Resource Access Management:Google Workspace を使用したユーザーベース SSO の例

ステップ 1: Alibaba Cloud の Security Assertion Markup Language (SAML) SP メタデータファイルをダウンロードする

1. RAM 管理者として Resource Access Management (RAM) コンソールにログインします。

2. 左側のナビゲーションウィンドウで、[統合] > [SSO] を選択します。

3. [ユーザーベース SSO] タブをクリックします。[SAML サービスプロバイダーメタデータ] セクションで、現在の Alibaba Cloud アカウントのメタデータ URL をコピーします。

4. コピーしたリンクを新しいブラウザウィンドウで開きます。メタデータ XML ファイルをローカルに保存します。

   説明

   メタデータ XML ファイルには、Alibaba Cloud を Security Assertion Markup Language (SAML) サービスプロバイダー (SP) として設定するために必要な情報が含まれています。Google Workspace での設定のために、XML ファイルから EntityDescriptor 要素の entityID 属性値と AssertionConsumerService 要素の Location 属性値を記録する必要があります。

ステップ 2: Google Workspace で SAML ベースの SSO をサポートするアプリケーションを作成する

1. スーパー管理者を使用して Google Workspace 管理コンソールにログインします。

2. 左側のナビゲーションウィンドウで、[アプリ] > [ウェブアプリとモバイルアプリ] を選択します。

3. [アプリを追加] > [カスタム SAML アプリを追加] を選択します。

4. [カスタム SAML アプリを追加] ウィザードで、SAML ベースの SSO をサポートするアプリケーションを作成します。

   1. [アプリの詳細] ステップで、作成するアプリケーションの名前を入力します。たとえば、AlibabaCloudUserSSO と入力できます。次に、[続行] をクリックします。

   2. [Google ID プロバイダーの詳細] ステップで、[メタデータをダウンロード] をクリックしてメタデータドキュメントをダウンロードし、[続行] をクリックします。

   3. [サービスプロバイダーの詳細] ステップで、[ACS URL] と [エンティティ ID] パラメーターを設定し、[続行] をクリックします。

      • ACS URL：「ステップ 1: Alibaba Cloud の SAML SP メタデータファイルをダウンロードする」で記録したLocation の値。

      • エンティティ ID：手順 1: Alibaba Cloud の Security Assertion Markup Language (SAML) SP メタデータファイルをダウンロードするで記載されている entityID の値。

      • 開始 URL: SSO ログインが成功した後にユーザーがリダイレクトされる Alibaba Cloud ページ。

        説明

        セキュリティ上の理由から、[デフォルトの RelayState] には Alibaba ドメイン名の URL のみ入力できます。例: *.aliyun.com、*.hichina.com、*.yunos.com、*.taobao.com、*.tmall.com、*.alibabacloud.com、*.alipay.com。それ以外の場合、設定は無効になります。このパラメーターを指定しない場合、ユーザーはデフォルトで Alibaba Cloud 管理コンソールのホームページにリダイレクトされます。

   4. [属性マッピング] ステップで、[完了] をクリックします。

5. 表示されたページで、[ユーザーアクセス] をクリックします。

6. オプション: 表示されたページで、[組織単位] ドロップダウンリストから SSO を使用してログインする組織単位を選択します。デフォルトでは、すべての組織単位が選択されています。

7. [サービスステータス] セクションで、[全員に対してオン] を選択します。

   説明

   ステップ 6 で組織単位を指定した場合は、[オン] を選択します。

8. [保存] をクリックします。

ステップ 3: Alibaba Cloud 管理コンソールでユーザーベース SSO を有効にする

1. RAM コンソールの左側のナビゲーションウィンドウで、[統合] > [SSO] を選択します。

2. [ユーザーベース SSO] タブをクリックします。[SSO ステータス] セクションで、[有効] をクリックします。

   説明

   ユーザーベース SSO はグローバル機能です。有効にすると、すべての RAM ユーザーは SSO を使用してログインする必要があります。RAM ユーザーとして SSO を設定している場合は、この機能を当面無効にしておいてください。ログインできなくなるような設定エラーを避けるために、まず RAM ユーザーを作成する必要があります。この問題を回避するために、Alibaba Cloud アカウントを使用してこの設定を実行することもできます。

3. [メタデータファイル] セクションで、[メタデータのアップロード] をクリックして、ステップ 2: Google Workspace で SAML ベースの SSO をサポートするアプリケーションを作成する で取得した IdP メタデータファイルをアップロードします。

4. [補助ドメイン名] セクションで、[編集] をクリックします。次に、補助ドメイン名を有効にし、Google Workspace のユーザー名のメールサフィックスで設定します。

   説明

   Google Workspace アカウントに異なるメールサフィックスを持つユーザーがいる場合、ここで設定したサフィックスで終わるメールアドレスを持つユーザーのみが Alibaba Cloud にログインできます。

ステップ 4: Google Workspace でユーザーを作成する

1. Google Workspace 管理コンソールの左側のナビゲーションウィンドウで、[ディレクトリ] > [ユーザー] を選択します。

2. [新しいユーザーを追加] をクリックします。

3. [ユーザー情報] ページで、[名]、[姓]、[メインのメールアドレス]、および [組織単位] パラメーターを設定します。たとえば、メインのメールアドレスパラメーターに u2@example.com を指定できます。次に、[新しいユーザーを追加] をクリックします。

   説明

   ステップ 2: Google Workspace で SAML ベースの SSO をサポートするアプリケーションを作成する でアプリケーションに組織単位を指定した場合、ここの [組織単位] は同じでなければなりません。

ステップ 5: Alibaba Cloud 管理コンソールで RAM ユーザーを作成する

1. RAM コンソールの左側のナビゲーションウィンドウで、[ID] > [ユーザー] を選択します。

2. [ユーザー] ページで、[ユーザーの作成] をクリックします。

3. [ユーザーの作成] ページで、[ログオン名] と [表示名] パラメーターを設定します。

   説明

   RAM ユーザーのログオン名のプレフィックスが、Google Workspace のユーザー名のプレフィックスと同じであることを確認してください。この例では、プレフィックスは u2 です。

4. [アクセスモード] セクションで、[コンソールアクセス] を選択し、パラメーターを設定します。

5. [OK] をクリックします。

検証結果

SSO を設定した後、Alibaba Cloud と Google Workspace の両方から SSO ログインを開始できます。