Large-Scale Price Reduction

最大 59% オフ

平均で 23% 節約

詳細を表示
このトピックは、機械翻訳エンジンにより人間の介入なく作成されたものです。Alibaba Cloud は、機械翻訳の内容について、正確さを保証するものではありません。 このトピックの翻訳者による翻訳版を要求される場合、または、この翻訳に対するフィードバックを提供される場合は、フィードバックフォームの [その他の提案] テキストボックスにご記入ください。

AD FSからのユーザーベースSSOの実装

更新日時2024-10-31 06:28

このトピックでは、Active Directoryフェデレーションサービス (AD FS) からAlibaba Cloudへのユーザーベースのシングルサインオン (SSO) を実装する方法の例を示します。 この例では、クラウドIDプロバイダー (IdP) からAlibaba cloudへのエンドツーエンドSSOプロセスについて説明します。 次の例では、AD FSは、Windows Server 2012 R2を実行するElastic Compute Service (ECS) インスタンスにデプロイされています。

前提条件

SSOを設定する前に、次の操作を実行します。

  1. Windows Server 2012 R2を実行するECSインスタンスに次のサービスをデプロイします。

    • DNS サーバー : ID 認証リクエストを解決して正しいフェデレーションサービスに送信します。

    • Active Directoryドメインサービス (AD DS): ドメインユーザーやドメインデバイスなどのオブジェクトを作成、クエリ、および変更できます。

    • AD FS: SSO依存関係者を設定し、設定された依存関係者に対してSSO認証を実行できます。

      重要

      このトピックで説明するMicrosoft ADの設定は参考用であり、Alibaba CloudへのSSOログインの設定手順を理解するのに役立ちます。 Alibaba Cloudは、Microsoft ADの設定に関するコンサルティングサービスを提供していません。 AD FSのデプロイ方法の詳細については、「WindowsインスタンスでのADドメインの構築」をご参照ください。

  2. 次のデータを準備します。

    • Alibaba Cloudアカウントのデフォルトドメイン名: secloud.onaliyun.com

    • Alibaba Cloudアカウントに属するRAMユーザーのユーザー名: alice RAMユーザーのユーザープリンシパル名 (UPN) がalice@secloud.onaliyun.comです。

    • Microsoft ADに登録されているAD FSサービスの名前: adfs.secloud.club

    • Microsoft ADのドメイン名: secloud.club。 NetBIOS名はsecloudです。

    • Microsoft ADのRAMユーザーaliceのUPN: alice@secloud.club。 RAMユーザーは、secloud\aliceを使用してMicrosoft ADドメインからログオンすることもできます。

手順1: AD FSをRAMで信頼できるSAML IdPとして設定する

  1. ブラウザのアドレスバーに次のURLを入力します。https:// adfs.secloud.club/FederationMetadata/2007-06/FederationMetadata.xml.

  2. XML形式のメタデータファイルをコンピュータにダウンロードします。

  3. RAMコンソールにログインし、SSO設定用のメタデータファイルを使用します。

    詳細については、「ユーザーベースSSO用のAlibaba CloudのSAML設定の設定」をご参照ください。

    説明

    メタデータファイルのサイズが上限を超える場合、<fed:ClaimTypesRequested> および <fed:ClaimTypesOffered> のすべてのコンテンツを削除できます。

ステップ2: AD FSでAlibaba Cloudを信頼できるSAML SPとして設定する

AD FSでは、セキュリティアサーションマークアップ言語 (SAML) サービスプロバイダ (SP) は、依拠当事者と呼ばれます。 Alibaba Cloudを信頼できるSPとして設定するには、次の手順を実行します。

  1. サーバーマネージャーの上部のナビゲーションバーで、ツール>AD FS管理を選択します。

    image

  2. 依存当事者を右クリックして、Relying Party Trustを追加するを選択します。

    添加信赖方信任

  3. 依存関係者向けにAlibaba CloudのSAMLメタデータを設定します。

    SAMLメタデータのURLを表示するには、RAMコンソールにログインします。 左側のナビゲーションウィンドウで、[SSO] をクリックします。 表示されるページで、[ユーザーベースSSO] をクリックします。 [セットアップSSO] セクションでURLを確認できます。 AD FSで依存関係者を設定するときに、メタデータURLを直接入力できます。

    添加信赖方信任向导

依拠当事者が設定された後、Alibaba Cloudは、名前がadfs.secloud.clubであるAD FSサービスにリクエストを送信します。 リクエストは、デフォルトドメイン名がsecloud.onaliyun.comであるAlibaba Cloudアカウントに属するRAMユーザーを認証するために送信されます。 AD FSがリクエストを受信すると、RAMユーザーを認証し、Alibaba Cloudに応答を送信します。

ステップ3: Alibaba Cloud SPのSAMLアサーション属性の設定

SAMLアサーションのNameIDフィールドの値をRAMユーザーのUPNに設定することを推奨します。 これにより、Alibaba CloudはSAMLレスポンスに基づいて正しいRAMユーザーを見つけることができます。

Microsoft ADのUPNをSAMLアサーションのNameIDの値に設定する必要があります。

  1. 依存関係者の表示名を右クリックし、クレームルールの編集を選択します。

    编辑声明规则

  2. 発行変換ルールをクリックしてルールを追加します。

    説明

    発行変換ルールは、既知のユーザー属性を変換し、SAMLアサーションの属性として発行する方法を示します。 Microsoft ADでユーザーのUPNをNameIDとして発行する必要があります。 この場合、新しいルールが必要です。

    颁发转换规则

  3. 要求ルールテンプレート着信クレームの変換に設定します。

    转换传入声明

  4. ルールの編集を選択します。

    説明

    この例では、Alibaba CloudアカウントのUPNのドメイン名はsecloud.onaliyun.comで、Microsoft ADのUPNのドメイン名はsecloud.clubです。 Microsoft ADのUPNをNameIDにマップすると、Alibaba Cloudではユーザーを識別できません。

    この問題を解決するには、以下のどちらかの方法を使用します。

    1. 方法1: Microsoft ADのドメイン名を、RAMで構成されているドメインエイリアスに設定します。

      Microsoft ADのドメイン名secloud.clubがインターネット上のDNSに登録されている場合、secloud.clubをRAMに設定されたドメインエイリアスに変更できます。ドメインエイリアスの設定方法の詳細については、「ドメインエイリアスの作成と検証」をご参照ください。

      設定が完了したら、[ルールの編集] ダイアログボックスでUPNをNameIDにマップします。

      编辑规则_方法1

    2. 方法2: AD FSでドメイン名を変換します。

      ドメイン名secloud.clubが企業の内部ドメイン名である場合、企業のドメイン所有権はAlibaba Cloudによって検証できません。 RAMはデフォルトのドメイン名secloud.onaliyun.comのみ使用できます。

      この場合、UPNのドメイン名サフィックスsecloud.clubを変更して、AD FSがAlibaba Cloudに発行するSAMLアサーションにsecloud.onaliyun.comする必要があります。 编辑规则_方法2

    3. 方法3: Microsoft ADのドメイン名をユーザーベースSSOの補助ドメイン名として指定します。

      ドメイン名secloud.clubが企業の内部ドメイン名である場合、企業のドメイン所有権はAlibaba Cloudによって検証できません。 この場合、ドメイン名を変換する必要なしに、secloud.clubを補助ドメイン名として指定できます。 補助ドメイン名の指定方法については、「ユーザーベースSSO用のAlibaba CloudのSAML設定の設定」をご参照ください。

      設定が完了したら、[ルールの編集] ダイアログボックスでUPNをNameIDにマップします。

      编辑规则_方法3

  • 目次 (1, M)
  • 前提条件
  • 手順1: AD FSをRAMで信頼できるSAML IdPとして設定する
  • ステップ2: AD FSでAlibaba Cloudを信頼できるSAML SPとして設定する
  • ステップ3: Alibaba Cloud SPのSAMLアサーション属性の設定
フィードバック
phone お問い合わせ

Chat now with Alibaba Cloud Customer Service to assist you in finding the right products and services to meet your needs.

alicare alicarealicarealicare