SAML プロトコルに基づいて Alibaba Cloud Identity as a Service と WUYING Workspace の間でメタデータファイルを交換することで、シングルサインオン (SSO) を実装します。このプロセスにより、エンドユーザーは IDaaS のアクセス認証情報を使用して WUYING ターミナルに安全にログインできます。このトピックでは、この構成を完了する方法について説明します。
背景情報
Identity as a Service (IDaaS) は、Alibaba Cloud がエンタープライズユーザー向けに提供する、クラウドネイティブで費用対効果が高く、便利な ID および権限管理システムです。 詳細については、「IDaaS EIAM とは」をご参照ください。
このトピックでは、Alibaba Cloud Identity as a Service (IDaaS) を例として使用し、簡便 オフィスネットワーク または組織 ID の SSO を構成する方法について説明します。これらの手順を、特定の ID プロバイダー (IdP) で SAML ベースの SSO を構成するように適合させることができます。
オフィスネットワークの SSO の構成
ステップ 1: オフィスネットワークの SSO 機能の有効化
次の手順を実行して、対象の オフィスネットワーク の SSO 機能を有効にします。
EDS Enterprise コンソールにログインします。
左側のナビゲーションウィンドウで、 を選択します。
上部のナビゲーションバーの左上隅で、リージョンを選択します。
[オフィスネットワーク] ページで、対象の オフィスネットワーク を見つけ、オフィスネットワーク ID をクリックします。
オフィスネットワーク の詳細ページの下部にある [その他の情報] セクションで、[SSO 設定] スイッチをオンにします。
説明SSO 設定、MFA、およびクライアントログイン検証は相互に排他的です。いつでも、オフィスネットワーク に対してこれらのログイン検証方法の 1 つだけを有効にできます。組織 ID の場合、これらの機能は相互に排他的ではなく、同時に有効にすることができます。
ステップ 2: IDaaS コンソールで WUYING Workspace を信頼できる SP として構成する
Alibaba Cloud IDaaS コンソールにログインします。
[EIAM] ページの [IDaaS] タブで、IDaaS インスタンスを作成します。 詳細については、「無料インスタンスの作成」をご参照ください。
アカウントを作成します。 詳細については、「アカウントの作成」をご参照ください。
説明IDaaS コンソールで作成するアカウント名は、WUYING Workspace の簡便アカウントのユーザー名と同じである必要があります。
IDaaS インスタンスの ID をクリックします。次に、EIAM コンソールで [Alibaba Cloud-WUYING] アプリケーションを追加します。
左側のナビゲーションウィンドウで、[アプリケーション] をクリックします。
[アプリケーション] ページで、[アプリケーションの追加] をクリックします。
[アプリケーションマーケットプレイス] タブで、検索ボックスに
WUYINGと入力します。[Alibaba Cloud-WUYING] カードで、[アプリケーションの追加] をクリックします。
確認ダイアログボックスで、[今すぐ追加] をクリックします。
[アプリケーション] ページでステータスが [有効] になると、アプリケーションは正常に追加されます。
IDaaS の SSO を有効にします。
[アプリケーション] ページで、アプリケーションを見つけ、[アクション] 列の [管理] をクリックします。
アプリケーションの詳細ページで、 を選択します。
[SSO 構成] スイッチを [有効] に設定します。
[Alibaba Cloud-WUYING] を信頼できるサービスプロバイダー (SP) として構成します。
ステップ 1 の オフィスネットワーク ID を入力します。
必要に応じてアプリケーションアカウントを選択します。たとえば、IDaaS アカウントを選択します。
説明デフォルトでは、IDaaS アカウント名がアプリケーションのログイン識別子として使用されます。
アプリケーションアカウントを選択した場合、SSO を完了するには、アプリケーションアカウント名が IDaaS ログインアカウント名と同じである必要があります。 詳細については、「SAML アプリケーションアカウントの構成」をご参照ください。
必要に応じて権限付与の範囲を選択します。たとえば、[すべてにアクセス可能] を選択します。
説明特定の IDaaS アカウントのみがアプリケーションにアクセスできるようにする場合は、[手動承認] を選択します。その後、アプリケーションの権限付与を追加する必要があります。 詳細については、「アプリケーションの権限付与」をご参照ください。
[保存] をクリックします。
[アプリケーション構成情報] セクションで、[IdP メタデータ] を見つけ、[ダウンロード] をクリックして SAML メタデータファイルを取得します。
ステップ 3: WUYING Workspace コンソールで、IDaaS を信頼できる IdP として構成する
EDS Enterprise コンソールにログインします。
左側のナビゲーションウィンドウで、 を選択します。
上部のナビゲーションバーの左上隅で、リージョンを選択します。
[オフィスネットワーク] ページで、SSO を有効にする オフィスネットワーク を見つけ、その オフィスネットワーク ID をクリックします。
オフィスネットワーク の詳細ページの下部にある [その他の情報] セクションで、右上隅の [展開] をクリックし、[SSO 設定] スイッチをオンにします。
[IdP メタデータ] の右側にある [ファイルのアップロード] をクリックし、前のステップで取得した SAML メタデータファイルをアップロードします。
組織 ID の SSO の構成
次の手順では、IDaaS の Employee Identity and Access Management (EIAM) アカウントを例として使用し、組織 ID の SSO を構成する方法について説明します。
ステップ 1: SAML アプリケーションを追加し、SAML メタデータファイルを取得する
Alibaba Cloud IDaaS コンソールにログインします。
[EIAM] ページの [IDaaS] タブで、IDaaS インスタンスを作成します。 詳細については、「無料インスタンスの作成」をご参照ください。
アカウントを作成します。 詳細については、「アカウントの作成」をご参照ください。
説明IDaaS コンソールで作成するアカウント名は、WUYING Workspace の簡便アカウントのユーザー名と同じである必要があります。
SAML アプリケーションを追加します。
左側のナビゲーションウィンドウで、[アプリケーション] をクリックします。
[アプリケーション] ページで、[アプリケーションの追加] をクリックします。
[標準プロトコル] タブで、[SAML 2.0] カードの [アプリケーションの追加] をクリックします。
表示されるダイアログボックスで、アプリケーション名を入力し、[今すぐ追加] をクリックします。
[アプリケーション] ページでステータスが [有効] になると、アプリケーションは正常に追加されます。
SAML メタデータファイルを取得します。
[アプリケーション] ページで、アプリケーションを見つけ、[アクション] 列の [管理] をクリックします。
アプリケーションの詳細ページで、 を選択します。
[アプリケーション構成情報] セクションで、[IdP メタデータ] を見つけ、[ダウンロード] をクリックして SAML メタデータファイルを取得します。
ステップ 2: WUYING Workspace コンソールで、IDaaS を信頼できる IdP として構成する
左側のナビゲーションウィンドウで、 を選択します。[ユーザーと組織] ページで、[エンタープライズ ID ソース] タブをクリックします。
[エンタープライズ ID ソース] ページで、ビジネス要件に基づいて次の操作を実行します:
エンタープライズ ID ソースを追加していない場合は、[SAML] をクリックしてエンタープライズ ID ソースを追加します。
エンタープライズ ID ソースを追加している場合は、左上隅の [エンタープライズ ID ソースの追加] をクリックします。[エンタープライズ ID ソースの追加] パネルで、[SAML] をクリックします。
[エンタープライズ ID ソースの追加] パネルで、次のパラメーターを構成し、[確認] をクリックします。
パラメーター
説明
エンタープライズ ID ソース名
IdP を識別するために使用されるエンタープライズ ID ソースの名前。
エンタープライズ ID ソースタイプ
エンタープライズ ID ソースのタイプ。[SAML] を選択します。
IdP メタデータ
IdP メタデータ。[ファイルのアップロード] をクリックして、IdP のメタデータファイルをアップロードします。
ユーザーアカウントタイプ
アカウントのタイプ。有効な値: 簡便アカウントとエンタープライズ AD アカウント。エンタープライズ AD アカウントを選択した場合は、AD ドメイン名も選択する必要があります。
[エンタープライズ ID ソース] ページで、管理するエンタープライズ ID ソースを見つけ、[アクション] 列の [編集] をクリックします。
[エンタープライズ ID ソースの編集] パネルで、[アプリケーションメタデータ] の下にある [ファイルのダウンロード] をクリックします。
ステップ 3: IDaaS コンソールで WUYING Workspace を信頼できる SP として構成する
Alibaba Cloud IDaaS コンソールの [アプリケーション] ページで、ステップ 1 で作成した SAML アプリケーションを見つけ、[アクション] 列の [管理] をクリックします。
アプリケーションの詳細ページで、[アプリケーションメタデータのアップロード] をクリックし、ステップ 2 でダウンロードしたアプリケーションメタデータファイルを選択します。
[アプリケーションメタデータのアップロード] の右側にある入力ボックスに URL が自動的に入力された場合、アップロードは成功です。
[アプリケーションメタデータのアップロード] の右側にある [解析] をクリックします。
[シングルサインオン URL] および [アプリケーション一意識別子] フィールドに URL が自動的に入力された場合、解析は成功です。SSO 構成のフィールドの詳細については、「SAML 2.0 SSO 構成」をご参照ください。
アプリケーションアカウントと権限付与の範囲を選択します。たとえば、IDaaS アカウントとすべてにアクセス可能を選択します。
説明アプリケーションアカウントの詳細については、「SAML アプリケーションアカウントの構成」をご参照ください。
[保存] をクリックします。
エンタープライズ IdP に一致するユーザーの作成
Elastic Desktop Service コンソールで IdP ユーザーに一致するユーザーを作成します。 詳細については、「簡便アカウントの作成」または「エンタープライズ AD アカウントの作成と管理」トピックの「エンタープライズ AD アカウントの作成と管理」セクションをご参照ください。
ユーザーを作成するときに、ユーザーのパスワードを指定できます。ユーザーのパスワードは、同じ名前の IdP ユーザーのパスワードとは異なっていてもかまいません。
次のステップ
SSO を構成した後、エンドユーザーは IDaaS ID を使用して WUYING ターミナルにログインできます。
次の手順では、Windows クライアント V7.2.2 を例として使用します。
Windows クライアントを開き、ページ上部の [Enterprise Edition] を選択し、プライバシーポリシーの横にあるチェックボックスを選択し、受信したログイン認証情報から組織 ID または オフィスネットワーク ID を入力し、次に アイコンをクリックします。
[Alibaba Cloud IDaaS] ページで、[IDaaS] アカウント名、携帯電話番号、またはメールアドレスを入力し、パスワードを入力して、[ログイン] をクリックします。
(条件付き) [Alibaba Cloud IDaaS] コンソールで二次認証が有効になっている場合は、ログイン中にプロンプトが表示されたら二次認証を完了します。
二次認証方式を選択します。
選択した通知方法から認証コードを取得し、コードを入力して [OK] をクリックします。
ログイン後、クライアントのクラウドリソースページで対象のクラウドデスクトップのカードを見つけます。カードで [開始] をクリックし、次に [クラウドデスクトップに接続] をクリックします。