Resource Access Management:SSO のユースケース

ユーザー同期を回避し、コストを削減するために、Alibaba Cloud 上でユーザーを作成または管理したくない場合。

プライマリアクセスに SSO を使用しつつ、少数のネイティブ RAM ユーザーも保持したい場合。これらのネイティブユーザーは、ID プロバイダー (IdP) やネットワークの停止が発生した場合のバックアップログインメソッドとして、または新しいクラウド機能をテストするために使用できます。

IdP 内でクラウド権限を一元管理したい場合。IdP のユーザーグループまたは属性を異なる RAM ユーザーにマッピングすることで、IdP 内でユーザーのグループメンバーシップまたは属性を変更するだけで、アクセスを許可または取り消すことができます。

複数の Alibaba Cloud アカウントを持ち、IdP が 1 つしかない場合。IdP を一度だけ構成することで、複数の Alibaba Cloud アカウントへの SSO を実装したい場合。

複数の IdP を持ち、Alibaba Cloud アカウントが 1 つしかない場合。アカウントで IdP を構成することで、複数の IdP から 1 つの Alibaba Cloud アカウントへの SSO を実装したい場合。

ユーザーにコンソールアクセスとプログラムによるアクセス (API 呼び出し) の両方が必要な場合。

ユーザーが Alibaba Cloud コンソールのログインページからログインプロセスを開始する、サービスプロバイダー (SP) 起点の SSO が必要な場合。

一部の Alibaba Cloud サービスは、RAM ロール (つまり STS 経由) ではアクセスできません。RAM ロールでアクセスできる Alibaba Cloud サービスの詳細については、「STS と連携するサービス」をご参照ください。

お使いの IdP が属性の複雑な構成をサポートしていない場合。

ロールベース SSO の高度な機能がなくても要件が満たされ、IdP 構成を簡素化したい場合。