Resource Access Management:ユーザーベースSSO用にAlibaba CloudのSAML設定を設定する

手順

1. Alibaba CloudアカウントでRAMコンソールにログインします。

2. 左側のナビゲーションウィンドウで、統合 > SSOを選択します。

3. 表示されるページで、ユーザーベースSSOタブをクリックし、セットアップSSOセクションの設定を確認します。

4. [編集] をクリックします。 [SSO設定] ダイアログボックスで、設定を変更します。

   • SSOステータス: [有効] または [無効] を選択します。

     説明

     SSOステータスの設定は、Alibaba CloudアカウントのRAMユーザーにのみ適用され、Alibaba Cloudアカウントのログインには影響しません。 この設定は、AccessKeyペアベースのAPI呼び出しにも影響しません。

     • デフォルトでは、SSOステータスで [無効] オプションが選択されています。 デフォルト設定が保持されている場合、SSO設定は有効にならず、RAMユーザーは自分のパスワードを使用してシステムにログオンできます。

     • SSOステータスで [有効] オプションを選択した場合、RAMユーザーはパスワードを使用してシステムにログインできません。 代わりに、RAMユーザーはID認証のためにIdPサービスにログインする必要があります。 SSOステータスで [無効] オプションを再度選択すると、パスワードベースのログインが自動的に復元されます。

   • メタデータファイル: [ファイルのアップロード] をクリックして、IdPが提供するメタデータファイルをアップロードします。

     説明

     ほとんどの場合、メタデータファイルはXML形式で提供されます。 このファイルには、IdPによって発行されたSAMLアサーションの有効性を検証するために使用されるログオンURLとX.509公開鍵証明書が含まれています。

   • 補助ドメイン名: オプション。 [有効] オプションを選択すると、補助ドメイン名を入力できます。

     • 補助ドメイン名を入力した後、SAMLアサーションのNameID要素のサフィックスとして補助ドメイン名を使用できます。

     • [無効] オプションを選択した場合、SAMLアサーションのNameID要素のサフィックスとして、Alibaba Cloudアカウントのデフォルトのドメイン名またはドメインエイリアスのみを使用できます。

     NameID要素の値の詳細については、「ユーザーベースSSOのSAML応答」をご参照ください。

     説明

     ドメインエイリアスと補助ドメイン名の両方を設定する場合、NameID要素のサフィックスとして使用できるのは、ドメインエイリアスまたはデフォルトドメイン名のみです。

5. OKをクリックします。