このトピックでは、System for Cross-domain Identity Management (SCIM) プロトコルを使用して Alibaba Cloud IDaaS から RAM にアカウントを同期し、ID 管理を自動化する方法について説明します。
前提条件
Alibaba Cloud アカウントまたは Resource Access Management (RAM) ユーザーには、OAuth アプリケーションを作成するために必要な権限が必要です。
Alibaba Cloud アカウントまたは RAM ユーザーには、サーバーアプリケーションに権限を付与するために必要な権限が必要です。自分のアカウントに属するサーバーアプリケーションにのみ権限を付与できます。
ステップ 1: RAM コンソールで OAuth アプリケーションを作成して承認する
RAM コンソールにログインします。
左側のナビゲーションウィンドウで、 を選択します。
[アプリケーション名] と [表示名] を入力します。[アプリケーションタイプ] で、[サーバーアプリケーション] を選択します。
[OAuth スコープの追加] ページで、[OAuth スコープ] セクションの /acs/scim を選択します。[アプリケーションの作成] をクリックします。
OAuth アプリケーションに権限を付与します。[アプリケーション OAuth スコープ] タブで、[権限付与] をクリックします。アプリケーションの権限付与ページで、[Alibaba Cloud Cross-domain Identity Management Service] を選択し、[権限付与] をクリックします。
[アプリケーションシークレット] タブで、[シークレットの作成] をクリックします。システムは、[AppSecretId] と [AppSecretValue] を含むキーペアを自動的に生成します。
キーが生成されたら、[シークレットのダウンロード] をクリックして、キーファイルを安全な場所に保存します。ファイルを保存したら、[閉じる] をクリックします。
重要シークレットは作成時にのみ表示されます。ウィンドウを閉じた後は取得できません。
ステップ 2: IDaaS で SCIM 同期を構成する
IDaaS インスタンスコンソールで、[アプリケーション] ページに移動します。[アプリケーションの追加] をクリックして [アプリケーションマーケットプレイス] を開きます。[Alibaba Cloud ユーザー SSO] アプリケーションテンプレートを選択して追加します。
[アカウント同期] タブに切り替えます。同期範囲を設定し、[保存] をクリックします。
[IDaaS からアプリケーションへの同期] を有効にします。
基本設定を構成します。
client_idとclient_secretを入力します。RAM コンソールにログインします。左側のナビゲーションウィンドウで、 を選択します。
SCIM 同期に使用するアプリケーションを見つけ、その名前をクリックして詳細ページを開きます。
アプリケーション詳細ページの [基本情報] セクションで、[アプリケーション ID] (client_id) をコピーします。
ステップ 1 のシークレット作成ステップで保存した [AppSecretValue] から client_secret を取得します。
操作の呼び出し: ユーザーの作成、更新、削除などの特定の変更イベントをサブスクライブできます。これらの変更のいずれかが IDaaS で発生すると、システムはターゲットアプリケーションへのリアルタイム同期プッシュを自動的にトリガーします。
フルプッシュスコープ: このオプションを選択すると、ワンクリックプッシュを実行したときに、定義されたスコープ内のすべてのデータがアプリケーションにプッシュされます。
フィールドマッピング: SCIM フィールドマッピングと属性マッチングのルールをカスタマイズします。調整後、[マッピングの保存] をクリックして、正確なデータ同期を確保します。
構成が完了したら、[保存] をクリックします。[接続のテスト] をクリックして、構成が正しいことを確認します。
必要に応じて、ワンクリックプッシュ機能を使用して、同期範囲内のすべてのアカウントを一度に RAM にプッシュできます。
ステップ 3: IDaaS で同期を実行する
[ワンクリックプッシュ] をクリックします。同期範囲内のアカウントが RAM に同期されます。
関連ドキュメント
同期中に RAM アカウントを削除できない場合は、「IDaaS 同期中に RAM アカウントの削除が失敗した場合はどうすればよいですか?」をご参照ください。