すべてのプロダクト
Search

このプロダクト

    Resource Access Management:ロールベース SAML シングルサインオン (SSO) の概要

    ドキュメントセンター

    Resource Access Management:ロールベース SAML シングルサインオン (SSO) の概要

    最終更新日:Mar 25, 2026

    SAML 2.0 を使用したロールベースのシングルサインオン (SSO) により、お客様の企業 ID プロバイダー (IdP) に登録されたユーザーが、Resource Access Management (RAM) ロールを仮想的に引き受けることで Alibaba Cloud にアクセスできます。この方法では、Alibaba Cloud 内で個別の RAM ユーザーを作成・管理する必要なく、ID プロバイダー内でユーザー ID を一元管理できます。

    ロールベース SAML SSO の仕組み

    フェデレーテッドユーザーは、コンソールまたは API を通じてプログラム的に Alibaba Cloud リソースにアクセスできます。

    コンソールへのアクセス

    以下の図は、ユーザーが Alibaba Cloud 管理コンソールにログインする際の、ID プロバイダー主導型 (IdP-initiated) のフローを示しています。

    通过控制台访问阿里云

    1. ユーザーがお客様の企業アプリケーションポータルにログインし、Alibaba Cloud アプリケーションを選択します。

    2. ID プロバイダーがユーザーを認証し、ユーザーの ID 情報および許可される RAM ロールを含む SAML アサーションを生成します。その後、この応答をユーザーのブラウザに送信します。

    3. ブラウザが SAML 応答を Alibaba Cloud の SSO エンドポイントに転送します。

    4. SSO サービスがアサーションを検証します。アサーションに複数のロールが指定されている場合、ユーザーには選択可能な RAM ロールが表示されます。

    5. SSO サービスが、選択されたロールに対してセキュリティトークンサービス (STS) から一時的な認証情報を要求します。

    6. STS が一時的な認証情報を返すと、SSO サービスはこれを用いてコンソールアクセス用の署名付き URL を生成します。

    7. SSO サービスがユーザーのブラウザを Alibaba Cloud 管理コンソールにリダイレクトし、ユーザーは仮想的に引き受けた RAM ロールの権限でログインします。

    プログラムによるアクセス (API)

    フェデレーテッドユーザーは、Alibaba Cloud サービスに対する直接的な API 呼び出しを行うための一時的な認証情報も取得できます。

    使用程序访问阿里云

    1. アプリケーションまたはスクリプトが、お客様の企業 ID プロバイダーに対してユーザーを認証します。

    2. ID プロバイダーがアプリケーションに SAML 応答を返します。

    3. アプリケーションが、STS の AssumeRoleWithSAML API オペレーションを呼び出し、SAML アサーション、目的の RAM ロールの ARN、および ID プロバイダーの ARN を渡します。

    4. STS が SAML アサーションを検証し、要求されたロールがアサーションの属性に含まれていることを確認します。

    5. リクエストが有効な場合、STS は一時的なセキュリティ認証情報 (AccessKey ID、AccessKey Secret、セキュリティトークン) を返します。

    6. アプリケーションはこれらの認証情報を用いて、他の Alibaba Cloud サービスに対する署名済み API リクエストを行います。

    設定の概要

    ロールベース SSO を設定するには、Alibaba Cloud およびお客様の ID プロバイダーの両方に信頼関係を構成する必要があります。

    1. Alibaba Cloud で SAML ID プロバイダー (SAML IdP) を作成します。

      お客様の企業 ID プロバイダーから提供されるメタデータを Alibaba Cloud に登録します。これにより、Alibaba Cloud はお客様の ID プロバイダーからのアサーションを信頼するようになります。詳細については、「Alibaba Cloud における SAML の設定 (SP として)」をご参照ください。

    2. フェデレーション用の RAM ロールを作成します。

      フェデレーテッドユーザーに付与したい各権限セットごとに RAM ロールを作成します。そのロールの信頼ポリシーには、先に作成した SAML IdP を信頼されるプリンシパルとして指定する必要があります。詳細については、「信頼された ID プロバイダー向けの RAM ロールの作成」をご参照ください。

    3. お客様の ID プロバイダーを設定します。

      お客様の ID プロバイダー内に Alibaba Cloud を信頼されたサービスプロバイダ (SP) として追加し、SAML アサーションに必要な属性(例:ユーザーが仮想的に引き受け可能な特定の RAM ロール)を送信するための要求規則 (claim rules) を設定します。詳細については、「ID プロバイダー内での Alibaba Cloud の SP としての設定」をご参照ください。

    設定チュートリアル

    以下では、代表的な ID プロバイダーと連携したロールベース SAML SSO の設定手順について、詳細なチュートリアルを提供します。