Resource Access Management:Okta からのユーザーベース SSO の設定

ステップ 1：Alibaba Cloud から SAML SP メタデータファイルをダウンロード

1. RAM 管理者として Resource Access Management (RAM) コンソールにログインします。

2. 左側のナビゲーションウィンドウで、統合 > SSO を選択します。

3. [SSO] ページで、ユーザーベース SSO タブをクリックします。SAML サービスプロバイダーメタデータ URL セクションで、URL をコピーします。

4. 新しいブラウザータブでメタデータ URL を開きます。ページを右クリックし、XML ファイルとして保存します。このファイルには、Alibaba Cloud の SAML サービスプロバイダー (SP) メタデータが含まれています。

   ダウンロードしたメタデータファイルを開き、Okta の設定に必要となるため、次の値を記録しておきます。

   • entityID：<md:EntityDescriptor> 要素の entityID 属性の値。例：https://signin-intl.aliyun.com/57******81/saml/SSO。

   • Location： <md:AssertionConsumerService> 要素内の Location 属性の値。 例： https://signin-intl.aliyun.com/saml/SSO。

ステップ 2：Okta でアプリケーションを作成

1. Okta ポータルにログインします。

2. 左側のナビゲーションウィンドウで、Applications > Applications を選択します。

3. Applications ページで、Create App Integration をクリックします。

4. Create a new app integration ダイアログボックスで、SAML 2.0 を選択し、Next をクリックします。

5. General Settings ステップで、App name フィールドに AliyunSSODemo などのアプリケーション名を入力し、Next をクリックします。

6. Configure SAML ステップで、SAML Settings セクションの次のパラメーターを設定し、Next をクリックします。

   • Single sign on URL：ステップ 1 で記録した Location の値を入力します。

   • Audience URI (SP Entity ID)：ステップ 1 で記録した entityID の値を入力します。

   • Default RelayState：SSO ログインが成功した後にユーザーがリダイレクトされる Alibaba Cloud コンソールのページを指定します。このフィールドを空のままにした場合、ユーザーは Alibaba Cloud 管理コンソールのホームページにリダイレクトされます。

     説明

     セキュリティ上の理由から、Default RelayState の URL は、*.aliyun.com、*.hichina.com、*.yunos.com、*.taobao.com、*.tmall.com、*.alibabacloud.com、*.alipay.com などの Alibaba が所有するドメイン名に属している必要があります。承認されていないドメイン名の URL を指定した場合、Default RelayState は無視されます。

   • Name ID format：Persistent を選択します。

   • Application username：Email を選択します。

7. Feedback ページで、要件に基づいてアプリケーションの種類を選択し、Finish をクリックします。

ステップ 3：Okta から SAML IdP メタデータを取得

1. 作成した SAML アプリケーション (AliyunSSODemo など) の詳細ページで、Sign On タブをクリックします。

2. Settings セクションで、Metadata URL をコピーします。新しいブラウザータブで URL を開きます。表示されたページで右クリックし、名前を付けて保存 をクリックして、メタデータファイルをご利用のコンピューターにダウンロードします。

ステップ 4：Alibaba Cloud でユーザーベース SSO を設定

1. RAM コンソールの左側のナビゲーションウィンドウで、統合 > SSO を選択します。

2. ユーザーベース SSO タブをクリックします。SSO ステータス の右側にある 有効 を選択します。

   説明

   これはすべての RAM ユーザーに影響するグローバル設定です。有効にすると、RAM ユーザーはユーザー名とパスワードでログインできなくなります。RAM ユーザーとしてログインしている場合は、設定が正しいことを確認するまで SSO を有効にしないでください。ロックアウトされるのを防ぐため、Alibaba Cloud アカウントでログインした状態でこの設定を行うことを推奨します。

3. メタデータファイル セクションで、メタデータファイルのアップロード をクリックして、ステップ 3 でダウンロードした IdP メタデータファイルをアップロードします。

4. 補助ドメイン名 の右側にある 編集 をクリックします。この機能を有効にし、Okta ユーザーのメールアドレスのサフィックス (例：example.com) を入力します。

   説明

   ご利用の Okta 組織に複数のメールドメインを持つユーザーが含まれている場合、ここで設定したメールアドレスのサフィックスと一致するユーザーのみが SSO を使用して Alibaba Cloud にログインできます。

ステップ 5：Okta ユーザーにアプリケーションを割り当て

1. 左側のナビゲーションウィンドウで、Directory > People を選択します。

2. Add person をクリックします。

3. Add Person ページで、基本情報を入力し、Primary email を u2@example.com に設定して、Save をクリックします。

4. ユーザーリストでユーザー u2@example.com を見つけ、Status 列の Activate をクリックします。次に、プロンプトに従ってユーザーをアクティブ化します。

5. 左側のナビゲーションウィンドウで、Applications > Applications を選択します。

6. アプリケーション名 (AliyunSSODemo) をクリックして詳細ページに移動します。Assignments タブで、Assign > Assign to People を選択します。

7. ユーザー (u2@example.com) を見つけ、Assign をクリックします。

8. Save and Go Back をクリックします。

9. Done をクリックします。

ステップ 6：Alibaba Cloud で RAM ユーザーを作成

1. RAM コンソールの左側のナビゲーションウィンドウで、ID > ユーザー を選択します。

2. ユーザー ページで、ユーザーの作成 をクリックします。

3. ユーザーの作成 ページで、ログイン名 と 表示名 パラメーターを設定します。

   説明

   RAM ユーザーのログイン名 (アットマーク (@) より前の部分) のプレフィックスは、Okta ユーザーのユーザー名のプレフィックスと完全に一致している必要があります。この例では、Okta ユーザー名が u2@example.com であるため、RAM ユーザーのログイン名は u2 で始まる必要があります。

4. アクセスモード セクションで、コンソールアクセス を選択します。ユーザーは SSO を介して認証されるため、パスワードを設定する必要はありません。

5. OK をクリックします。

SSO 設定の確認

Alibaba Cloud (SP Initiated) と Okta (IdP Initiated) の両方から SSO を開始することで、設定を確認できます。