Resource Access Management:SSO の適用シナリオ

このトピックでは、Alibaba Cloud でサポートされている 2 つの SSO 方式 (ロールベース SSO とユーザーベース SSO) の適用シナリオについて説明します。

ロールベース SSO

適用シナリオ

• ユーザーの同期化を回避するため、Alibaba Cloud 上でユーザーの作成や管理をしたくない。また、コストを削減したい。
• Alibaba Cloud に SSO を実装し、Alibaba Cloud の一部のユーザーを管理したい。 Alibaba Cloud で管理されているユーザーを使用して Alibaba Cloud の新機能をテストしたり、ネットワークや ID プロバイダー (IdP) に例外が発生した場合に Alibaba Cloud にログインすることができる。
• ローカル IdP のユーザーグループや特定のユーザー属性に応じて、Alibaba Cloud の操作権限を管理したい。 その結果、ローカル IdP でユーザーをグループ化するか、ユーザーの属性を変更することで、ユーザー権限を管理できる。
• 複数の Alibaba Cloud アカウントと、IdP を 1 つのみ所有している。 IdP を一度設定するだけで、複数の Alibaba Cloud アカウントに SSO を実装したい。
• 複数の IdP と、Alibaba Cloud アカウントを 1 つのみ所有している。 Alibaba Cloud アカウントに IdP を設定して、複数の IdP から 1 つの Alibaba Cloud アカウントに SSO を実装したい。
• コンソールを使用するか API を呼び出して、SSO を実装したい。

ユーザーベース SSO

適用シナリオ

• IdP からではなく、Alibaba Cloud からログインを開始したい。
• 一部の Alibaba Cloud サービスには、ロールによる (STS による) アクセスができない。 ロールによるアクセスが可能な Alibaba Cloud サービスについては、「RAM をサポートする Alibaba Cloud サービス」をご参照ください。
• IdP は属性の複雑な設定をサポートしていない。
• IdP 設定を単純化したい。