ご利用の SASE ID プロバイダー (IdP) を既存のシングルサインオン (SSO) システムに接続することで、ユーザーは SASE クライアント経由でオフィスアプリケーションにアクセスする際に、認証情報を再入力することなく利用できます。SASE では、OpenID Connect (OIDC) を基盤としたシングルサインオン (SSO) を採用しており、これは ID フェデレーションとも呼ばれます。
仕組み
SASE は、SSO フローにおいて ID プロバイダー (IdP) の役割を果たします。一方、既存の SSO システムに統合されたオフィスアプリケーションは、サービスプロバイダー (SP) として機能します。中央認証サーバがユーザーの認証情報を検証し、トークンを発行します。SASE IdP は SP の IdP とマップされるため、SASE IdP を利用するユーザーは、オフィスアプリケーションにアクセスできます。
ユーザーが SASE クライアントにログインすると、そのユーザーは SASE IdP に関連付けられ、ユーザー名、パスワード、または QR コードのスキャンを再入力することなく、すべての統合アプリケーションにアクセスできます。
以下の図は、このワークフローを示しています。
基本概念
| 用語 | 説明 |
|---|---|
| IdP | アイデンティティ管理サービスを提供する Resource Access Management (RAM) エンティティです。 |
| SP | IdP のアイデンティティ管理機能を利用してサービスを提供するアプリケーションです。SP は IdP からユーザー情報を取得します。 |
| OIDC | OAuth 2.0OAuth 2.0 を基盤とする認証プロトコルです。OAuth は権限付与を処理し、OIDC は ID レイヤーを追加することで、クライアントがユーザーの ID を検証し、HTTP RESTful API 経由で基本的なユーザー情報を取得できるようにします。 |
| OIDC トークン | OIDC がアプリケーションに対して発行する ID トークンです。ログイン済みのユーザーを識別し、基本的なユーザー情報を取得するために使用されます。 |
| クライアント ID | 外部 IdP にアプリケーションを登録した際に生成される ID です。外部 IdP から OIDC トークンを取得する際には、クライアント ID を指定する必要があります。この値は OIDC トークンの aud フィールドに格納されます。SASE で OIDC IdP を作成する際には、クライアント ID の設定が必要です。OIDC トークンを用いて STS トークンを取得する場合、Alibaba Cloud は aud フィールドの値が設定済みのクライアント ID と一致することを検証します。 |
| Issuer URL | 外部 IdP が提供する発行者 (issuer) の URL です。この値は OIDC トークンの iss フィールドに格納されます。URL は https で始まり、有効な URL 形式である必要があります。また、クエリパラメーター (?)、ログイン情報 (@)、フラグメント識別子 (#) を含んではなりません。 |
メリット
シームレスなアクセス:ユーザーは SASE クライアントに一度ログインするだけで、OIDC 統合済みのすべてのアプリケーションに認証情報を再入力することなくアクセスできます。
リアルタイムのデータセキュリティ:オフィスアプリケーションへのすべてのアクセスは SASE クライアントを経由するため、リアルタイムでデータセキュリティが確保されます。