ユーザーベース シングルサインオン (SSO) を使用すると、Alibaba Cloud がサービスプロバイダ (SP) として機能し、お客様の企業 ID システムが ID プロバイダー (IdP) として機能します。これにより、従業員は自社の認証情報を使用して、Resource Access Management (RAM) ユーザーとして Alibaba Cloud にログインできます。
仕組み
管理者がユーザーベース SSO を構成した後、従業員(アリス)は Alibaba Cloud にログインできます。以下の図は、認証ワークフローを示しています。
アリスがブラウザを使用して Alibaba Cloud にログインします。Alibaba Cloud は、ブラウザに対して SAML 認証リクエストを返します。
ブラウザが SAML 認証リクエストを IdP に転送します。
IdP がアリスにログインを促します。認証が成功すると、IdP は SAML 応答を生成し、ブラウザに返します。
ブラウザが SAML 応答を SSO サービスに転送します。
SSO サービスは、SAML 信頼構成に基づき、SAML 応答のデジタル署名を検証することで SAML アサーションの真正性を確認し、アサーション内の
NameID要素の値を用いて、Alibaba Cloud アカウント内の対応する RAM ユーザーに ID をマップします。SSO サービスは、Alibaba Cloud 管理コンソールの URL をブラウザに返します。
ブラウザが Alibaba Cloud 管理コンソールにリダイレクトされます。
説明このプロセスは、IdP からも開始できます。手順 1 で説明したように Alibaba Cloud から開始する代わりに、従業員はお客様の企業 IdP のポータルにアクセスし、Alibaba Cloud へのログインリンクをクリックします。この操作により、SAML 認証リクエストが IdP に直接送信されます。
操作手順
Alibaba Cloud とお客様の IdP 間に信頼関係を確立するには、Alibaba Cloud(SP として)およびお客様の IdP の両方で SAML 設定を構成する必要があります。SSO を利用可能にするには、両方の構成が完了している必要があります。
Alibaba Cloud における IdP 設定を構成することにより、Alibaba Cloud がお客様の IdP を信頼するよう設定します。
詳細については、「Alibaba Cloud での SAML 構成(SP として)」をご参照ください。
お客様の IdP において、Alibaba Cloud を信頼された SAML SP として構成し、SAML アサーション属性を設定することにより、IdP が Alibaba Cloud を信頼するよう設定します。
詳細については、「ユーザーベース SSO のためのエンタープライズ IdP の SAML 設定構成」をご参照ください。
お客様の IdP および Alibaba Cloud の両方の構成が完了したら、IdP 内のユーザーと一致する RAM ユーザーを作成する必要があります。ユーザーは、ソフトウェア開発キット (SDK)、コマンドラインインターフェイス (CLI)、または RAM コンソールから作成できます。
詳細については、「RAM ユーザーの作成」をご参照ください。
構成例
以下では、一般的なエンタープライズ IdP と Alibaba Cloud 間のユーザーベース SSO 構成例を紹介します。