Resource Access Management:Okta からのユーザーベース SSO の設定

ステップ 1: Alibaba Cloud から SAML SP メタデータファイルをダウンロード

1. RAM 管理者として Resource Access Management (RAM) コンソールにログインします。

2. 左側のナビゲーションウィンドウで、[統合管理] > [SSO] を選択します。

3. SSO ページで、[ユーザーベース SSO] タブをクリックします。[SAML サービスプロバイダー (SP) のメタデータ URL] セクションで、URL をコピーします。

4. 新しいブラウザタブでメタデータ URL を開きます。ページを右クリックし、XML ファイルとして保存します。このファイルには、Alibaba Cloud の SAML サービスプロバイダー (SP) メタデータが含まれています。

   ダウンロードしたメタデータファイルを開き、Okta の設定に必要な次の値を記録します。

   • entityID： <md:EntityDescriptor> 要素の entityID 属性の値。例： https://signin-intl.aliyun.com/57******81/saml/SSO。

   • Location： <md:AssertionConsumerService> 要素の Location 属性の値。例： https://signin-intl.aliyun.com/saml/SSO。

ステップ 2: Okta でアプリケーションを作成

1. Okta ポータルにログインします。

2. 左側のナビゲーションウィンドウで、[Applications] > [Applications] を選択します。

3. [Applications] ページで、[Create App Integration] をクリックします。

4. [Create a new app integration] ダイアログボックスで [SAML 2.0] を選択し、[Next] をクリックします。

5. [General Settings] ステップで、[App name] フィールドにアプリケーション名 (例: AliyunSSODemo) を入力し、[Next] をクリックします。

6. [Configure SAML] ステップで、[SAML Settings] セクションの次のパラメーターを設定し、[Next] をクリックします。

   • [Single sign on URL]： ステップ 1 で記録した Location の値を入力します。

   • [Audience URI (SP Entity ID)]： ステップ 1 で記録した entityID の値を入力します。

   • [Default RelayState]： SSO ログインが成功した後にユーザーがリダイレクトされる Alibaba Cloud コンソールのページを指定します。このフィールドを空のままにすると、ユーザーは Alibaba Cloud 管理コンソールのホームページにリダイレクトされます。

     説明

     セキュリティ上の理由から、[Default RelayState] の URL は、*.aliyun.com、*.hichina.com、*.yunos.com、*.taobao.com、*.tmall.com、*.alibabacloud.com、*.alipay.com など、Alibaba が所有するドメイン名に属している必要があります。承認されていないドメイン名の URL を指定した場合、[Default RelayState] は無視されます。

   • 名前 ID 形式： [永続] を選択します。

   • アプリケーションユーザー名： [Email] を選択します。

7. [Feedback] ページで、要件に基づいてアプリケーションの種類を選択し、[Finish] をクリックします。

ステップ 3: Okta から SAML IdP メタデータを取得

1. 作成した SAML アプリケーション (AliyunSSODemo など) の詳細ページで、[Sign On] タブをクリックします。

2. [Settings] セクションで、[Metadata URL] をコピーします。新しいブラウザタブで URL を開きます。表示されたページで右クリックし、[名前を付けて保存] をクリックしてメタデータファイルをコンピューターにダウンロードします。

ステップ 4: Alibaba Cloud でユーザーベース SSO を設定

1. RAM コンソールの左側のナビゲーションウィンドウで、[統合管理] > [SSO] を選択します。

2. [ユーザーベース SSO] タブをクリックします。[SSO ステータス] の右側にある [有効] を選択します。

   説明

   これはすべての RAM ユーザーに影響するグローバル設定です。有効化すると、RAM ユーザーはユーザー名とパスワードでログインできなくなります。RAM ユーザーとしてログインしている場合は、設定が正しいことを確認するまで SSO を有効化しないでください。ロックアウトを避けるため、Alibaba Cloud アカウントでログインした状態でこの設定を行うことを推奨します。

3. [メタデータファイル] セクションで [メタデータファイルのアップロード] をクリックし、ステップ 3 でダウンロードした IdP メタデータファイルをアップロードします。

4. [補助ドメイン名] の右側にある [編集] をクリックします。この機能を有効化し、Okta ユーザーのメールアドレスのサフィックス (例: example.com) を入力します。

   説明

   Okta 組織に複数のメールドメイン名のユーザーが含まれている場合、ここで設定したメールアドレスのサフィックスと一致するユーザーのみが SSO を使用して Alibaba Cloud にログインできます。

ステップ 5: Okta ユーザーにアプリケーションを割り当て

1. 左側のナビゲーションウィンドウで、[Directory] > [People] を選択します。

2. [ユーザーの追加] をクリックします。

3. [Add Person] ページで、基本情報を入力し、[Primary email] を u2@example.com に設定して、[保存] をクリックします。

4. ユーザーリストでユーザー u2@example.com を見つけ、[ステータス] 列の [アクティブ化] をクリックします。その後、プロンプトに従ってユーザーをアクティブ化します。

5. 左側のナビゲーションウィンドウで、[Applications] > [Applications] を選択します。

6. アプリケーション名 (AliyunSSODemo) をクリックして詳細ページに移動します。[Assignments] タブで、[Assign] > [Assign to People] を選択します。

7. ユーザー (u2@example.com) を見つけ、[Assign] をクリックします。

8. [Save and Go Back] をクリックします。

9. [Done] をクリックします。

ステップ 6: Alibaba Cloud で RAM ユーザーを作成

1. RAM コンソールの左側のナビゲーションウィンドウで、[ID] > [ユーザー] を選択します。

2. [ユーザー] ページで、[ユーザーの作成] をクリックします。

3. [ユーザーの作成] ページで、[ログイン名] と [表示名] パラメーターを設定します。

   説明

   RAM ユーザーのログイン名 (@ の前の部分) のプレフィックスは、Okta ユーザーのユーザー名のプレフィックスと完全に一致する必要があります。この例では、Okta のユーザー名が u2@example.com であるため、RAM ユーザーのログイン名は u2 で始まる必要があります。

4. [アクセスモード] セクションで、[コンソールアクセス] を選択します。ユーザーは SSO を介して認証されるため、パスワードを設定する必要はありません。

5. [OK] をクリックします。

SSO 設定の確認

Alibaba Cloud (SP Initiated) と Okta (IdP Initiated) の両方から SSO を開始することで、設定を確認できます。