Resource Access Management:Google Workspaceを使用してユーザーベースSSOを実装する

手順1: Alibaba CloudのSecurity Assertion Markup Language (SAML) SPメタデータファイルをダウンロードする

1. Alibaba Cloudアカウントを使用してRAMコンソールにログインします。

2. 左側のナビゲーションウィンドウで、[統合] > [SSO] を選択します。

3. SSOページで、[ユーザーベースSSO] タブをクリックします。

4. [セットアップSSO] セクションで、SAMLサービスプロバイダーメタデータURLの値をコピーします。

5. ブラウザで新しいタブを開き、アドレスバーにURLを貼り付けます。 表示されるページで、ページを右クリックして [名前を付けて保存] を選択し、XML形式のSAMLサービスプロバイダー (SP) メタデータファイルをコンピューターにダウンロードします。

   説明

   XMLファイルには、Alibaba CloudをSAML SPとして設定するために必要な情報が含まれています。 後で使用するために、EntityDescriptor要素にentityIDの値を記録し、AssertionConsumerService要素にLocationの値を記録します。

ステップ2: Google WorkspaceでSAMLベースのSSOをサポートするアプリケーションを作成する

1. スーパー管理者を使用してGoogle Workspace Admin Consoleにログインします。

2. 左側のナビゲーションウィンドウで、[アプリ] > [Webアプリとモバイルアプリ] を選択します。

3. [アプリの追加] > [カスタムSAMLアプリの追加] を選択します。

4. [カスタムSAMLアプリの追加] ウィザードで、SAMLベースのSSOをサポートするアプリケーションを作成します。

   1. [アプリの詳細] ステップで、作成するアプリケーションの名前を入力します。 たとえば、listaCloudUserSSOと入力できます。 次に、[継続] をクリックします。

   2. Google IDプロバイダーの詳細ステップで、[メタデータのダウンロード] をクリックしてメタデータドキュメントをダウンロードし、[続行] をクリックします。

   3. [サービスプロバイダーの詳細] ステップで、[ACS URL] と [エンティティID] パラメーターを設定し、[続行] をクリックします。

      • ACS URL: 手順1: Alibaba CloudのSAML (Security Assertion Markup Language) SPメタデータファイルのダウンロードで取得したLocationの値を入力します。

      • エンティティID: 手順1: Alibaba CloudのSAML (Security Assertion Markup Language) SPメタデータファイルをダウンロードで取得したentityIDの値を入力します。

      • 開始URL: SSOを使用してGoogle Workspaceにログインした後、Google WorkspaceユーザーをリダイレクトするAlibaba CloudサービスページのURLを入力します。

        説明

        セキュリティ上の理由から、[Default RelayState] フィールドにAlibaba Webサイトを指すURLを入力する必要があります。 たとえば、次のドメイン名を含むURLを入力できます。*.aliyun.com、*.hichina.com、*.yunos.com、*.taobao.com、*.tmall.com、*.alibabacloud.com、または *.alipay.com。 このパラメーターを空のままにすると、Alibaba Cloud管理コンソールのホームページにリダイレクトされます。

   4. [属性マッピング] ステップで、[終了] をクリックします。

5. 表示されるページで、[ユーザーアクセス] をクリックします。

6. オプション: 表示されるページで、[組織単位] ドロップダウンリストからSSOを使用してログオンする組織単位を選択します。 デフォルトでは、すべての組織単位が選択されます。

7. [サービスステータス] セクションで、[オン] を選択します。

   説明

   ステップ6で組織単位を選択する場合は、[ON] を全員に選択する必要があります。

8. [保存] をクリックします。

ステップ3: Alibaba Cloud管理コンソールでユーザーベースSSOを有効にする

1. RAMコンソールの左側のナビゲーションウィンドウで、[統合] > [SSO] を選択します。

2. SSOページで、[ユーザーベースSSO] タブをクリックします。

3. [セットアップSSO] の右側の [編集] をクリックします。

4. SSO設定パネルのSSOステータスセクションで、[有効] をクリックします。

   説明

   ユーザーベースSSOは、Alibaba CloudアカウントのすべてのRAMユーザーに対して有効になります。 この機能を有効にすると、Alibaba CloudアカウントのすべてのRAMユーザーがSSOを使用してAlibaba Cloud管理コンソールにログインする必要があります。 RAMユーザーを使用する場合は、この手順でSSO StatusパラメーターをDisabledに設定します。 ユーザーベースSSOを有効にする前に、RAMユーザーのSSO設定を完了する必要があります。 それ以外の場合は、RAMユーザーとしてログオンできません。 この問題を回避するために、Alibaba Cloudアカウントを使用してユーザーベースSSOを設定することもできます。

5. [メタデータファイル] セクションで、[アップロード] をクリックして、「手順2: Google WorkspaceでSAMLベースのSSOをサポートするアプリケーションを作成する」で取得したIdPメタデータファイルをアップロードします。

6. [補助ドメイン名] セクションで、[有効] をクリックします。 表示されるフィールドに、Googleワークスペースのユーザー名として使用するメールアドレスのドメイン名を入力します。

   説明

   Google Workspaceアカウントに属するユーザー名に異なるドメイン名の接尾辞が付いている場合、指定されたドメイン名の接尾辞が付いているユーザーのみがAlibaba Cloud管理コンソールにログインできます。

7. [OK] をクリックします。

ステップ4: Google Workspaceでユーザーを作成する

1. Google Workspace Admin Consoleの左側のナビゲーションウィンドウで、[ディレクトリ] > [ユーザー] を選択します。

2. [新しいユーザーの追加] をクリックします。

3. [ユーザー情報] ページで、[名前] 、[名前] 、[基本メール] 、および [組織単位] のパラメーターを設定します。 たとえば、プライマリ電子メールパラメーターにu2@example.comを指定できます。 次に、[新しいユーザーの追加] をクリックします。

   説明

   手順2: Google WorkspaceでSAMLベースのSSOをサポートするアプリケーションを作成するで組織単位を選択した場合、organizational unitパラメーターに同じ組織単位を指定する必要があります。

手順5: Alibaba Cloud管理コンソールでRAMユーザーを作成する

1. RAMコンソールの左側のナビゲーションウィンドウで、[ID] > [ユーザー] を選択します。

2. [ユーザー] ページで、[ユーザーの作成] をクリックします。

3. [ユーザーの作成] ページで、[ログイン名] および [表示名] パラメーターを設定します。

   説明

   ログオン名とGoogle Workspaceのユーザー名には、同じプレフィックスを含める必要があります。 この例では、ログオン名のプレフィックスはu2です。

4. [アクセスモード] セクションで、[コンソールアクセス] を選択し、パラメーターを設定します。

5. [OK] をクリックします。

ユーザーベースのSSO設定の確認

SSOを設定した後、Alibaba CloudとGoogle Workspaceの両方からSSOログインを開始できます。

• Alibaba Cloudからのログイン

  1. Alibaba Cloud アカウントを使用して、RAM コンソールにログインします。 [概要] ページで、RAMユーザーのログインURLをコピーします。

  2. ページの右上隅にあるプロフィール写真の上にポインターを移動し、[ログアウト] をクリックします。 次に、ブラウザのアドレスバーにログオンURLを貼り付け、Enterキーを押します。 新しいタブでURLにアクセスすることもできます。

  3. [組織アカウントでログイン] をクリックします。 Google Workspaceのログインページにリダイレクトされます。

  4. Google Workspaceのログインページで、作成したユーザーのユーザー名とパスワードを入力します。 この例では、ユーザー名はu2@example.comです。 次に、[サインイン] をクリックします。

  [開始URL] パラメーターで指定されたページにリダイレクトされます。 [開始URL] パラメーターの値が無効な場合、またはパラメーターに値が指定されていない場合、Alibaba Cloud管理コンソールのホームページにリダイレクトされます。 次の図に示すページが表示された場合、ユーザーベースのSSO設定は成功しています。

  

• Google Workspaceからのログイン

  Google WorkspaceユーザーとしてGoogle Workspaceにログインします。 Google Workspaceのホームページで、「ステップ2: Google WorkspaceでSAMLベースのSSOをサポートするアプリケーションを作成する」で作成したアプリケーションを見つけてクリックします。

  [開始URL] パラメーターで指定されたページにリダイレクトされます。 [開始URL] パラメーターの値が無効な場合、またはパラメーターに値が指定されていない場合、Alibaba Cloud管理コンソールのホームページにリダイレクトされます。 次の図に示すページが表示された場合、ユーザーベースのSSO設定は成功しています。