System for Cross-domain Identity Management (SCIM) プロトコルを使用して、Alibaba Cloud IDaaS から RAM にアカウントをプロビジョニングし、アイデンティティ管理を自動化します。
前提条件
-
Alibaba Cloud アカウントまたは RAM ユーザーに、OAuth アプリケーションを作成する権限があること。
-
Alibaba Cloud アカウントまたは RAM ユーザーに、アカウント内のサーバーアプリケーションを認可する権限があること。
ステップ 1: OAuth アプリケーションの作成と認可
-
RAM コンソールにログインします。
-
左側のナビゲーションペインで、 を選択し、アプリケーションの作成 をクリックします。
-
Application Name と Display Name を入力します。 サーバーアプリケーション で サーバーアプリケーション を選択し、アプリケーションの作成 をクリックします。
-
アプリケーション名をクリックします。OAuth スコープ タブで、OAuth スコープの追加 をクリックします。OAuth スコープの追加 ダイアログボックスで、
/acs/scimを選択し、OK をクリックします。 -
OAuth アプリケーションを認可します。アプリケーション OAuth のスコープ タブで、Authorize をクリックします。認可ページで、[Alibaba Cloud Cross-domain Identity Management Service] を選択し、Authorize をクリックします。
-
App Secret タブで、Secret の作成 をクリックします。システムが、[AppSecretId] と AppSecretValue を含むキーペアを生成します。
-
シークレットをダウンロード をクリックしてキーファイルを安全な場所に保存し、close をクリックします。
重要シークレットは一度しか表示されず、このウィンドウを閉じた後は取得できなくなります。
ステップ 2: IDaaS での SCIM プロビジョニングの設定
-
Alibaba Cloud IDaaS コンソールで、Applications ページに移動します。Add Application をクリックして Marketplace を開き、[Alibaba Cloud User SSO] アプリケーションテンプレートを選択して追加します。
-
Account Sync タブに切り替えます。プロビジョニング範囲を設定し、Save をクリックします。
-
Synchronize IDaaS Account on Application を有効にします。
-
基本設定を構成します。
-
client_idとclient_secretを入力します。-
RAM コンソールにログインします。左側のナビゲーションペインで、 を選択します。
-
対象のアプリケーションを見つけて、その名前をクリックします。
-
基本情報 セクションで、Application ID (
client_id) を取得します。 -
Client Secret には、ステップ 1 で生成したキーペアの AppSecretValue を使用します。
-
-
操作コール:変更イベント (ユーザーの作成、更新、削除) をサブスクライブします。サブスクライブしたイベントが発生すると、IDaaS はリアルタイムで変更をターゲットアプリケーションにプロビジョニングします。
-
フルプッシュ範囲:有効にすると、フルプッシュ中に範囲内のすべてのデータをアプリケーションにプッシュします。
-
-
フィールドマッピング:必要に応じて SCIM フィールドマッピングルールをカスタマイズします。設定後、Save をクリックして、正確なデータプロビジョニングを確保します。
-
設定後、Save をクリックします。Test Connectivity 機能を使用して設定を検証します。
または、プロビジョニング範囲内のすべてのアカウントを一度に RAM にプッシュすることもできます。
ステップ 3:IDaaS でのアカウントのプロビジョニング
Push Now をクリックして、プロビジョニング範囲内のすべてのアカウントを RAM にプロビジョニングします。
