CloudSSO は、Security Assertion Markup Language(SAML)2.0 に基づくシングルサインオン(SSO)をサポートしています。Alibaba Cloud はサービスプロバイダー(SP)です。企業の ID 管理システムは ID プロバイダー(IdP)です。SSO を使用すると、企業の従業員は IdP のユーザー ID を使用して CloudSSO にアクセスできます。このトピックでは、CloudSSO コンソールで SSO を構成する方法について説明します。
IdP 情報の管理
SSO を有効にする前に、IdP を構成し、CloudSSO コンソールで SSO ログインのスイッチをオンにする必要があります。IdP を構成するには、[手動構成] または [メタデータファイルのアップロード] を選択できます。[手動構成] を選択した場合は、SSO を有効にするために必要な次のパラメーター(エンティティ ID、ログイン URL、および証明書)のみを構成できます。さらにパラメーターを構成する必要がある場合は、IdP クライアントを使用して IdP メタデータファイルを作成し、[メタデータファイルのアップロード] を選択します。
IdP 情報の構成
SSO を有効にする前に、IdP を構成する必要があります。
CloudSSO コンソール にログインします。
左側のナビゲーションウィンドウで、[設定] をクリックします。
[idp 情報][SSO ログイン] セクションの [idp を構成する] セクションで、 をクリックします。
[idp の構成] ダイアログボックスで、[メタデータファイルのアップロード] または [手動構成] を選択して IdP を構成します。
ビジネス要件に基づいて、[メタデータファイルのアップロード] または [手動構成] を選択できます。必要な IdP メタデータファイルまたは情報は、IdP から取得できます。
メタデータファイルのアップロード
[メタデータファイルのアップロード] をクリックして、IdP メタデータファイルをアップロードします。
手動構成
[エンティティ ID]:IdP のエンティティ ID。
[ログイン URL]:IdP のログイン URL。
[証明書]:IdP が SAML 応答に署名するために使用する証明書。証明書は、Privacy Enhanced Mail(PEM)形式の X.509 証明書である必要があります。[証明書のアップロード] をクリックして、IdP によって発行された証明書をアップロードできます。
[OK] をクリックします。
IdP 情報の更新
SSO が有効になっているかどうかにかかわらず、IdP 情報を更新できます。SSO が有効になっているときに IdP 情報を更新し、変更された IdP 情報が元の情報と一致しない場合、SSO が失敗する可能性があります。注意して進めてください。
[idp 情報] セクションの [SSO ログオン] セクションで、[idp を構成] をクリックします。
[idp の構成] ダイアログボックスで、構成方法を選択し、IdP 情報を変更し、新しい証明書をアップロードするか、IdP メタデータファイルをアップロードします。次に、[OK] をクリックします。
IdP 情報のクリア
SSO が無効になっている場合は、IdP 情報をクリアできます。SSO が有効になっている場合は、IdP 情報をクリアできません。
IdP 情報がクリアされると、SSO は失敗します。
[idp 情報] セクションの [SSO ログオン] セクションで、[idp 情報のクリア] をクリックします。
[idp 情報のクリア] メッセージで、[OK] をクリックします。
SAML 署名証明書のローテーション
IdP によって発行された SAML 署名証明書を定期的にローテーションすることをお勧めします。使用中の証明書の有効期限が切れる前に、新しい証明書をアップロードできます。ユーザーが SSO を開始すると、CloudSSO は新旧両方の証明書を使用して SAML 署名を検証します。いずれかの証明書によって SAML 署名が検証された場合、ログインは信頼されます。一定期間後、新しい証明書が有効であり、古い証明書が使用されていないことを確認したら、古い証明書を削除できます。
使用中の SAML 署名証明書を削除すると、SSO は失敗します。注意して進めてください。
[idp 情報][SSO ログイン] セクションの 管理SAML 署名証明書 セクションで、 の右側にある をクリックします。
[証明書] ダイアログボックスで、SAML 署名証明書をローテーションします。
[新しい証明書のアップロード] をクリックして、IdP から取得した新しい証明書をアップロードします。
IdP が新しくアップロードされた証明書を使用して SAML 応答に署名していることを確認します。SSO メソッドを使用して CloudSSO ユーザーポータルにログインできることを確認します。
一定期間後、新しい証明書が有効であり、古い証明書が使用されていないことを確認したら、古い証明書の 削除[アクション] 列にある をクリックして、古い証明書を削除できます。
[OK] をクリックします。SAML 署名証明書のローテーションは完了です。
SP 情報の管理
SP メタデータの取得
IdP で SSO を構成するには、SP メタデータファイルが必要です。SP メタデータファイルを取得するには、[SSO ログイン] セクションの [SP 情報] セクションにある [SP メタデータファイルのダウンロード] の横にあるダウンロードアイコンをクリックします。[ACS URL] パラメーターと [エンティティ ID] パラメーターの値を表示またはコピーすることもできます。これらの値は、IdP を手動で構成する場合に必要です。
高速 URL 機能を有効にしている場合は、IdP で SSO を構成するときに [高速 ACS URL] を使用できます。詳細については、「中国本土以外からのアクセスを高速化する」をご参照ください。
SP の CA 証明書の管理
CloudSSO は、自己署名証明書と、信頼できる認証局(CA)によって発行された証明書を提供します。デフォルトでは、CloudSSO 自己署名証明書が使用されます。必要に応じて、CA 証明書を申請できます。
CA 証明書機能は招待プレビュー中です。試用版を申請するには、Alibaba Cloud のサービスマネージャーにお問い合わせください。
CA 証明書でサポートされているアルゴリズム
SP メタデータには、署名証明書とアサーション暗号化証明書の 2 つの証明書が含まれています。証明書はそれぞれ次のアルゴリズムをサポートしています:
CA 証明書の有効期間
CA 証明書の有効期間は 1 年です。証明書は 1 年に 1 回ローテーションする必要があります。具体的な有効期限はコンソールに表示されます。
CA 証明書の有効化
[SSO ログイン] セクションの [SP 情報] セクションで、[信頼できる CA によって署名された証明書を使用する] をオンにして、CA 証明書を有効にします。
CA 証明書を有効にすると、CloudSSO 自己署名証明書は自動的に無効になります。
CA 証明書のローテーション
ローテーション期間は、使用中の証明書の有効期限が切れる前の 80 日間です。この期間中、古い証明書の有効期限が切れるまで、CloudSSO コンソールで新しい証明書をアップロードするように求められます。ローテーション期間中は、古い証明書と新しい証明書の両方が有効です。ローテーション期間中にできるだけ早く新しい証明書をアップロードすることをお勧めします。
[SSO ログイン] セクションの [SP 情報] セクションで、新しい CA 証明書を含む SP メタデータファイルをダウンロードします。
IdP で、古い証明書と新しい証明書の両方を構成します。
IdP で、新しい証明書のみを使用し、IdP と CloudSSO 間の SSO が想定どおりに機能するかどうかを確認します。
SSO が想定どおりに機能する場合は、古い証明書を削除できます。古い証明書を保持することもでき、SSO に影響はありません。
SSO の有効化または無効化
SSO の有効化
IdP を構成した後、SSO を有効にできます。
SSO を有効にすると、ユーザー名とパスワードによるログインは自動的に無効になります。
[SSO ログイン] セクションの右上隅にあるスイッチをオンにします。
[SSO ログインの有効化] メッセージで、[OK] をクリックします。
SSO の無効化
SSO を無効にすると、ユーザー名とパスワードによるログインは自動的に有効になります。
[SSO ログイン] セクションの右上隅にあるスイッチをオフにします。
[SSO ログインの無効化] メッセージで、[OK] をクリックします。