします。

RelayState で指定したページ (またはデフォルトの Alibaba Cloud コンソールホームページ) にリダイレクトされた場合、SSO 設定は成功です。

説明
ステップ 5： OneLogin でのユーザー作成とアプリケーションの割り当てでユーザーに複数のロールを設定した場合、Alibaba Cloud にアクセスする前にロールを選択する必要があります。