Alibaba Cloud DevOps を SAML 2.0 準拠の ID プロバイダー (IdP) と連携させることで、シングルサインオン (SSO) を有効化できます。
SAML の構成
組織管理者として Alibaba Cloud DevOps にログインします。右上隅のプロフィール画像をクリックし、組織設定 に移動します。ID プロバイダー をクリックして、SAML 連携 を選択します。
ステップ 1:SAML 接続の構成
サービスプロバイダ (SP) である Alibaba Cloud DevOps と企業の ID プロバイダー (IdP) 間に信頼関係を確立するには、以下の情報を入力します。
SAML メタデータ URL:企業の IdP から取得したメタデータ URL。
情報を入力したら、次へ をクリックします。
ステップ 2:アカウント連携と属性マッピングの構成
アカウントの一意な識別子を構成します:ユーザーを一意に識別する SAML アサーション内の属性を入力します。この設定は構成後に変更できません。
アカウント連携方法を設定します:アカウントの識別および連携には、以下の 3 つの方法があります。
メールアドレスが同一のアカウントを自動的に連携:Alibaba Cloud DevOps と SAML IdP の両方でメールアドレスが一致するアカウントを連携します。
アカウント ID が同一のアカウントを自動的に連携:Alibaba Cloud DevOps と SAML IdP の両方でアカウント ID が一致するアカウントを連携します。
社員 ID が同一のアカウントを自動的に連携:Alibaba Cloud DevOps と SAML IdP の両方で社員 ID が一致するアカウントを連携します。
選択した連携方法に関わらず、対応する属性が一意かつ存在することを保証する必要があります。Alibaba Cloud DevOps は、選択された方法に基づき、各アカウントに対して厳密な 1 対 1 のマッチングを実行します。以下の図は、メールアドレスが同一のアカウントを自動的に連携 を選択した場合の処理フローを示しています。
アカウント同期タイプを設定します:この設定により、新規アカウント作成を許可するかどうかに応じて、マッピングに必要なユーザー属性が決まります。マッピングされた属性はサードパーティ ソースから自動的に同期され、Alibaba Cloud DevOps 内では編集できません。
新規アカウントの作成および既存アカウントの連携を許可:ユーザー属性マッピングのステップでは、名前、アカウント ID、およびアカウント連携に使用する属性がすべて必須フィールドであることを保証する必要があります。
既存アカウントのみを連携:新規アカウントの作成を防止します。ユーザー属性マッピングのステップでは、アカウント連携に使用する属性のみを必須フィールドとして設定すれば十分です。
ユーザー属性マッピングのフィールドを構成します。マッピングされた属性はサードパーティ ソースから自動的に同期され、Alibaba Cloud DevOps 内では編集できなくなります。
構成が完了したら、次へ をクリックします。
ステップ 3:シングルサインオンの有効化
シングルサインオン (SSO) 機能はデフォルトで無効になっています。有効化すると、以下の SSO 設定項目を構成できます。
SAML 表示名を変更します。Alibaba Cloud DevOps は、SAML 情報の表示時にこの名前を使用します。
シングルサインアウト (SLO) を有効化します。これを行うには、SAML IdP に Alibaba Cloud DevOps の SLO URL を設定してセットアップを完了する必要があります。これにより、Alibaba Cloud DevOps と SAML IdP 間でログアウト状態が同期されます。
SSO を有効化しない場合でも、構成を保存できます。後から SAML 連携詳細ページで SSO を有効化できます。
すべての設定が完了したら、保存 をクリックして SAML 連携を完了します。
ステップ 4:SP メタデータの構成
信頼関係を確立するには、企業の IdP で Alibaba Cloud DevOps を信頼済みサービスプロバイダ (SP) として構成し、SAML アサーション属性を設定する必要があります。IdP で SAML アプリケーションを作成し、以下のいずれかの方法で Alibaba Cloud DevOps を SP として構成します。
Alibaba Cloud DevOps での SAML 構成が完了すると、サービスプロバイダ メタデータ URL が表示されます。この URL をコピーし、SAML サービスの構成に貼り付けます。
IdP が URL による構成をサポートしていない場合は、サービスプロバイダ メタデータ ファイルをダウンロードして IdP にアップロードします。
IdP がメタデータファイルのアップロードをサポートしていない場合は、以下のパラメーターを手動で構成する必要があります。
エンティティ ID:ダウンロードしたサービスプロバイダ メタデータファイル内の
md:EntityDescriptor要素のentityID属性の値。ACS URL:ダウンロードしたサービスプロバイダ メタデータファイル内の
md:AssertionConsumerService要素のLocation属性の値。SLO URL:ダウンロードしたサービスプロバイダ メタデータファイル内の
SingleLogoutService要素のLocation属性の値。
SAML でのログイン
シングルサインオンを有効化した後は、ID プロバイダー ページの上部でログイン方法として SAML を選択する必要があります。これにより、Alibaba Cloud DevOps のログインページがデフォルトで SAML ログインページとなり、連携済みの SAML アカウントを持つユーザーがログインできるようになります。
ログアウト
Alibaba Cloud DevOps からログアウトすると、ユーザーの SAML IdP セッションも終了します。
SAML IdP からログアウトした際に Alibaba Cloud DevOps からもログアウトされるようにするには、ステップ 3 で説明したとおり SLO を構成してください。
セッション期間
セッション期間は Alibaba Cloud DevOps によって決定されます。セッションがこの期間を超えると、Alibaba Cloud DevOps は自動的にログアウトされます。サービスを引き続き利用するには、再度ログインする必要があります。
SAML 構成の変更
SAML 連携詳細ページで 設定の表示/編集 をクリックすると、アカウント同期タイプおよびユーザー属性マッピングを変更できるパネルが開きます。その他の構成設定は変更できません。
シングルサインオンの無効化
SAML 連携詳細ページでシングルサインオンが有効になっている場合、設定の編集 をクリックします。開いたパネルでシングルサインオンを無効化できます。無効化すると、SAML アカウントでの Alibaba Cloud DevOps へのログインができなくなります。
SAML 連携の削除
SAML 連携詳細ページで 連携の削除 をクリックします。操作を確認すると、SAML 連携が削除されます。これにより、以下の変更が発生します。
Alibaba Cloud DevOps アカウントと SAML アカウント間の連携が終了します。
ユーザーは SAML アカウントで Alibaba Cloud DevOps にログインできなくなります。