Resource Access Management:Okta を使用したユーザーベース SSO の実装

ステップ 1: Alibaba Cloud の Security Assertion Markup Language (SAML) SP メタデータファイルをダウンロードする

1. RAM 管理者として RAM コンソールにログインします。

2. 左側のナビゲーションウィンドウで、[統合] > [SSO] を選択します。

3. [ユーザーベース SSO] タブをクリックします。[SAML サービスプロバイダーメタデータ] セクションで、現在の Alibaba Cloud アカウントのメタデータ URL をコピーします。

4. コピーしたリンクを新しいブラウザウィンドウで開き、メタデータ XML ファイルを保存します。

   説明

   メタデータ XML ファイルには、Security Assertion Markup Language (SAML) サービスプロバイダー (SP) としての Alibaba Cloud の情報が含まれています。EntityDescriptor 要素の entityID 属性の値と、AssertionConsumerService 要素の Location 属性の値を記録します。この情報は Okta の構成に必要になります。

ステップ 2: Okta で SAML 2.0 ベースの SSO をサポートするアプリケーションを作成する

1. Okta ポータルにログインします。

2. Okta ポータルの右上隅で、アカウント名をクリックし、ドロップダウンリストから [Your Org] を選択します。

3. 左側のナビゲーションウィンドウで、[Applications] > [Applications] を選択します。

4. [Applications] ページで、[Create App Integration] をクリックします。

5. [Create A New App Integration] ダイアログボックスで、[SAML 2.0] を選択し、[Next] をクリックします。

6. 表示されるページの [General Settings] ステップで、[App name] フィールドに AliyunSSODemo と入力し、[Next] をクリックします。

7. [Configure SAML] ステップで、パラメーターを設定し、[Next] をクリックします。

   

   • [シングルサインオン URL] は、ステップ 1: Alibaba Cloud の SAML SP メタデータファイルをダウンロードする の Location の値です。

   • [オーディエンス URI] は、ステップ 1: Alibaba Cloud の SAML SP メタデータファイルをダウンロードする の entityID です。

   • [Default RelayState] は、SSO ログインが成功した後にユーザーがリダイレクトされる Alibaba Cloud ページを指定します。

     説明

     セキュリティ上の理由から、[Default RelayState] には、*.aliyun.com、*.hichina.com、*.yunos.com、*.taobao.com、*.tmall.com、*.alibabacloud.com、*.alipay.com などの Alibaba ドメインの URL のみ入力できます。別のドメインの URL を入力した場合、構成は無効になります。このパラメーターを空のままにすると、ユーザーはデフォルトで Alibaba Cloud 管理コンソールのホームページにリダイレクトされます。

   • [Name ID Format] を [Persistent] に設定します。

   • [Application Username] を [Email] に設定します。

8. [Feedback] ページで、アプリケーションのタイプを選択し、[Finish] をクリックします。

ステップ 3: Okta の SAML IdP メタデータファイルをダウンロードする

1. [Applications] ページで、[AliyunSSODemo] をクリックします。表示されるページで、[Sign On] タブをクリックします。

2. [Sign On] タブの [Settings] セクションで、[Identity Provider Metadata] をクリックします。表示されるページで、ページを右クリックし、[名前を付けて保存] をクリックして、メタデータファイルをコンピューターにダウンロードします。

ステップ 4: Alibaba Cloud 管理コンソールでユーザーベース SSO を有効化する

1. RAM コンソールの左側のナビゲーションウィンドウで、[統合] > [SSO] を選択します。

2. [ユーザーベース SSO] タブをクリックします。[SSO ステータス] セクションで、[有効] をクリックします。

   説明

   ユーザーベース SSO はグローバル機能です。有効にすると、すべての RAM ユーザーが SSO を使用してログインする必要があります。RAM ユーザーとして SSO を構成している場合は、まだこの機能を有効にしないでください。設定ミスによるログインの失敗を避けるために、この機能を有効にする前に必要な RAM ユーザーを作成してください。または、Alibaba Cloud アカウントを使用して構成を実行し、この問題を回避することもできます。

3. [メタデータファイル] セクションで、[メタデータのアップロード] をクリックし、「ステップ 3: Okta から SAML IdP メタデータを取得する」で取得した IdP メタデータファイルをアップロードします。

4. [補助ドメイン] セクションで、[編集] をクリックします。次に、補助ドメインを有効にし、Okta のユーザー名のメールサフィックスに設定します。

   説明

   Okta アカウントに異なるメールサフィックスを持つユーザーがいる場合、ここで設定したサフィックスで終わるメールアドレスを持つユーザーのみが Alibaba Cloud にログインできます。

ステップ 5: Okta でユーザーを作成し、アプリケーションをユーザーに割り当てる

1. 左側のナビゲーションウィンドウで、[Directory] > [People] を選択します。

2. 表示されたページで、[Add Person] をクリックします。

3. [Add Person] ダイアログボックスで、[Primary Email] フィールドに u2@example.com と入力し、他のパラメーターを設定してから、[Save] をクリックします。

4. ユーザーリストで u2@example.com を見つけ、[Status] 列の [Activate] をクリックします。表示されるダイアログボックスで、プロンプトに従って u2@example.com をアクティブ化します。

5. 左側のナビゲーションウィンドウで、[Applications] > [Applications] を選択します。

6. アプリケーション名 AliyunSSODemo をクリックします。[Assignments] タブで、[Assign] > [Assign To People] を選択します。

7. 表示されるダイアログボックスで、u2@example.com ユーザーの横にある [Assign] をクリックします。

8. 表示されるダイアログボックスで、[Save And Go Back] をクリックします。

9. [Done] をクリックします。

ステップ 6: Alibaba Cloud 管理コンソールで RAM ユーザーを作成する

1. RAM コンソールの左側のナビゲーションウィンドウで、[ID] > [ユーザー] を選択します。

2. [ユーザー] ページで、[ユーザーの作成] をクリックします。

3. [ユーザーの作成] ページで、[ログイン名] と [表示名] パラメーターを設定します。

   説明

   RAM ユーザーのログイン名のプレフィックスが Okta ユーザー名のプレフィックスと一致することを確認してください。この例では、プレフィックスは u2 です。

4. [アクセスモード] セクションで、[コンソールアクセス] を選択し、パラメーターを設定します。

5. [OK] をクリックします。

検証結果

SSO を設定した後、Alibaba Cloud と Okta の両方から SSO ログインを開始できます。