このトピックでは、ユーザーベース SSO のシナリオ、プロセス、および設定について説明します。

シナリオ

Alibaba Cloud と企業の ID 管理システムが連携してユーザーベース SSO を実行するシナリオでは、Alibaba Cloud がサービスプロバイダー (SP) であり、企業システムが ID プロバイダー (IdP) です。 ユーザーベース SSO により、企業の従業員は Alibaba Cloud に RAM ユーザーとしてアクセスできます。

ユーザーベース SSO のプロセス

図 1. プロセス

上の図に示すように、管理者がユーザーベース SSO を設定した後、次のステップが完了すると、従業員 (Alice) は Alibaba Cloud にログインできるようになります。

  1. Alice がブラウザを介して Alibaba Cloud コンソールにログインし、Alibaba Cloud はブラウザに SAML 認証リクエストを返します。
  2. ブラウザは SAML 認証リクエストを IdP に転送します。
  3. IdP は Alice にログインを求め、ブラウザに SAML レスポンスを返します。
  4. ブラウザは SAML レスポンスを SSO サービスに転送します。
  5. SAML 相互信頼設定を通じて、SSO サービスは SAML レスポンスのデジタル署名を検証して、SAML アサーションの信頼性を確認します。次に、SAML アサーションの NameIDの値に基づいて RAM ユーザーの ID を照合します。
  6. SSO サービスは、Alibaba Cloud コンソールの URL をブラウザに返します。
  7. ブラウザは Alibaba Cloud コンソールにリダイレクトします。
    ステップ 1 で、従業員は必ずしも Alibaba Cloud にログインする必要はありません。 代わりに、従業員は IdP ポータル上のリンクをクリックして SAML 認証リクエストを IdP に送信し、Alibaba Cloud コンソールにアクセスすることができます。

ユーザーベース SSO の設定

ユーザーベース SSO を使用する前に、Alibaba Cloud と IdP の間に信頼を確立するように設定する必要があります。
  1. IdP が Alibaba Cloud から信頼されるようにするには、Alibaba Cloud コンソールで IdP を設定する必要があります。

    詳細は、「アカウントの SAML の設定」をご参照ください。

  2. Alibaba Cloud が IdP から信頼されるようにするには、Alibaba Cloud を信頼できる SAML SP として設定し、IdP で SAML アサーションを設定する必要があります。

    詳細は、「ユーザーベース SSO 使用時の IdP の SAML 設定の構成」をご参照ください。

  3. IdP と Alibaba Cloud を設定した後、SDK または CLI を使用するか、RAM コンソールにログインして、IdP と一致する RAM ユーザーを作成する必要があります。

    詳細は、「RAM ユーザーの作成」をご参照ください。

SAML アサーションと SAML SP を設定するプロセスは、IdP システムによって異なります。 Microsoft Active Directory フェデレーションサービス (AD FS) から Alibaba Cloud へのユーザーベース SSO を実装する方法については、「AD FS を使用したユーザーベース SSO の実装」をご参照ください。