すべてのプロダクト
Search

このプロダクト

    Secure Access Service Edge:以前のバージョンの IDaaS ユーザーの安全なアクセスを確保するための SASE の使用

    ドキュメントセンター

    Secure Access Service Edge:以前のバージョンの IDaaS ユーザーの安全なアクセスを確保するための SASE の使用

    最終更新日:Jan 11, 2025

    Secure Access Service Edge(SASE)と Alibaba Cloud Identity as a Service(IDaaS)間の接続により、ユーザーは IDaaS アカウントを使用して SASE クライアントにログオンできます。このようにして、SASE コンソールでユーザーのアクセス許可を管理し、企業のオフィスデータのセキュリティを確保できます。このトピックでは、IDaaS アイデンティティプロバイダー(IdP)を SASE に接続する方法について説明します。

    シナリオ

    SASE は、企業のプライベートアクセス許可とインターネットアクセス許可を管理し、オフィスデータを保護するのに役立ちます。 IDaaS を使用して企業のユーザー情報を管理する場合、IDaaS IdP を SASE に接続して、ユーザーが IDaaS アカウントを使用して SASE クライアントにログオンできるようにすることができます。このようにして、SASE 用に別の ID 管理システムを維持する必要がなくなり、ユーザー情報の維持コストが削減されます。

    前提条件

    • SASE がアクティブ化され、SASE クライアントがインストールされています。詳細については、請求の概要をご参照ください。

    • IDaaS がアクティブ化されています。詳細については、無料インスタンスの作成をご参照ください。

    プロセス

    手順 1:SP エンティティ ID パラメーターと SP ACS URL パラメーターの値を取得する

    IDaaS IdP を SASE に接続する前に、Security Assertion Markup Language(SAML)アプリケーションを作成するために、[SP エンティティ ID] パラメーターと [SP ACS URL] パラメーターの値を取得します。[SP エンティティ ID][SP ACS URL] の値は固定です。次の固定値を保存します。

    • [SP エンティティ ID]: https://saml-csas.aliyuncs.com/saml/metadata

    • [SP ACS URL]: https://saml-csas.aliyuncs.com/saml/acs

    値を取得するには、SASE コンソールにログオンし、[ID アクセス] をクリックします。 [IdP 管理] タブで、[IdP の追加] をクリックします。 [追加] パネルで、[エンタープライズ Idp] パラメーターを [idaas] に設定して、[SP エンティティ ID] パラメーターと [SP ACS URL] パラメーターの値を取得します。

    手順 2:SAML アプリケーションを作成し、アプリケーションにアクセスするための権限を付与する

    SASE と IDaaS がセキュリティドメイン間で認証データと承認データを交換するための SAML アプリケーションを作成します。

    1. Alibaba Cloud Enterprise Identity Access Management(EIAM)インスタンスを作成します。詳細については、無料インスタンスの作成をご参照ください。

    2. [SAML] アプリケーションを作成し、アプリケーションにアクセスするための権限を付与します。

      1. 管理者アカウントを使用して IDaaS コンソール にログオンします。左側のナビゲーションペインで、[EIAM] をクリックします。

      2. [以前のバージョン] タブで、作成した EIAM インスタンスを見つけ、管理[アクション] 列の をクリックします。

      3. 左側のナビゲーションペインで、[アプリケーション] > [アプリケーションの追加] を選択します。

      4. 既存の [SAML] アプリケーションを見つけ、アプリケーションを追加[アクション] 列の をクリックします。

        検索ボックスに [SAML] と入力して、既存の [SAML] アプリケーションを検索することもできます。

      5. [アプリケーションの追加(SAML)] パネルで、[署名キーの追加] をクリックします。[署名キーの追加] パネルで、パラメーターを設定して SAML アプリケーションを作成します。次に、[送信] をクリックします。

      6. [アプリケーションの追加(SAML)] パネルで、追加した SAML アプリケーションを見つけ、選択[アクション] 列の 送信 をクリックします。パラメーターを設定し、 をクリックします。次の表にパラメーターを示します。

        パラメーター

        説明

        アプリケーション名

        アプリケーションの名前。

        SAML_test123

        IDaaS IdentityId

        認証に使用される IDaaS IdP の ID。このパラメーターは必須です。

        test

        SP エンティティ ID

        このパラメーターの値は固定です。

        https://saml-csas.aliyuncs.com/saml/metadata

        SP ACS URL(SSO ロケーション)

        このパラメーターの値は固定です。

        https://saml-csas.aliyuncs.com/saml/acs

        NameIdFormat

        名前の ID 形式。ドロップダウンリストから形式を選択する必要があります。

        farmat****

        バインディング

        IDaaS IdP がサードパーティアプリケーションまたはサービスプロバイダーから提供された Assertion Consumer Service(ACS)URL に SAML レスポンスを送信するために使用するメソッド。デフォルト値 POST を保持します。

        POST

        アサーション属性

        SAML アサーションの属性。属性を設定すると、その属性が SAML アサーションに追加されます。属性の名前はカスタムであり、属性の値はアカウントの対応する属性値である必要があります。次のアサーション属性を設定する必要があります。

        • ユーザー名

        • メールアドレス

        • 電話番号

        説明

        設定するアサーション属性は、SASE の IDaaS IdP のデフォルトの属性設定と一致している必要があります。デフォルトの属性設定は、SASE コンソールの Idp 管理 タブで単一の IDaaS IdP を作成するときに、属性設定 セクションに表示されます。

        • ユーザー名

        • メールアドレス

        • 電話番号

        アカウントリンクタイプ

        • アカウントの関連付け: システムは、IDaaS アカウントとアプリケーションアカウントの関係に基づいて、手動の関連付けを必要とします。管理者は手動の関連付けを確認する必要があります。

        • アカウントのマッピング: システムは、IDaaS アカウントの名前または指定されたフィールドをアプリケーションアカウントに自動的にマッピングします。

        アカウントマッピング

      7. アプリケーションが追加された後、表示されるダイアログボックスの [権限の付与] をクリックします。

      8. [アプリケーション承認サブジェクト] タブの [アプリケーション承認] ページで、作成した SAML アプリケーション SAML_test123 を選択し、アカウントに権限を付与します。次に、[保存] をクリックします。

    手順 3:メタデータファイルと API 情報を取得する

    IDaaS IdP を SASE に接続するために、次の操作を実行してメタデータファイルと API 情報を取得します。

    1. 管理者アカウントを使用して IDaaS コンソール にログオンします。左側のナビゲーションペインで、[EIAM] をクリックします。

    2. [以前のバージョン] タブで、作成した EIAM インスタンスを見つけ、管理[アクション] 列の をクリックします。

    3. 左側のナビゲーションペインで、[アプリケーション] > [アプリケーションリスト] を選択します。[アプリケーションリスト] ページで、作成した SAML アプリケーション SAML_test123 を見つけ、詳細[アクション] 列の をクリックします。

    4. [アプリケーション情報] セクションで、[詳細の表示] をクリックします。

    5. [アプリケーションの詳細(SAML)] パネルで、[メタデータのエクスポート] をクリックします。

    6. API[アプリケーションリスト] ページの APIキーAPIシークレット セクションで、API スイッチをオンにし、 パラメーターと パラメーターの値をコンピューターに保存します。

    手順 4:IDaaS IdP を SASE に接続する

    [IdP管理] タブで IDaaS IdP を追加して、IDaaS IdP を SASE に接続します。

    1. SASE コンソール にログオンします。左側のナビゲーションペインで、[ID 認証と管理] > [ID アクセス] を選択します。

    2. [idp 管理] タブで、[idp の追加] をクリックします。

    3. [追加] パネルで、[認証タイプ] パラメーターを [単一 Idp] に、[エンタープライズ Idp] パラメーターを [idaas] に設定し、その他のパラメーターを構成します。次に、[OK] をクリックします。

      パラメーター

      説明

      Idp 設定ステータス

      • 有効: IdP が有効になっていない場合、作成された IDaaS IdP を有効にできます。別の IdP が有効になっている場合、作成された IdP は無効になります。[IdP 管理] タブで別の IdP を無効にすると、作成された IdP を有効にできます。

        説明

        有効にできる IdP は 1 つだけです。

      • 無効: 作成された IdP を無効にし、後で有効にすることができます。

      有効

      設定名

      IDaaS IdP の名前。名前は 2 ~ 100 文字で、文字、数字、アンダースコア (_)、ハイフン (-) を使用できます。

      test123

      説明

      IdP の説明。

      説明は、SASE クライアントにログオンタイトルとして表示されます。これにより、ユーザーが SASE クライアントにログオンするときに IdP 情報が提供されます。

      IDaaS

      SAML メタデータファイル

      メタデータファイルの取得方法については、このトピックの手順 3: メタデータファイルと API 情報を取得するを参照してください。

      なし

      組織構造に対する読み取り権限の付与

      企業の組織構造を同期するかどうかを指定します。このオプションを選択すると、組織構造に基づいてセキュリティポリシーを一括適用できます。API キー パラメーターと API シークレット パラメーターの値の取得方法については、このトピックの手順 3: メタデータファイルと API 情報を取得するを参照してください。

      • API キー: dingwjlht8b93ara****

      • API シークレット: 1Uji1mEjhmWq_SmE0KNScspYk0bBgDrlZ95vUTR-bn4FbfeVQQKNr1_1giWA****

    手順 5:IdP が接続されているかどうかを確認する

    1. ダウンロードした SASE クライアントを開きます。

    2. [SASE Client Logon] ページで、エンタープライズ認証識別子を入力し、[確認] をクリックします。

      SASE コンソールの [設定] ページでエンタープライズ認証識別子を取得できます。

    3. オプション。ユーザーログオンでテキストメッセージベースの検証が有効になっている場合は、SMS 認証ページで受信した認証コードを入力します。

    4. IDaaS アカウントとパスワードを入力してログオンします。

      ログオンに成功すると、IdP は SASE に接続されます。