このクイックスタートチュートリアルでは、Microsoft Entra ID (旧 Azure AD) を ID プロバイダーの例として使用し、ロールベース SSO の設定方法について説明します。設定が完了すると、ユーザーは Microsoft Entra ID アカウントを使用してログインし、指定された Alibaba Cloud RAM ロールを偽装できます。このプロセスにより、クラウドリソースにアクセスするための一時的なセキュリティトークンサービス (STS) トークンが提供されます。
お使いの環境でロールベース SSO を設定する前に、使用したい Alibaba Cloud サービスが RAM ロールをサポートしていることを確認してください。詳細については、「STS をサポートする Alibaba Cloud サービス」をご参照ください。
設定フロー
この例では、Microsoft Entra ID が ID プロバイダー (IdP) で、Alibaba Cloud RAM がサービスプロバイダー (SP) です。コア設定では、IdP と SP の間に双方向の信頼関係を確立します。また、Microsoft Entra ID のアプリケーションロールを Alibaba Cloud の RAM ロールにマップします。
ステップ 1: Microsoft Entra ID でエンタープライズアプリケーションを作成する。Microsoft Entra ID アプリケーションギャラリーから [Alibaba Cloud Service (ロールベース SSO)] アプリケーションテンプレートを使用して、エンタープライズアプリケーションを作成します。
ステップ 2: Microsoft Entra ID で SAML を設定する。Microsoft Entra ID で、Alibaba Cloud のロールベース SSO を信頼できる SAML [サービスプロバイダー] として設定します。
ステップ 3: Alibaba Cloud で ID プロバイダーを作成する。Alibaba Cloud RAM で、Microsoft Entra ID を信頼できる SAML [ID プロバイダー] として設定します。
ステップ 4: Alibaba Cloud で RAM ロールを作成する。Alibaba Cloud RAM で、[信頼できるエンティティ] タイプを [ID プロバイダー] に設定して RAM ロールを作成します。
ステップ 5: Microsoft Entra ID でアプリケーションロールを作成し、ユーザーを割り当てる。Microsoft Entra ID で Alibaba Cloud ロールベース SSO アプリケーションのアプリケーションロールを作成および設定し、テストユーザーをエンタープライズアプリケーションに割り当てます。
SSO ログインを検証する。ロールベース SSO ログインが成功したことを確認します。
準備
RAM コンソールで操作を実行するには、AliyunRAMFullAccess 権限を持つ RAM 管理者が必要です。RAM ユーザーの作成と権限の付与についての詳細については、「RAM ユーザーの作成」および「RAM ユーザーへの権限付与」をご参照ください。
Microsoft Entra ID で操作を実行するには、グローバル管理者ロールを持つ Microsoft Entra ID 管理者が必要です。Microsoft Entra ID でのユーザーの作成と権限の付与についての詳細については、「Microsoft Entra ID ドキュメント」をご参照ください。
ステップ 1: Microsoft Entra ID でエンタープライズアプリケーションを作成する
Microsoft Entra ID 管理者として Azure ポータルにログインします。
ホームページの左上隅にある
アイコンをクリックします。左側のナビゲーションウィンドウで、 を選択します。
[新しいアプリケーション] をクリックします。
[Alibaba Cloud Service (ロールベース SSO)] を検索してクリックします。
アプリケーション名を入力し、[作成] をクリックします。
この例では、デフォルトのアプリケーション名
Alibaba Cloud Service (Role-based SSO)を使用します。カスタムアプリケーション名を使用することもできます。
ステップ 2: Microsoft Entra ID で SAML を設定する
[Alibaba Cloud Service (ロールベース SSO)] ページの左側のナビゲーションウィンドウで、 を選択します。
[SAML] をクリックします。
SSO 情報を設定します。
ページの左上隅にある [メタデータファイルのアップロード] をクリックし、Alibaba Cloud ロールベース SSO メタデータファイルを選択して、[追加] をクリックします。
説明次の URL からメタデータファイルを取得できます。新しいブラウザウィンドウで URL を開き、メタデータ XML ファイルをコンピューターに保存します:
https://signin.alibabacloud.com/saml-role/sp-metadata.xml。[基本的な SAML 構成] ページで、次の情報を設定し、[保存] をクリックします。
識別子 (エンティティ ID):
entityIDの値は、前のステップのメタデータファイルから自動的に入力されます。応答 URL (Assertion Consumer Service URL):
Locationの値は、前のステップのメタデータファイルから自動的に入力されます。
[属性と要求] セクションで、
アイコンをクリックし、次の 2 つの要求が存在することを確認します。
存在しない場合は、[新しい要求の追加] をクリックし、次の表の情報に基づいて 2 つの要求を追加します。
名前
名前空間
ソース
ソース属性
Rolehttps://www.aliyun.com/SAML-Role/Attributes属性
user.assignedroles
RoleSessionNamehttps://www.aliyun.com/SAML-Role/Attributes属性
user.userprincipalname
[SAML 証明書] セクションで、[ダウンロード] をクリックして [フェデレーションメタデータ XML] を取得します。
ステップ 3: Alibaba Cloud で ID プロバイダーを作成する
RAM 管理者として RAM コンソールにログインします。
左側のナビゲーションウィンドウで、 を選択します。
[ロールベース SSO] タブで、[SAML] タブをクリックし、[ID プロバイダーの作成] をクリックします。
[ID プロバイダーの作成] ページで、[ID プロバイダー名] を
AADに設定します。[メタデータのアップロード] をクリックし、ステップ 2: Microsoft Entra ID で SAML を設定するでダウンロードした [フェデレーションメタデータ XML] ファイルをアップロードします。
[ID プロバイダーの作成] をクリックします。
作成した ID プロバイダー
AADをクリックします。[基本情報] セクションで、後で使用するために ID プロバイダーの [ARN] を見つけてコピーします。
ステップ 4: Alibaba Cloud で RAM ロールを作成する
RAM コンソールの左側のナビゲーションウィンドウで、 を選択します。
[ロール] ページで、[ロールの作成] をクリックします。
[ロールの作成] ページの右上隅にある [エディターの切り替え] をクリックします。
エディターで SAML ID プロバイダーを指定します。
エディターは、ビジュアルエディターとスクリプトエディターモードをサポートしています。どちらのモードも選択できます。この例では、ビジュアルエディターを使用します。[プリンシパル] セクションで、[ID プロバイダー] の信頼できるエンティティタイプを選択し、[編集] をクリックします。次に、AAD を ID プロバイダーとして指定し、[ID プロバイダータイプ] を [SAML] に設定します。
[ロールの作成] ダイアログボックスで、[ロール名] (AADrole) を入力し、[OK] をクリックしてロールを作成します。
作成した RAM ロールをクリックします。[基本情報] セクションで、後で使用するためにロールの [ARN] を見つけてコピーします。
必要に応じて RAM ロールに権限を追加できます。詳細については、「RAM ロールへの権限付与」をご参照ください。
ステップ 5: Microsoft Entra ID でアプリケーションロールを作成し、ユーザーを割り当てる
Microsoft Entra ID でロールを作成します。
管理者として Azure ポータルにログインします。
左側のナビゲーションウィンドウで、 を選択します。
[すべてのアプリケーション] タブをクリックし、[Alibaba Cloud Service (ロールベース SSO)] をクリックします。
左側のナビゲーションウィンドウで、 を選択します。
[アプリ ロールの作成] をクリックします。
[アプリ ロールの作成] ページで、次のロール情報を設定し、[適用] をクリックします。
表示名: この例では
Adminと入力します。許可されるメンバーの種類: この例では [ユーザー/グループ + アプリケーション] を選択します。
値: RAM ロールの ARN と ID プロバイダーの ARN をコンマ (,) で区切って入力します。この例では、
acs:ram::187125022722****:role/aadrole,acs:ram::187125022722****:saml-provider/AADを入力します。説明入力順序は
RAM ロールの ARN,ID プロバイダーの ARNである必要があります。順序が正しくないと、ロールベース SSO ログインが失敗します。説明: 説明を入力します。
[このアプリ ロールを有効にしますか?] を選択します。
説明Microsoft Entra ID で複数のロールを作成するには、上記の手順を繰り返し、異なる表示名とアプリケーションロール値を設定します。
ユーザーをエンタープライズアプリケーションに割り当て、ロールを指定します。
左側のナビゲーションウィンドウで、 を選択します。
[名前] リストで、[Alibaba Cloud Service (ロールベース SSO)] をクリックします。
左側のナビゲーションウィンドウで、 を選択します。
左上隅にある [ユーザー/グループの追加] をクリックします。
[割り当ての追加] ページで、ターゲットユーザーを選択し、[選択] をクリックします。
選択したロールが Admin であることを確認します。そうでない場合は、Admin に変更します。次に、[割り当て] をクリックします。
SSO ログインを検証する
ロールベース SSO は IdP 起点の SSO ログインのみをサポートします。したがって、結果を検証するには Microsoft Entra ID からログインする必要があります。
ユーザーアクセス URL を取得します。
管理者として Azure ポータルにログインします。
左側のナビゲーションウィンドウで、 を選択します。
[名前] リストで、[Alibaba Cloud Service (ロールベース SSO)] をクリックします。
左側のナビゲーションウィンドウで、 を選択し、[ユーザーアクセス URL] を取得します。
テストユーザー (ssotest01@example.onmicrosoft.com) は、管理者から [ユーザーアクセス URL] を取得し、ブラウザに URL を入力して、自分のアカウントでログインします。ログインに成功すると、ユーザーは Alibaba Cloud 管理コンソールにリダイレクトされます。定義された RAM ロール (
aadrole) がアカウント名の前に表示されます。
参考資料
詳細については、以下のトピックをご参照ください。
Alibaba Cloud SSO の詳細については、「SSO の概要」をご参照ください。
Alibaba Cloud ユーザーベース SSO の仕組みについては、「ユーザーベース SSO の概要」をご参照ください。
Alibaba Cloud ユーザーベース SSO の設定例については、「Microsoft Entra ID を使用したユーザーベース SSO の例」をご参照ください。
Alibaba Cloud SAML ベースのロールベース SSO の仕組みについては、「SAML ベースのロールベース SSO の概要」をご参照ください。
Alibaba Cloud SAML ベースのロールベース SSO の高度な設定例については、「Microsoft Entra ID を使用したロールベース SSO の例」をご参照ください。
一般的な SSO の問題のトラブルシューティングについては、「SSO に関するよくある質問」をご参照ください。