Resource Access Management:Microsoft Entra ID を使用したユーザーベース SSO の例

準備

• RAM コンソールで操作を実行するには、AliyunRAMFullAccess 権限を持つ RAM 管理者が必要です。RAM ユーザーの作成と権限の付与の詳細については、「RAM ユーザーの作成」および「RAM ユーザーへの権限の付与」をご参照ください。

• Microsoft Entra ID で操作を実行するには、グローバル管理者ロールを持つ Microsoft Entra ID 管理者が必要です。Microsoft Entra ID でのユーザーの作成と権限の付与の詳細については、「Microsoft Entra ID ドキュメント」をご参照ください。

ステップ 1: Alibaba Cloud から SAML SP メタデータを取得する

1. RAM 管理者として RAM コンソール にログインします。

2. 左側のナビゲーションウィンドウで、[統合] > [SSO] を選択します。

3. [SSO] ページで、[ユーザーベース SSO] タブをクリックします。

4. [SAML サービスプロバイダーメタデータ] セクションで、URL をコピーします。

5. コピーしたリンクを新しいブラウザウィンドウで開き、メタデータ XML ファイルをコンピューターに保存します。

   説明

   メタデータ XML ファイルには、Security Assertion Markup Language (SAML) サービスプロバイダー (SP) としての Alibaba Cloud のアクセス情報が含まれています。Microsoft Entra ID の設定のために、このファイルから entityID と Location の値を記録する必要があります。

ステップ 2: Microsoft Entra ID でアプリケーションを作成する

1. Microsoft Entra ID 管理者として Azure portal にログインします。

2. ホームページの左上隅にある アイコンをクリックします。

3. 左側のナビゲーションウィンドウで、[Microsoft Entra ID] > [管理] > [エンタープライズ アプリケーション] > [すべてのアプリケーション] を選択します。

4. [新しいアプリケーション] をクリックします。

5. [Microsoft Entra ID ギャラリーの参照] ページで、[独自のアプリケーションの作成] をクリックします。

6. [独自のアプリケーションの作成] ページで、アプリケーション名 (AliyunSSODemo など) を入力し、[ギャラリーに見つからないその他のアプリケーションを統合します (ギャラリー以外)] を選択して、[作成] をクリックします。

ステップ 3: Microsoft Entra ID で SAML を設定する

1. [AliyunSSODemo] ページの左側のナビゲーションウィンドウで、[管理] > [シングル サインオン] を選択します。

2. [シングル サインオン方式の選択] ページで、[SAML] をクリックします。

3. [SAML でシングル サインオンをセットアップ] ページで、次の設定を構成します。

   1. ページの左上隅にある [メタデータ ファイルのアップロード] をクリックし、ファイルを選択して、[追加] をクリックします。

      説明

      「ステップ 1: Alibaba Cloud から SAML SP メタデータを取得する」で取得した XML ファイルをアップロードします。

   2. [基本的な SAML 構成] ページで、次の情報を構成し、[保存] をクリックします。

      • 識別子 (エンティティ ID): この値は、メタデータファイルの entityID 値から自動的に読み取られます。

      • 応答 URL (アサーション コンシューマー サービス URL): この値は、メタデータファイルの Location 値から自動的に読み取られます。

      • リレー状態: SSO ログインが成功した後にユーザーがリダイレクトされる Alibaba Cloud ページの URL。

        説明

        セキュリティ上の理由から、[リレー状態] の値には Alibaba ドメインの URL のみ入力できます (例: *.aliyun.com、*.hichina.com、*.yunos.com、*.taobao.com、*.tmall.com、*.alibabacloud.com、*.alipay.com)。別のドメインの URL を入力した場合、設定は無効になります。このパラメーターを設定しない場合、ユーザーはデフォルトで Alibaba Cloud コンソールのホームページにリダイレクトされます。

   3. [SAML 証明書] セクションで、[フェデレーション メタデータ XML] を見つけて [ダウンロード] をクリックします。

ステップ 4: Microsoft Entra ID でユーザーを割り当てる

1. [AliyunSSODemo] ページの左側のナビゲーションウィンドウで、[管理] > [ユーザーとグループ] を選択します。

2. 左上隅にある [ユーザー/グループの追加] をクリックします。

3. [割り当ての追加] ページで、ターゲットユーザー (この例では u2) を選択し、[割り当て] をクリックします。

ステップ 5: Alibaba Cloud で RAM ユーザーを作成する

1. RAM コンソールの左側のナビゲーションウィンドウで、[ID] > [ユーザー] を選択します。

2. [ユーザー] ページで、[ユーザーの作成] をクリックします。

3. [ユーザーの作成] ページの [ユーザーアカウント情報] セクションで、[ログオン名] と [表示名] を入力します。

   RAM ユーザーのログイン名のプレフィックスが、Microsoft Entra ID のユーザー名のプレフィックスと同じであることを確認してください。この例では、プレフィックスは u2 です。

4. [アクセスモード] セクションで、アクセスモードを選択します。

5. [OK] をクリックします。

ステップ 6: Alibaba Cloud でユーザーベース SSO を有効にする

1. RAM コンソールの左側のナビゲーションウィンドウで、[統合] > [SSO] を選択します。

2. [SSO] ページで、[ユーザーベース SSO] タブをクリックします。

3. [SSO ステータス] セクションで、[有効] をクリックします。

   説明

   ユーザーベース SSO はグローバル機能です。この機能を有効にすると、すべての RAM ユーザーは SSO を使用してコンソールにログインする必要があります。RAM ユーザーとして SSO を設定している場合は、まだこの機能を有効にしないでください。設定ミスによりコンソールからロックアウトされるのを防ぐために、まず必要な RAM ユーザーを作成する必要があります。または、Alibaba Cloud アカウントを使用して SSO を設定することで、この問題を回避できます。

4. [メタデータファイル] セクションで、[メタデータのアップロード] をクリックし、「ステップ 3: Microsoft Entra ID で SAML を設定する」で取得した XML ファイルをアップロードします。

5. [補助ドメイン名] セクションで、[編集] をクリックします。次に、この機能を有効にし、補助ドメイン名を設定します。ドメイン名を Microsoft Entra ID のユーザー名のメールアドレスのサフィックスに設定します。

   たとえば、Microsoft Entra ID ユーザー (u2) の完全なユーザー名が u2@example.onmicrosoft.com の場合、example.onmicrosoft.com と入力します。

結果の検証

SSO を設定した後、Alibaba Cloud または Microsoft Entra ID のいずれかから SSO ログインを開始できます。