SCIM に基づいて Okta ユーザーを RAM に同期する - Resource Access Management

Alibaba Cloud は、System for Cross-domain Identity Management 2.0 (SCIM 2.0) および Open Authorization (OAuth) アプリケーションのセキュリティ認証に基づいて、Okta ユーザーを Resource Access Management (RAM) に同期できます。

前提条件

RAM コンソールですべての操作を実行するには、管理権限を持つ RAM ユーザー、または OAuth 管理権限を持つ RAM ユーザーを使用します。
Okta ポータルですべての操作を実行するには、Okta 管理者（スーパー管理者）を使用します。

背景情報

ユーザーの作成: Okta がアプリケーションにユーザーを割り当てると、同じユーザー名を持つ RAM ユーザーが RAM コンソールに自動的に作成されます。 Okta ユーザー名のドメイン名サフィックスは、RAM ユーザーのドメイン名に自動的に置き換えられます。
ユーザー属性の変更: Okta で [ Push Profile Updates ] を選択した場合、Okta ユーザーのユーザー属性を変更すると、同じユーザー名を持つ RAM ユーザーのユーザー属性が RAM コンソールで自動的に変更されます。 UserName パラメーターと DisplayName パラメーターの変更のみを RAM コンソールに同期できます。
Okta でユーザーを削除または割り当て解除すると、ユーザーの状態は Okta で active=false に変更されます。ただし、RAM ユーザーは有効または無効の状態をサポートしていないため、状態の変更を RAM コンソールに同期することはできません。
Okta のユーザーグループを RAM コンソールに同期することはできません。

ステップ 1: RAM コンソールで OAuth アプリケーションを作成し、OAuth アプリケーションに権限を付与する

OAuth アプリケーションを作成します。
1. RAM コンソールにログインします。
2. 左側のナビゲーションウィンドウで、[統合] > [OAuth プレビュー] を選択します。
3. [エンタープライズアプリケーション] タブで、[アプリケーションの作成] をクリックします。
4. [アプリケーションの作成] ページで、パラメーターを設定します。
  1. [アプリケーション名] と [表示名] を設定します。
  2. [アプリケーションの種類] を [ネイティブアプリケーション] に設定します。
  3. [アクセストークンの有効期間] を設定します。
  4. [更新トークンの有効期間] を設定します。
5. [アプリケーションの作成] をクリックします。
OAuth アプリケーションに権限を付与します。
1. [エンタープライズアプリケーション] タブで、管理するアプリケーションを見つけます。
2. [OAuth スコープ] タブで、[OAuth スコープの追加] をクリックします。
3. [OAuth スコープの追加] パネルで、[/acs/scim] を選択します。
4. [OK] をクリックします。
OAuth アプリケーションのアプリケーションシークレットを作成します。
1. [アプリシークレット] タブをクリックし、[シークレットの作成] をクリックします。
2. [アプリシークレットの作成] ダイアログボックスで、作成されたアプリケーションシークレットを表示してコピーし、[閉じる] をクリックします。
  重要
  アプリケーションシークレット ([AppSecretValue]) は、作成時にのみ表示され、クエリを実行することはできません。できるだけ早くシークレットを保存してください。

ステップ 2: Okta でアプリケーションを作成するOkta

Okta ポータルにログインします。
Okta ポータルの右上隅にあるアカウント名をクリックし、ドロップダウンリストから [組織] を選択します。
左側のナビゲーションウィンドウで、[アプリケーション] > [アプリケーション] を選択します。
[アプリケーション] ページで、[アプリ統合の作成] をクリックします。
[新しいアプリ統合の作成] ダイアログボックスで、[SAML 2.0] を選択し、[次へ] をクリックします。
表示されるページの [全般設定] ステップで、[アプリ名] フィールドに「AliyunSSODemo」と入力し、[次へ] をクリックします。
[SAML の設定] ステップで、パラメーターを設定し、[次へ] をクリックします。
- [シングルサインオン URL] フィールドに、「ステップ 1: Alibaba Cloud の Security Assertion Markup Language (SAML) SP メタデータファイルをダウンロードする」で取得した Location の値を入力します。手順 1：Alibaba Cloud の Security Assertion Markup Language（SAML）SP メタデータファイルをダウンロードする
- [対象者 URI] フィールドに、「ステップ 1: Alibaba Cloud の Security Assertion Markup Language (SAML) SP メタデータファイルをダウンロードする」で取得した entityID の値を入力します。手順 1：Alibaba Cloud の Security Assertion Markup Language（SAML）SP メタデータファイルをダウンロードする
- [デフォルト RelayState] フィールドに URL を入力します。ログイン後、システムによってその URL にリダイレクトされます。
  説明セキュリティ上の理由から、[デフォルト RelayState] フィールドには、Alibaba ウェブサイトを指す URL を入力する必要があります。たとえば、*.aliyun.com、*.hichina.com、*.yunos.com、*.taobao.com、*.tmall.com、*.alibabacloud.com、または *.alipay.com などのドメイン名を含む URL を入力できます。このパラメーターを空のままにすると、Alibaba Cloud 管理コンソールのホームページにリダイレクトされます。
- [永続的] を [名前 ID 形式] に選択します。
- [メール] を [アプリケーションユーザー名] に選択します。
[フィードバック] ページで、アプリケーションのタイプを選択し、[完了] をクリックします。

ステップ 3: Okta で SCIM 同期を設定するOkta

SCIM 同期を有効にします。
1. ステップ 2: Okta でアプリケーションを作成するで作成したアプリケーションで、[全般] タブをクリックします。
2. [アプリ設定] セクションで、[編集] をクリックします。
3. [SCIM プロビジョニングを有効にする] を選択し、[保存] をクリックして SCIM 同期を有効にします。
SCIM パラメーターを設定します。
1. [プロビジョニング] タブをクリックします。
2. 左側のナビゲーションウィンドウで、[統合] をクリックします。
3. [SCIM 接続] セクションで、[編集] をクリックし、次のパラメーターを設定します。
  - [SCIM コネクタベース URL]: https://scim.aliyun.com と入力します。
  - [ユーザーの一意の識別子フィールド]: userName と入力します。
  - サポートされているプロビジョニング操作: [新規ユーザーのインポートとプロファイルの更新] と [新規ユーザーのプッシュ] を選択します。
    説明
    [プッシュプロファイルの更新] はオプションであり、ユーザー属性の自動更新を有効にするかどうかを指定します。
  - [認証モード]: [OAuth 2] を選択します。
4. OAuth 2 パラメーターを設定します。
  - [アクセストークンエンドポイント URI]: https://oauth.alibabacloud.com/v1/token と入力します。
  - [認証エンドポイント URI]: https://signin.alibabacloud.com/oauth2/v1/auth と入力します。
  - [クライアント ID]: ステップ 1: RAM コンソールで OAuth アプリケーションを作成し、OAuth アプリケーションに権限を付与するで作成した OAuth アプリケーションの ID を入力します。
  - [クライアントシークレット]: ステップ 1: RAM コンソールで OAuth アプリケーションを作成し、OAuth アプリケーションに権限を付与するで作成したシークレットを入力します。
5. [保存] をクリックします。
コールバック URL を取得します。
1. [プロビジョニング] タブで、左側のナビゲーションウィンドウの [統合] をクリックします。
2. ページの下部にある [xxx で認証] をクリックします。
3. 表示されるページで、コールバック URL (リダイレクト url) をコピーします。
4. RAM コンソールにログインします。ステップ 1: RAM コンソールで OAuth アプリケーションを作成し、OAuth アプリケーションに権限を付与するで作成した OAuth アプリケーションに、コールバック URL を入力します。
5. Okta ポータルの現在のページに戻り、[xxx で認証] をクリックし、Alibaba Cloud 管理コンソールにログインして検証を完了します。
ユーザー同期パラメーターを設定します。
1. [プロビジョニング] タブで、左側のナビゲーションウィンドウの [アプリへ] をクリックします。
2. [アプリへのプロビジョニング] セクションで、[編集] をクリックします。
3. [ユーザーの作成] セクションで、[有効にする] を選択し、[保存] をクリックします。
  説明
  [SCIM 接続] セクションで [プロファイル更新のプッシュ] を有効にした場合は、このセクションの [プロファイル更新のプッシュ] を [有効] に設定する必要があります。
4. [<アプリ名> 属性マッピング] セクションで、属性マッピングを構成して不要な属性を削除し、次の図に示す属性のみを保持します。
5. [サインオン] タブで、[編集] をクリックします。
6. [アプリケーションユーザー名形式] を [Okta ユーザー名プレフィックス] に設定し、[保存] をクリックします。
アプリケーションにユーザーを割り当てます。
1. [割り当て] タブで、[割り当て] をクリックします。
2. [ユーザーに割り当て] をクリックして、アプリケーションにユーザーを割り当てます。

説明

同期中に問題が発生した場合は、[ログの表示] をクリックしてログを表示し、問題に対処できます。

結果の確認

上記の手順を完了すると、Okta ユーザーは RAM コンソールに自動的に同期されます。 RAM コンソールにログインし、同期されたユーザーを RAM ユーザーリストで表示できます。同期されたユーザーの [同期タイプ] は [SCIM ユーザー同期] です。