すべてのプロダクト
Search
ドキュメントセンター

Resource Access Management:信頼できる IdP 用の RAM ロールの作成

最終更新日:Oct 31, 2024

信頼できるエンティティがIDプロバイダー (IdP) であるリソースアクセス管理 (RAM) ロールを使用して、Alibaba Cloudと信頼できるIdPとの間にロールベースのシングルサインオン (SSO) を実装します。 信頼できるIdPのユーザーは、このタイプのRAMロールを引き受けることができます。

前提条件

IdPが作成されます。

SAML IdPのRAMロールを作成する

SAML 2.0ベースSSOを実装するには、SAML IdPのRAMロールを作成する必要があります。

  1. 管理者権限を持つRAMユーザーとしてRAMコンソールにログインします。

  2. 左側のナビゲーションウィンドウで、アイデンティティ > ロールを選択します。

  3. ロールページで、ロールの作成をクリックします。

  4. ロールの作成ページで、[信頼できるエンティティの選択] セクションのIdPを選択して、次へをクリックします。

  5. RAMロール名パラメーターを指定します。

  6. IdP TypeパラメーターにSAMLを選択します。

  7. 信頼できるIdPを選択して条件を読みます。

    説明

    saml:recipient条件キーのみがサポートされています。 この条件キーは必須であり、変更できません。

  8. OKをクリックします。

  9. 閉じるをクリックします。

OIDC IdPのRAMロールを作成する

OIDCベースのSSOを実装するには、OIDC IdPのRAMロールを作成する必要があります。

  1. 管理者権限を持つRAMユーザーとしてRAMコンソールにログインします。

  2. 左側のナビゲーションウィンドウで、アイデンティティ > ロールを選択します。

  3. ロールページで、ロールの作成をクリックします。

  4. ロールの作成ページで、[信頼できるエンティティの選択] セクションのIdPを選択して、次へをクリックします。

  5. RAMロール名パラメーターを指定します。

  6. IdP TypeパラメーターにOIDCを選択します。

  7. 信頼できるIdPを選択し、条件を指定します。

    次の表に、サポートされる条件を示します。

    条件キー

    説明

    必須

    oidc:iss

    発行者。 RAMロールを引き受けることができるのは、RAMロールを引き受けるために使用するOIDCトークンのissフィールドがこの条件を満たしている場合のみです。

    条件演算子はStringEqualsでなければなりません。 値は、選択したOIDC IdPに指定した発行者のURLである必要があります。 この条件を指定すると、信頼できるIdPによってOIDCトークンが発行された場合にのみ、OIDCトークンを使用してRAMロールを引き受けることができます。

    必須

    https://dev-xxxxxx.okta.com

    oidc:aud

    聴衆。 RAMロールを引き受けることができるのは、RAMロールを引き受けるために使用するOIDCトークンのaudフィールドがこの条件を満たしている場合のみです。

    条件演算子はStringEqualsでなければなりません。 値は、選択したOIDC IdPに指定する1つ以上のクライアントIDにすることができます。 この条件を指定すると、指定したクライアントIDを使用してOIDCトークンが生成された場合にのみ、OIDCトークンを使用してRAMロールを引き受けることができます。

    必須

    0oa294vi1vJo Clev ****

    oidc: サブ

    主題。 RAMロールを引き受けることができるのは、RAMロールを引き受けるために使用するOIDCトークンのサブフィールドがこの条件を満たしている場合のみです。

    条件演算子は、すべての型の文字列にすることができます。 値は最大10人の被験者にすることができます。 この条件を指定して、RAMロールを引き受けるために使用できるIDをさらに制限できます。 この条件を指定しないままにすることもできます。

    選択可能

    00u294e3mzNXt4Hi ****

  8. OKをクリックします。

  9. 閉じるをクリックします。

次のステップ

RAMロールの作成後、RAMロールには権限がありません。 RAMロールに権限を付与できます。 詳細については、「RAMロールへの権限の付与」をご参照ください。