信頼できるエンティティがIDプロバイダー (IdP) であるリソースアクセス管理 (RAM) ロールを使用して、Alibaba Cloudと信頼できるIdPとの間にロールベースのシングルサインオン (SSO) を実装します。 信頼できるIdPのユーザーは、このタイプのRAMロールを引き受けることができます。
前提条件
IdPが作成されます。
SAML IdPの作成方法の詳細については、「ID プロバイダーの作成」をご参照ください。
OpenID Connect (OIDC) IdPの作成方法の詳細については、「OIDC IdPの作成」をご参照ください。
SAML IdPのRAMロールを作成する
SAML 2.0ベースSSOを実装するには、SAML IdPのRAMロールを作成する必要があります。
管理者権限を持つRAMユーザーとしてRAMコンソールにログインします。
左側のナビゲーションウィンドウで、 を選択します。
ロールページで、ロールの作成をクリックします。
ロールの作成ページで、[信頼できるエンティティの選択] セクションのIdPを選択して、次へをクリックします。
RAMロール名と注パラメーターを指定します。
IdP TypeパラメーターにSAMLを選択します。
信頼できるIdPを選択して条件を読みます。
説明saml:recipient
条件キーのみがサポートされています。 この条件キーは必須であり、変更できません。OKをクリックします。
閉じるをクリックします。
OIDC IdPのRAMロールを作成する
OIDCベースのSSOを実装するには、OIDC IdPのRAMロールを作成する必要があります。
管理者権限を持つRAMユーザーとしてRAMコンソールにログインします。
左側のナビゲーションウィンドウで、 を選択します。
ロールページで、ロールの作成をクリックします。
ロールの作成ページで、[信頼できるエンティティの選択] セクションのIdPを選択して、次へをクリックします。
RAMロール名と注パラメーターを指定します。
IdP TypeパラメーターにOIDCを選択します。
信頼できるIdPを選択し、条件を指定します。
次の表に、サポートされる条件を示します。
条件キー
説明
必須
例
oidc:iss
発行者。 RAMロールを引き受けることができるのは、RAMロールを引き受けるために使用するOIDCトークンのissフィールドがこの条件を満たしている場合のみです。
条件演算子はStringEqualsでなければなりません。 値は、選択したOIDC IdPに指定した発行者のURLである必要があります。 この条件を指定すると、信頼できるIdPによってOIDCトークンが発行された場合にのみ、OIDCトークンを使用してRAMロールを引き受けることができます。
必須
https://dev-xxxxxx.okta.com
oidc:aud
聴衆。 RAMロールを引き受けることができるのは、RAMロールを引き受けるために使用するOIDCトークンのaudフィールドがこの条件を満たしている場合のみです。
条件演算子はStringEqualsでなければなりません。 値は、選択したOIDC IdPに指定する1つ以上のクライアントIDにすることができます。 この条件を指定すると、指定したクライアントIDを使用してOIDCトークンが生成された場合にのみ、OIDCトークンを使用してRAMロールを引き受けることができます。
必須
0oa294vi1vJo Clev ****
oidc: サブ
主題。 RAMロールを引き受けることができるのは、RAMロールを引き受けるために使用するOIDCトークンのサブフィールドがこの条件を満たしている場合のみです。
条件演算子は、すべての型の文字列にすることができます。 値は最大10人の被験者にすることができます。 この条件を指定して、RAMロールを引き受けるために使用できるIDをさらに制限できます。 この条件を指定しないままにすることもできます。
選択可能
00u294e3mzNXt4Hi ****
OKをクリックします。
閉じるをクリックします。
次のステップ
RAMロールの作成後、RAMロールには権限がありません。 RAMロールに権限を付与できます。 詳細については、「RAMロールへの権限の付与」をご参照ください。