このトピックでは、Alibaba Cloud IDaaS でロールベース SSO を構成する方法について説明します。ロールベース SSO を使用すると、メンバーごとに RAM ユーザーを作成する必要はありません。
ステップ 1:IDaaS でアプリケーションを作成する
IDaaS コンソール にログインします。
IDaaS インスタンスを選択し、下の操作エリアで [コンソールにアクセス] をクリックします。
に移動し、Alibaba Cloud ロールベース SSO アプリケーションテンプレートを検索します。 [アプリケーションの追加] をクリックします。
アプリケーション名を確認し、[今すぐ追加] をクリックします。
ステップ 2:IDaaS でアプリケーション SSO を構成する
アプリケーションを追加すると、自動的に [SSO] タブにリダイレクトされます。このタブで SSO を構成できます。
SSO 構成を入力します。
[Alibaba Cloud アカウント ID]:コンソールのホームページ - プロフィール画像/アカウントセンターでこれを表示します。
[ID プロバイダー名]:英字、数字、または文字「.-_」のみがサポートされており、特殊文字で開始または終了することはできません。
[アプリケーションアカウント]:SSO 中にプライマリキーとして使用され、RAM ロールと照合されます。
[承認範囲]:テストでは、権限割り当てステップをスキップするために「すべてのメンバーがアクセス可能」を選択することをお勧めします。
[アプリケーション構成情報] で、[ダウンロード] をクリックして IdP メタデータをダウンロードし、コンピューターに保存します。このファイルは、Alibaba Cloud と IDaaS 間の信頼関係を確立するために使用されます。
で、[アプリケーションアカウントの追加] をクリックします。
Alibaba Cloud のロールベース SSO を開始するために使用する IDaaS アカウントを選択し、そのアカウントのアプリケーションアカウントを追加します。アプリケーションアカウント名は Alibaba Cloud ロール名と完全に一致する必要があります。 IDaaS アカウントに複数の Alibaba Cloud ロールが割り当てられている場合は、複数のアプリケーションアカウントを作成できます。
3. RAM でロールベース SSO を構成する
RAM コンソール にログインします。
左側のナビゲーションバーで、 を選択します。
[ロールベース SSO] タブで、最初に [SAML] タブをクリックし、次に [ID プロバイダーの作成] をクリックします。
ID プロバイダー名を入力し (ID プロバイダー名は ステップ 2 の ID プロバイダー名と同じである必要があります)、ステップ 2 で IDaaS からダウンロードした IdP メタデータをアップロードし、[OK] をクリックして ID プロバイダーの作成を完了します。
ステップ 4:RAM で ID プロバイダーの権限を構成する
RAM コンソール にログインします。
左側のナビゲーションバーで、 を選択します。
[ロール] ページで、[ロールの作成] をクリックします。
[ロールの作成] ページで、右上隅にある [エディターの切り替え] をクリックします。
[ID プロバイダー] を選択し、[編集] をクリックし、[ID プロバイダータイプ] ( ステップ 3 で作成した ID プロバイダーを選択) を選択し、[OK] をクリックします。
[ロールの作成] ダイアログボックスで、[ロール名] を入力し、[OK] をクリックします ([ロール名] は ステップ 2 のアプリケーションアカウント名と一致する必要があります)。
RAM ロールに権限を割り当てることができます。このロールを使用して Alibaba Cloud にサインインするすべての IDaaS アカウントは、同じ権限を持ちます。
ステップ 5:SSO を確認する
[Alibaba Cloud ロールベース SSO] アプリケーション権限を持つ IDaaS アカウントを使用して IDaaS アプリケーションポータルページにログインし、ページ上の [Alibaba Cloud ロールベース SSO] アイコンをクリックしてシングルサインオンを開始します。
IDaaS アカウントに 2 つ以上のアプリケーションアカウントまたは Alibaba Cloud ロールが構成されている場合は、1 つのアプリケーションアカウントのみを選択して SSO を開始します。
適切なアプリケーションアカウントを選択し、[OK] をクリックして、ロールとして Alibaba Cloud にサインインします。