Alibaba Cloud管理コンソールにログインするユーザーベースSSOまたはロールベースSSOを実装する - Data Management

ユーザーベースのシングルサインオン (SSO) またはロールベースのSSOを実装して、企業のIDプロバイダー (IdP) からAlibaba Cloud管理コンソールにログインできます。 SSOはIDフェデレーションとも呼ばれます。

背景情報

Alibaba Cloudは、SAML (Security Assertion Markup Language) 2.0ベースSSOをサポートしています。この機能は、IDフェデレーションとも呼ばれます。 SSOをよりよく理解するために、次の表でSAMLとSSOに関連する用語を説明します。

期間	説明
IDプロバイダー (IdP)	ID管理サービスを提供するRAMエンティティ。 IdPは次のタイプに分類されます。 Microsoft Active Directoryフェデレーションサービス (AD FS) やShibbolethなどのオンプレミスアーキテクチャを使用するIdP クラウドベースのアーキテクチャを使用するIdP、 Azure AD、Google Workspace、Okta、OneLoginなど
サービスプロバイダー (SP)	IdPのID管理機能を使用してユーザーに特定のサービスを提供するアプリケーション。 SPは、IdPによって提供されるユーザ情報を使用する。 SAMLプロトコルに基づいていないOIDCなどの特定のIDシステムでは、SPはIdPの依存関係者として知られています。
セキュリティアサーションマークアップ言語 2.0 (SAML 2.0)	エンタープライズレベルのユーザーID認証用に設計されたプロトコル。 SAML 2.0は、SPとIdPとの間の通信に使用される。 SAML 2.0は、企業がエンタープライズレベルSSOを実装するために使用する標準です。
SAML アサーション	SAMLプロトコルで定義されているコア要素。この要素は、認証要求および応答を記述する。例えば、認証応答のSAMLアサーションは、ユーザ属性を含むことができる。
信頼	SPとIdPとの間の相互信頼関係。ほとんどの場合、信頼関係は公開鍵と秘密鍵を使用して確立されます。 SPは、信頼できるIdPのSAMLメタデータを取得することができる。メタデータは公開鍵を含む。 SPは、公開鍵を使用して、IdPによって発行されるSAMLアサーションの整合性を検証する。
OIDC	Open Authorization (OAuth) 2.0に基づいて開発された認証プロトコル。詳細については、「OIDC」および「OAuth 2.0」をご参照ください。 OAuthは認証プロトコルです。 OIDCはOAuthを拡張するためにIDレイヤーを追加します。このように、OIDCはOAuthを認証に使用できます。 OIDCでは、クライアントがユーザーのIDを確認し、HTTP RESTful APIを使用してユーザーに関する基本情報を取得することもできます。
OIDCトークン	OIDCによってアプリケーションに発行されるIDトークン。 OIDCトークンは、ログオンユーザーを示すIDトークンです。 OIDCトークンを使用して、ログオンユーザーに関する基本情報を取得できます。
クライアントID	アプリケーションを外部IdPに登録するときに生成されるID。外部IdPからOIDCトークンを申請するときは、クライアントIDを使用する必要があります。クライアントIDは、発行されるOIDCトークンの`aud`フィールドで指定されます。 OIDC IdPを作成するときは、クライアントIDを設定する必要があります。 OIDCトークンを使用してSTSトークンを取得する場合、Alibaba Cloudは、`aud`フィールドで指定されたクライアントIDがOIDC IdPで設定したクライアントIDと同じであるかどうかを確認します。クライアントIDが同じである場合にのみ、RAMロールを引き受けることができます。
fingerprint	外部IdPのHTTPS証明書に基づいて生成されるフィンガープリント。指紋を使用して、発行者のURLがハイジャックされたり改ざんされたりするのを防ぐことができます。 Alibaba Cloudはフィンガープリントを計算します。コンピューターで指紋を計算することをお勧めします。たとえば、OpenSSLを使用してフィンガープリントを計算できます。次に、計算結果とAlibaba Cloudが提供する計算結果を比較できます。 OpenSSLの詳細については、OpenSSLの公式Webサイトをご覧ください。計算結果が異なる場合、発行者のURLが攻撃された可能性があります。有効な指紋を入力してください。
発行者のURL	外部IdPによって提供される発行者のURL。 URLは、OIDCトークンの`iss`フィールドによって示されます。発行者のURLは`https`で始まり、有効なURL形式である必要があります。 URLには、疑問符 (`?`) に続くクエリパラメーターや、アットマーク (`@`) で識別されるログオン情報を含めることはできません。 URLは、番号記号 (`#`) を含むフラグメントURLにすることはできません。
STSトークン	Alibaba Cloud Security Token Service (STS) によって提供される一時的なID資格情報。 STSを使用すると、Alibaba Cloudリソースの一時的な資格情報を管理できます。有効期間を設定し、STSトークンのアクセス許可を指定できます。 STSの詳細については、「STSとは何ですか?」をご参照ください。

SSOメソッド

SAML 2.0に基づいて、AD FSなど、Alibaba CloudとIdPの間にSSOを実装できます。 Alibaba Cloudは、次の2つのSAML 2.0ベースSSO方式を提供しています。

ユーザーベースSSO: Alibaba Cloud管理コンソールへのログインに使用できるRAMユーザーは、SAMLアサーションに基づいて決定されます。 Alibaba Cloud管理コンソールにログインすると、RAMユーザーとしてAlibaba Cloudリソースにアクセスできます。
ロールベースSSO: Alibaba Cloud管理コンソールへのログインに使用できるRAMロールは、SAMLアサーションに基づいて決定されます。 Alibaba Cloud管理コンソールにログインした後、SAMLアサーションで指定されたRAMロールを使用してAlibaba Cloudリソースにアクセスできます。

2つのSSO方法の違いの詳細については、「SSOのシナリオ」をご参照ください。

ユーザーベースまたはロールベースのSSOを実装する

ユーザーベースSSO: 詳細については、「ユーザーベースSSOの概要」をご参照ください。
次の例では、AD FS、Okta、Azure ADなどのIdPを使用して、エンタープライズサービスとAlibaba Cloudの間にユーザーベースSSOを実装する方法について説明します。
ロールベースSSO: 詳細については、「概要」をご参照ください。
次の例では、AD FS、Okta、Azure ADなどのIdPを使用して、エンタープライズサービスとAlibaba Cloudの間にロールベースSSOを実装する方法について説明します。

RAMユーザーの追加

SSOを設定した後、DMS管理者として、DMSを使用する他のRAMユーザーを一度にDMSコンソールに追加します。 RAMユーザーを追加するには、次の手順を実行します。DMSコンソールにログインします。上部のナビゲーションバーで、[O&M] > [ユーザー] を選択します。 [ユーザー] タブで、[RAMユーザーの同期] をクリックします。詳細については、「ユーザーの追加」をご参照ください。

説明

AdministratorAccess権限を持つRAMユーザーは、DMS管理者として自動的に初期化されます。他のRAMユーザーは通常ユーザーとして初期化されます。 DMSシステムの役割の詳細については、「システムの役割」をご参照ください。

例：

次の例は、AD FSを使用してエンタープライズサービスとAlibaba Cloud間でSSOを実装する方法を示しています。

Alibaba Cloudログインページを開き、RAMユーザーとしてサインイン をクリックします。
RAMユーザーのユーザー名を入力し、次へをクリックします。
プロンプトに従ってAlibaba Cloudにログインします。
Alibaba Cloud管理コンソールの [概要] タブで、データ管理 をクリックします。
DMSコンソールに移動します。