すべてのプロダクト
Search

このプロダクト

    Resource Access Management:Azure ADを使用してユーザーベースSSOを実装する

    ドキュメントセンター

    Resource Access Management:Azure ADを使用してユーザーベースSSOを実装する

    最終更新日:Mar 12, 2025

    このトピックでは、Azure Active Directory (Azure AD) とAlibaba Cloud間でユーザーベースのシングルサインオン (SSO) を実装する方法の例を示します。 この例では、クラウドIDプロバイダー (IdP) からAlibaba cloudへのエンドツーエンドSSOプロセスについて説明します。

    背景情報

    開始する前に、Alibaba CloudアカウントとAzure ADテナントを作成する必要があります。 管理者と組織ユーザーu2がAzure ADテナントに追加されます。 管理者にはグローバル管理権限が割り当てられます。 組織ユーザーu2がユーザーベースSSOを使用してAlibaba Cloudにアクセスする必要があります。

    グローバル管理者権限が割り当てられた管理者としてAzure portalにログインし、この例では次の手順を実行する必要があります。 Azure ADでユーザーを作成し、ユーザーに権限を付与する方法の詳細については、 Azure ADのドキュメント

    ステップ1: Alibaba CloudのSAML SPメタデータファイルをダウンロードする

    1. にログインします。RAMコンソールをAlibaba Cloudアカウントに置き換えます。

    2. 左側のナビゲーションウィンドウで、統合 > SSO.

    3. On theSSOページをクリックし、ユーザーベースSSOタブをクリックします。

    4. では、セットアップSSOセクションの値をコピーします。SAMLサービスプロバイダのメタデータURL.

    5. ブラウザで新しいタブを開き、アドレスバーにURLを貼り付けます。 表示されるページで、ページを右クリックして [名前を付けて保存] を選択し、セキュリティアサーションマークアップ言語 (SAML) サービスプロバイダー (SP) メタデータファイルをXML形式でコンピューターにダウンロードします。

      説明

      XMLファイルには、Alibaba CloudをSAML SPとして設定するために必要な情報が含まれています。 後で使用できるように、entityIDおよびLocationパラメーターの値を記録します。

    ステップ2: Azure ADでアプリケーションを作成する

    1. にログインします。 管理者としてのAzure portal

    2. ホームページの左上隅で、SSO_AAD_iconアイコンが表示されます。

    3. 左側のナビゲーションウィンドウで、Azure Active Directory > エンタープライズアプリケーション > すべてのアプリケーション.

    4. 表示されるページで、新しいアプリケーション.

    5. On theAzure ADギャラリーの参照ページをクリックします。独自のアプリケーションを作成する.

    6. [独自のアプリケーションの作成] パネルで、アプリケーションの名前を入力します。 たとえば、AliyunSSODemoと入力できます。 次に、ギャラリーにない他のアプリケーションの統合を選択し、[作成] をクリックします。

    ステップ3: Azure ADでのSAMLの構成

    1. On theAliyunSSODemoページをクリックします。シングルサインオン左側のナビゲーションウィンドウに表示されます。

    2. では、シングルサインオン方式の選択セクション、をクリックSAML.

    3. [SAMLによるシングルサインオンの設定] ページで、次の手順を実行します。

      1. ページの左上隅で、メタデータファイルのアップロードメタデータファイルを選択し、追加.

        説明

        この例では、手順1: Alibaba CloudのSAML SPメタデータファイルをダウンロードするでダウンロードしたXMLファイルがアップロードされます。

      2. では、基本的なSAML設定パネル、次のパラメータを設定し、保存.

        • Identifier (Entity ID): このパラメーターを、上記のメタデータファイルから読み取られたentityIDの値に設定します。

        • 返信URL (Assertion Consumer Service URL): このパラメーターを、上記のメタデータファイルから読み取られたLocationの値に設定します。

        • リレー状態: SSOを使用してAzure ADにログインした後、Azure ADユーザーがリダイレクトされるAlibaba CloudサービスページのURLを入力します。

          説明

          セキュリティ上の理由から、Alibaba WebサイトのRelay Stateを指すURLを入力する必要があります。 たとえば、URLのドメイン名は、* .aliyun.com、* .hichina.com、* .yunos.com、* .taobao.com、* .tmall.com、* .alibabacloud.com、または * .alipay.comです。 Alibaba Webサイトを指していないURLを入力した場合、設定は無効です。 このパラメーターを空のままにすると、デフォルトでAlibaba Cloud管理コンソールのホームページにリダイレクトされます。

      3. では、SAML署名証明書セクション、をクリックダウンロードで、フェデレーションメタデータXML関連するXMLファイルをダウンロードします。

    手順4: Azure ADのアプリケーションにユーザーを割り当てる

    1. Azure ADホームページの左上隅で、SSO_AAD_iconアイコンが表示されます。

    2. 左側のナビゲーションウィンドウで、Azure Active Directory > エンタープライズアプリケーション > すべてのアプリケーション.

    3. では、名前列、クリックAliyunSSODemo.

    4. 左側のナビゲーションウィンドウで、ユーザーとグループ.

    5. 表示されるページで、ユーザー /グループの追加.

    6. [割り当ての追加] ページで、[ユーザー] をクリックします。 ユーザーパネルで、u2を選択し、[選択] をクリックします。

    7. クリック割り当て.

    手順5: Alibaba Cloud管理コンソールでRAMユーザーを作成する

    1. RAMコンソールの左側のナビゲーションウィンドウで、アイデンティティ > ユーザー.

    2. [ユーザー] ページで、[ユーザーの作成] をクリックします。

    3. では、ユーザーアカウント情報のセクションユーザーの作成ページを設定し、ログオン名表示名パラメーターを使用します。

      ログオン名とAzure ADユーザー名のプレフィックスは同じである必要があります。 この例では、ログオン名のプレフィックスはu2でなければなりません。

    4. では、アクセスモードセクションで、アクセスモードを選択します。

    5. クリックOK.

    ステップ6: Alibaba Cloud管理コンソールでユーザーベースSSOを有効にする

    1. RAMコンソールの左側のナビゲーションウィンドウで、統合 > SSO.

    2. On theSSOページをクリックし、ユーザーベースSSOタブをクリックします。

    3. クリック編集の右側にセットアップSSO.

    4. では、SSOステータスのセクションSSO設定パネル、クリック有効.

      説明

      ユーザーベースSSOは、Alibaba CloudアカウントのすべてのRAMユーザーに対して有効になります。 この機能を有効にすると、Alibaba CloudアカウントのすべてのRAMユーザーがSSOを使用してAlibaba Cloud管理コンソールにログインする必要があります。 RAMユーザーを使用する場合は、この手順でSSO StatusパラメーターをDisabledに設定します。 ユーザーベースSSOを有効にする前に、RAMユーザーのSSO設定を完了する必要があります。 それ以外の場合は、RAMユーザーとしてログオンできません。 この問題を回避するために、Alibaba Cloudアカウントを使用してユーザーベースSSOを設定することもできます。

    5. では、メタデータファイルセクション、をクリックファイルのアップロードで取得したIdPメタデータファイルをアップロードします。ステップ3: Azure ADでのSAMLの構成.

    6. [補助ドメイン名][有効] を選択します。 表示されるフィールドに、Azure ADユーザー名として使用する電子メールアドレスのドメイン名を入力します。

      この例では、Azure ADユーザーu2のユーザー名がu2@test.onmicrosoft.comであるため、ドメイン名がs test.onmicrosoft.comされます。

    7. クリックOK.

    ユーザーベースのSSO設定の確認

    SSOを設定した後、Alibaba CloudとAzure ADの両方からSSOログインを開始できます。

    • Alibaba Cloudからのログイン

      1. Alibaba CloudアカウントでRAMコンソールにログインします。 概要 ページで、RAMユーザーのログインURLをコピーします。

      2. ページの右上隅にあるプロフィール写真の上にポインターを移動し、[ログアウト] をクリックします。 次に、ログインURLをブラウザのアドレスバーに貼り付け、Enterキーを押します。 新しいタブでURLにアクセスすることもできます。

      3. 表示されるページで、[組織アカウントでログイン] をクリックします。 Azure ADのログインページにリダイレクトされます。Logon by using an organization account

      4. Azure ADユーザーu2を使用してログオンします。

        ログインが成功すると、リレー状態で指定されたページにリダイレクトされます。 Relay Stateが無効または指定されていない場合、Alibaba Cloud管理コンソールのホームページにリダイレクトされます。

        Verify the user-based SSO configurations

    • Azure ADからのログオン

      1. ユーザーアクセスURLを取得します。

        1. 最初に 管理者としてのAzure portal

        2. ホームページの左上隅にあるアイコンをクリックしSSO_AAD_iconます。

        3. 左側のナビゲーションウィンドウで、 [Azure Active Directory] > [エンタープライズアプリケーション] > [すべてのアプリケーション] を選択します。

        4. [AliyunSSODemo] をクリックします。

        5. 左側のナビゲーションウィンドウで、[プロパティ] をクリックし、[ユーザーアクセスURL] の値をコピーします。

          ブラウザのアドレスバーにユーザーアクセスURLを入力して、アプリケーションにアクセスできます。

          User access URL

      2. ブラウザのアドレスバーにユーザーアクセスURLを入力し、ログイン用のu2というユーザー名とパスワードを入力します。 管理者からURLを取得できます。

        ログインが成功すると、Relay Stateパラメーターで指定されたページにリダイレクトされます。 Relay Stateが無効または指定されていない場合、Alibaba Cloud管理コンソールのホームページにリダイレクトされます。

        Verify the user-based SSO configurations