すべてのプロダクト
Search

このプロダクト

    Resource Access Management:概要

    ドキュメントセンター

    Resource Access Management:概要

    最終更新日:Oct 31, 2024

    Alibaba Cloudと企業のID管理システムが連携してロールベースのシングルサインオン (SSO) を実装する場合、Alibaba Cloudはサービスプロバイダー (SP) であり、ID管理システムはIDプロバイダー (IdP) です。 ロールベースSSOを使用すると、IdPからAlibaba Cloudにユーザーを同期する必要なく、ローカルIdPでユーザーを管理できます。 さらに、企業の従業員は、特定のRAMロールを使用してAlibaba Cloudにアクセスできます。

    処理中

    ロールベースSSOを使用すると、企業の従業員はAlibaba Cloud管理コンソールにログインするか、プログラムを使用してAlibaba Cloudにアクセスできます。

    • Alibaba Cloud管理コンソールへのログインによるAlibaba Cloudへのアクセス

      次の図は、管理者がロールベースSSOを設定した後、従業員であるAliceがAlibaba Cloud管理コンソールにログインしてAlibaba Cloudにアクセスする方法を示しています。

      通过控制台访问阿里云

      次のリストは、プロセスを説明しています。

      1. AliceはブラウザでIdPのログインページを開き、必要なサービスとしてAlibaba Cloudを選択します。

        AliceはブラウザでIdPのログオンページを開き、必要なサービスとしてAlibaba Cloudを選択します。 この例では、IdPはMicrosoft Active Directoryフェデレーションサービス (AD FS) です。 したがって、ログインURLはhttps:// ADFSServiceName/adfs/ls/IdpInitiatedSignOn.aspxです。

        説明

        一部のIdPでは、ユーザーがAlibaba Cloudを表すSSOアプリケーションを選択する前に、ユーザーがログオンする必要があります。

      2. IdPは、SAML (Security Assertion Markup Language) 応答を生成し、その応答をブラウザに返す。

      3. ブラウザはAliceをSSOサービスページにリダイレクトし、SAML応答をSSOサービスに転送します。

      4. SSOサービスは、SAML応答を使用して、Alibaba Cloud Security token service (STS) にSTSトークンを要求します。 次に、SSOサービスは、STSトークンを使用してAliceがAlibaba Cloud管理コンソールにログインするために使用できるURLを生成します。

        説明

        SAML応答に複数のRAMロールにマップする属性が含まれている場合、Aliceは最初にロールを選択するように求められます。

      5. SSO サービスは URL をブラウザに返します。

      6. ブラウザはAliceをURLにリダイレクトし、Aliceは指定されたロールとしてAlibaba Cloud管理コンソールにログインします。

    • プログラムによるAlibaba Cloudへのアクセス

      次の図は、Aliceがプログラムを使用してAlibaba Cloudにアクセスする方法を示しています。

      使用程序访问阿里云

      次のリストは、プロセスを説明しています。

      1. Aliceは、プログラムを使用してIdPへのログオン要求を開始します。

      2. IdPは、SAMLアサーションを含むSAML応答を生成し、SAML応答をプログラムに返します。

      3. このプログラムは、Alibaba Cloud STSのAssumeRoleWithSAML操作を呼び出し、次の情報を転送します。

        IdPのAlibaba Cloudリソース名 (ARN) 、引き受けられるロールのARN、およびIdPから取得されるSAMLアサーション

      4. STSはSAMLアサーションを検証し、STSトークンをプログラムに返します。

      5. このプログラムは、STSトークンを使用してAlibaba Cloud API操作を呼び出します。

    ロールベース SSO の設定

    ロールベースSSOを実装する前に、Alibaba CloudとIdPの間に信頼を確立する必要があります。

    1. Alibaba Cloud管理コンソールでIdPを設定し、IdPがAlibaba Cloudから信頼されるようにします。

      詳細については、「ロールベースSSO用Alibaba CloudのSAML設定の設定」をご参照ください。

    2. プログラムを使用するか、RAMコンソールにログインして、ロールベースSSO用のRAMロールを作成し、RAMロールに権限を付与します。

      詳細については、「信頼できる IdP の RAM ロールの作成」をご参照ください。

    3. Alibaba Cloudを信頼できるSAML SPとして設定し、IdPでSAMLアサーションを設定して、Alibaba CloudがIdPによって信頼されるようにします。

      詳細については、「ロールベース SSO 使用時の IdP の SAML の設定」をご参照ください。

    以下のリストは、一般的なエンタープライズIdPからAlibaba CloudへのロールベースSSOを実装する方法の例を示しています。