Alibaba Cloud IDaaS は、System for Cross-domain Identity Management (SCIM) 同期をサポートしています。IDaaS を使用して、DingTalk、Lark、Active Directory (AD) などのソースから既存の企業アカウントデータを Alibaba Cloud RAM に同期できます。詳細については、「ID プロバイダー」をご参照ください。この Topic では AD を例として使用し、SCIM プロトコルを使用してアカウントを RAM に同期する方法について説明します。
IDaaS インスタンスをアクティブ化する
Alibaba Cloud IDaaS 管理コンソールに移動します。または、プロダクトとサービスのナビゲーションウィンドウで Application Identity Service を見つけてクリックし、管理コンソールに移動することもできます。
[無料でインスタンスを作成] をクリックします。
AD データを IDaaS に同期する
この Topic では AD を例として使用します。統合を実行する際は、シナリオに適用されるオプションを選択してください。
DingTalk アカウントデータを IDaaS に同期するには、「DingTalk のアタッチ - インバウンド」をご参照ください。
WeCom アカウントデータを IDaaS に同期するには、「WeCom のアタッチ」をご参照ください。
Lark アカウントデータを IDaaS に同期するには、「Lark のアタッチ」をご参照ください。
AD アカウントを IDaaS に同期するには、「AD のアタッチ」をご参照ください。
OpenLDAP アカウントを IDaaS に同期するには、「OpenLDAP のアタッチ」をご参照ください。
Okta や Azure などの国際的な ID プロバイダーから IDaaS にアカウントデータを同期するには、「OIDC ID プロバイダーのアタッチ」をご参照ください。
AD 認証を使用してログインするには、デリゲート認証機能が有効になっていることを確認してください。詳細については、「AD/LDAP 認証を使用してサードパーティアプリケーションにログインする」をご参照ください。
同期が完了したら、[アカウント] ページで同期されたアカウントを表示できます。
IDaaS から RAM にデータを同期する
既存のアカウントデータを IDaaS にインポートした後、SCIM プロトコルを使用してアカウントを RAM にインポートできます。統合プロセスの詳細については、「SCIM を使用して RAM にアカウントを同期する」をご参照ください。
ステップ 1: RAM コンソールで OAuth アプリケーションを作成し、権限を付与する
OAuth アプリケーションを作成します。
RAM コンソールにログインします。
左側のナビゲーションウィンドウで、 を選択します。
[エンタープライズアプリケーション] タブで、[アプリケーションの作成] をクリックします。
[アプリケーションの作成] ページで、パラメーターを設定します。
[アプリケーション名] と [表示名] を設定します。
[アプリケーションタイプ] を [ネイティブアプリケーション] に設定します。
[アクセストークンの有効期間] を設定します。
[リフレッシュトークンの有効期間] を設定します。
[アプリケーションの作成] をクリックします。
OAuth アプリケーションに権限を付与します。
[エンタープライズアプリケーション] タブで、管理するアプリケーションを見つけます。
[OAuth スコープ] タブで、[OAuth スコープの追加] をクリックします。
[OAuth スコープの追加] パネルで、[/acs/scim] を選択します。
[OK] をクリックします。
OAuth アプリケーションのアプリケーションシークレットを作成します。
[アプリシークレット] タブをクリックし、[シークレットの作成] をクリックします。
[アプリシークレットの作成] ダイアログボックスで、作成されたアプリケーションシークレットを表示してコピーし、[閉じる] をクリックします。
重要アプリケーションシークレット (AppSecretValue) は作成時にのみ表示され、照会することはできません。できるだけ早くシークレットを保存してください。
ステップ 2: IDaaS で SCIM 同期を設定する
ステップ 3: 同期を実行する
[ワンクリックプッシュ] をクリックします。同期範囲内のアカウントが RAM に同期されます。