すべてのプロダクト
Search

このプロダクト

    Secure Access Service Edge:IDaaS ID プロバイダーへの接続

    ドキュメントセンター

    Secure Access Service Edge:IDaaS ID プロバイダーへの接続

    最終更新日:Feb 06, 2026

    SASE は ID を使用してセキュリティポリシーを発行します。お客様の企業が既に組織構造の管理に IDaaS ID プロバイダーを導入している場合、その IDaaS ID プロバイダーを SASE に接続できます。これにより、従業員の ID 情報を再度作成する必要がなくなります。IDaaS ID プロバイダーを接続した後、従業員は社内アカウントを使用して SASE アプリにログインし、業務を行えるようになります。本トピックでは、IDaaS ID プロバイダーへの接続手順について説明します。

    制限事項

    同時に有効化できる ID プロバイダーは最大 5 つまでです。カスタム ID プロバイダーは同時には 1 つだけ有効化できます。すでに最大数の ID プロバイダーが有効化されている場合は、新しい ID プロバイダーを有効化する前に、既存の ID プロバイダーを無効化してください。

    IDaaS ID プロバイダーの構成

    1. Secure Access Service Edge コンソール にログインします。

    2. 左側のナビゲーションウィンドウで、Identity Authentication > Identity Access を選択します。

    3. Identity synchronization タブで、Create IdP をクリックします。

    4. Create IdP パネルで、IDaaS を選択し、Configure をクリックします。

    5. IDaaS の旧バージョンと新バージョンでは構成手順が異なります。構成ウィザードに従って、構成を完了してください。

      IDaaS 新バージョン の構成手順

      1. Basic Configurations ステップで、以下の表に示すパラメーターを設定します。

        構成項目

        説明

        IdP Name

        IDaaS ID プロバイダーの構成名です。

        名前は 2~100 文字で、漢字、英字、数字、ハイフン (-)、アンダースコア (_) を含めることができます。

        Description

        構成内容の説明です。

        この説明は SASE クライアントのログインタイトルとして表示されます。ログイン時に ID プロバイダーを識別するのに役立ちます。

        IdP Status

        ID ソースのステータスを設定します。有効な値は以下のとおりです。

        • Enabled:ID ソースは作成後に有効化されます。

        • Closed:ID ソースは作成後に無効化されます。

          重要

          ID ソースを無効化すると、エンドユーザーが SASE アプリを使用して内部アプリケーションにアクセスできなくなります。ご注意ください。

        IDaaS Version

        New Version を選択します。

        Regional Instance

        インスタンスが配置されているリージョンを選択します。Chinese Mainland または Outside Chinese Mainland を選択できます。

        SAML Metadata File

        SAML メタデータ構成ファイルをアップロードします。このファイルは、Single Sign-on タブで Alibaba Cloud SASE アプリケーションを作成した際に、IDaaS によって自動生成されます。

        Grant Read Permissions on Organizational Structure

        必要に応じて、部門構造の読み取り権限を付与します。有効な値は以下のとおりです。

        • Yes:IDaaS が企業のディレクトリ構造一覧を取得できるよう、API 情報を入力します。以下のフィールドを設定する必要があります。

          • Instance ID:新規 EIAM インスタンスの ID です。

          • Application ID:新規 EIAM インスタンスに追加した Alibaba Cloud SASE アプリケーションの ID です。

          • client_id:API 認証用の ID です。これは、General Configurations タブで Alibaba Cloud SASE アプリケーションを作成した際に、IDaaS によって自動生成されます。

          • client_secret:API 認証用のキーです。これは、General Configurations タブで Alibaba Cloud SASE アプリケーションを作成した際に、IDaaS によって自動生成されます。

          • Public Key Endpoint:これは、Account Synchronization タブで Alibaba Cloud SASE アプリケーションを作成した際に、IDaaS によって自動生成されます。

          • URL for Receiving Synchronization Requests:このアドレスを SASE コンソールからコピーし、IDaaS コンソールの同期受信アドレス欄に貼り付けます。

          • Encryption/Decryption Key:これは、Account Synchronization タブで Alibaba Cloud SASE アプリケーションを作成した際に、IDaaS によって自動生成されます。

            説明

            構成後、ディレクトリ一覧に基づいてセキュリティポリシーをバッチで発行できます。セキュリティポリシーの発行時には、従業員情報は読み込まれません。

          • Automatic SynchronizationAutomatic Synchronization を有効化すると、同期モードに応じて IDaaS からの情報をシステムが自動的に同期します。

            Automatic Synchronization を有効化しない場合は、組織構造を手動で同期する必要があります。詳細については、「同期レコードの表示」をご参照ください。

          • Synchronize User InformationSynchronize User Information スイッチを有効化すると、Automatic Synchronization Cycle に従って、WeCom から従業員情報をシステムが自動的に同期します。

            説明

            Automatic Synchronization が無効化されている場合、Synchronize User Information 機能は実行されません。

          • Automatic Synchronization CycleAutomatic Synchronization Cycle を設定します。自動同期は 1~24 時間ごとに実行できます。

        • No:部門構造の読み取り権限を付与しません。

        LOGO

        カスタム LOGO をアップロードします。

      2. Grant Read Permissions on Organizational StructureNo に設定した場合は、確認 をクリックして構成を完了します。

        Yes を選択した場合は、Connectivity Test をクリックできます。テストが成功した後、Next をクリックします。

      3. Synchronization Settings ステップで、組織構造の同期範囲およびフィールドマッピングを構成し、確認 をクリックします。

        構成項目

        説明

        Organizational Structure Synchronization

        組織構造の同期範囲を設定します。

        • Synchronize All:IDaaS 新バージョンから SASE システムへ、組織構造全体を同期します。

        • Partially Synchronize:同期する組織構造を選択します。

        Field Synchronization Mapping

        IDaaS 組織構造フィールドと SASE 同期フィールドのマッピングを設定します。

        説明

        SASE システムの組み込み Local Field After Mapping が業務要件を満たさない場合は、リスト右上隅の View Extended Fields をクリックします。View Extended Fields パネルで、拡張フィールドの追加、編集、削除が可能です。

      IDaaS 旧バージョン の構成手順

      1. Basic Configurations ステップで、以下の表に示すパラメーターを設定します。

        構成項目

        説明

        IdP Name

        IDaaS 構成の名前です。

        名前は 2~100 文字で、漢字、英字、数字、ハイフン (-)、アンダースコア (_) を含めることができます。

        Description

        構成内容の説明です。

        この説明は SASE クライアントのログインタイトルとして表示されます。ログイン時に ID プロバイダーを識別するのに役立ちます。

        IdP Status

        ID ソースのステータスを設定します。有効な値は以下のとおりです。

        • Enabled:ID ソースは作成後に有効化されます。

        • Closed:ID ソースは作成後に無効化されます。

          重要

          ID ソースを無効化すると、エンドユーザーが SASE アプリを使用して内部アプリケーションにアクセスできなくなります。ご注意ください。

        IDaaS Version

        Old Version を選択します。

        SAML Metadata File

        SAML メタデータ構成ファイルをアップロードします。このファイルは、アプリケーション詳細 (SAML) を作成した際に、IDaaS によって自動生成されます。

        Grant Read Permissions on Organizational Structure

        必要に応じて、部門構造の読み取り権限を付与します。有効な値は以下のとおりです。

        • Yes:IDaaS が企業のディレクトリ構造一覧を取得できるよう、API 情報を入力します。API Key および API Secret を設定し、自動同期機能を構成する必要があります。

          説明

          構成後、ディレクトリ一覧に基づいてセキュリティポリシーをバッチで発行できます。セキュリティポリシーの発行時には、従業員情報は読み込まれません。

          • Automatic SynchronizationAutomatic Synchronization を有効化すると、同期モードに応じて IDaaS からの情報をシステムが自動的に同期します。

            Automatic Synchronization を有効化しない場合は、組織構造を手動で同期する必要があります。詳細については、「同期レコードの表示」をご参照ください。

          • Synchronize User InformationSynchronize User Information スイッチを有効化すると、Automatic Synchronization Cycle に従って、WeCom から従業員情報をシステムが自動的に同期します。

            説明

            Automatic Synchronization が無効化されている場合、Synchronize User Information 機能は実行されません。

          • Automatic Synchronization CycleAutomatic Synchronization Cycle を設定します。自動同期は 1~24 時間ごとに実行できます。

        • No:部門構造の読み取り権限を付与しません。

        SP エンティティ ID

        業務システムのエンティティ ID です。固定値:https://saml-csas.aliyuncs.com/saml/metadata

        SP ACS URL

        SAML リクエストを受け付ける業務システムのアドレスです。固定値:https://saml-csas.aliyuncs.com/saml/acs

        LOGO

        カスタム LOGO をアップロードします。

      2. Grant Read Permissions on Organizational StructureNo に設定した場合は、確認 をクリックして構成を完了します。

        Yes を選択した場合は、Connectivity Test をクリックできます。テストが成功した後、確認 をクリックして構成を完了します。

    同期レコードの表示

    ID プロバイダーの構成時に Grant Read Permissions on Organizational Structure を選択し、自動同期を有効化した場合、自動同期が完了した後に同期レコードを表示できます。

    1. Identity synchronization タブで、目的の ID ソースを見つけ、Synchronize RecordsActions 列からクリックします。

    2. Synchronize Records ページで、ID ソースの同期レコードを表示できます。

    3. ページ左側の Synchronization Task エリアで、特定の同期タスクをクリックすると、右側のリストにその同期タスクの同期情報を表示できます。

      image

    4. 特定のタスクの DetailsActions 列からクリックすると、その同期における Third-party Data Source および SASE Data Source のフィールド情報を表示できます。

    手動同期

    ID ソースの構成時に Automatic Synchronization を有効化しなかった場合、または ID ソースの構造に変更があった場合は、情報を手動で同期する必要があります。このためには、Create Synchronization Task をクリックし、OK をクリックします。同期タスクが正常に完了するのを待ってから、同期レコードを表示してください。

    説明

    同期が成功した後、Identity Authentication > Identity Access > Employee Center タブで、同期された組織構造および従業員情報を表示できます。詳細については、「従業員センター」をご参照ください。

    自動同期の無効化

    • Identity synchronization ページで、目的の ID ソースを見つけ、Automatic Synchronization 列のスイッチをオフにします。

    • Edit IdP パネルで、自動同期スイッチをオフにします。

    IDaaS ID プロバイダーの編集

    Identity synchronization タブで、編集する IDaaS ID プロバイダーを見つけ、EditActions 列からクリックします。

    IDaaS ID プロバイダーの無効化

    Identity synchronization タブで、無効化する IDaaS ID プロバイダーを見つけ、IdP Status 列のスイッチをオフにします。

    IDaaS ID プロバイダーの削除

    Identity synchronization タブで、削除する IDaaS ID プロバイダーを見つけ、DeleteActions 列からクリックします。

    関連ドキュメント

    SASE ID プロバイダーの構成

    お客様の企業が ID プロバイダーを導入していない場合、SASE が提供するカスタム ID プロバイダーを使用して組織構造を構築できます。詳細については、「SASE ID プロバイダーの構成」をご参照ください。

    サードパーティ ID プロバイダーへの接続

    お客様の企業が LDAP、DingTalk、WeCom、Lark、IDaaS などの ID プロバイダーを組織構造の管理に既に導入している場合、その ID プロバイダーを SASE に接続できます。

    ユーザーグループの構成

    企業の組織構造外でユーザーグループを作成するには、「ユーザーグループ管理」をご参照ください。