ここでは、ロールベース SSO のシナリオ、プロセス、および設定について説明します。
シナリオ
Alibaba Cloud と企業の ID 管理システムが連携してロールベース SSO を実行するシナリオでは、Alibaba Cloud がサービスプロバイダー (SP) であり、企業システムが ID プロバイダー (IdP) です。 ロールベース SSO により、企業は IdP から Alibaba Cloud へユーザーを同期させることなく、ローカル IdP でユーザーを管理でき、企業の従業員は RAM ロールを使用して Alibaba Cloud にログインできます。
ロールベース SSO のプロセス
ロールベース SSO では、Alibaba Cloud コンソールにログインするかプログラムを使用して、Alibaba Cloud にアクセスできます。
コンソールから Alibaba Cloud へのアクセス
図に示すように、管理者がロールベース SSO を設定した後、次のステップが完了すると、従業員 (Alice) は Alibaba Cloud にログインできるようになります。
- Alice はブラウザを使用して、IdP のログインページにアクセスし、対象のサービスとして Alibaba Cloud を選択します。
たとえば、IdP が Microsoft Active Directory フェデレーションサービス (AD FS) の場合、ログイン URL は
https://ADFSServiceName/adfs/ls/IdpInitiatedSignOn.aspxです。注 一部の IdP では、まずログインし、それから Alibaba Cloud を示す SSO アプリケーションを選択しなければなりません。 - IdP はブラウザへの SAML レスポンスを生成します。
- ブラウザは SSO サービスのページにリダイレクトし、SAML レスポンスを転送します。
- SSO サービスは SAML レスポンスを使用して Alibaba Cloud STS サービスから STS トークンをリクエストし、その STS トークンを使用して
Alibaba Cloud コンソールにログインできる URL を生成します。
注 複数の RAM ロールにマップされる属性が SAML レスポンスに含まれている場合、最初にロールを選択するように求められます。
- SSO サービスは URL をブラウザに返します。
- ブラウザは URL にリダイレクトし、指定された RAM ロールで Alibaba Cloud コンソールにログインします。
プログラムによる Alibaba Cloud へのアクセス
図に示すように、次のステップが完了した後、従業員 (Alice) は Alibaba Cloud にログインできるようになります。
- Alice はプログラムを使用して、IdP への認証リクエストを開始します。
- IdP は、ユーザーの SAML アサーションを含む SAML レスポンスを生成し、プログラムに返します。
- このプログラムは、Alibaba Cloud STS サービスの AssumeRoleWithSAML API 操作を呼び出し、Alibaba Cloud IdP の ARN、引き受けるロールの ARN、IdP から取得した SAML アサーションを含む情報を転送します。
- STS サービスは SAML アサーションを検証し、プログラムに STS トークンを返します。
- プログラムは STS トークンを使用して、Alibaba Cloud API を呼び出します。
ロールベース SSO の設定
ロールベース SSO を使用する前に、Alibaba Cloud と IdP の間に信頼を確立するように設定する必要があります。
- IdP が Alibaba Cloud から信頼されるようにするには、Alibaba Cloud コンソールで IdP を設定する必要があります。
詳細については、「ロールベース SSO の SAML の設定」をご参照ください。
- RAM ロールを作成し、権限を付与するには、プログラムを使用するか、RAM コンソールにログインする必要があります。
詳細については、「信頼できる IdP の RAM ロールの作成」をご参照ください。
- Alibaba Cloud が IdP から信頼されるようにするには、Alibaba Cloud を信頼できる SAML SP として設定し、IdP で SAML
アサーションを設定する必要があります。
詳細については、「ロールベース SSO 使用時の IdP の SAML の設定」をご参照ください。