Alibaba Cloudと企業のID管理システムが連携してユーザーベースのシングルサインオン (SSO) を実装する場合、Alibaba Cloudはサービスプロバイダー (SP) であり、企業はIDプロバイダー (IdP) です。 ユーザーベースSSOにより、企業の従業員はRAMユーザーとしてAlibaba Cloudリソースにアクセスできます。
プロセス
管理者がユーザーベースSSOを設定すると、従業員アリスはAlibaba Cloud管理コンソールにログインできます。 下図にプロセスを示します。
Aliceはブラウザを使用してAlibaba Cloud管理コンソールにログインします。 その後、Alibaba Cloud管理コンソールは、SAML (Security Assertion Markup Language) 認証リクエストをブラウザに返します。
ブラウザは、SAML認証要求をIdPに転送します。
Aliceは、IdPポータルにログオンするように求められます。 AliceがIdPポータルにログオンした後、IdPはSAML応答をブラウザに返します。
ブラウザは、SAML応答をSSOサービスに転送します。
SSOサービスは、SAML相互信頼設定に基づいてSAMLレスポンス内のデジタル署名を検証し、SAMLアサーションの信頼性をチェックします。 次に、SSOサービスは、SAMLアサーションの
NameID要素の値をRAMユーザーにマップします。SSOサービスは、Alibaba Cloud管理コンソールのURLをブラウザに返します。
ブラウザはAliceをAlibaba Cloud管理コンソールにリダイレクトします。
説明ステップ1では、AliceはAlibaba Cloudからログインを開始する必要はありません。Aliceはブラウザーを使用してAlibaba Cloud管理コンソールにログインします。 その後、Alibaba Cloud管理コンソールは、SAML (Security Assertion Markup Language) 認証リクエストをブラウザに返します。 代わりに、AliceはIdPポータルでAlibaba CloudログインURLをクリックして、SAML認証リクエストをIdPに送信できます。
ユーザーベースSSOの設定
ユーザーベースSSOを実装する前に、Alibaba CloudとIdPの間に信頼を確立する必要があります。
Alibaba Cloud管理コンソールでIdPを設定し、IdPがAlibaba Cloudから信頼されるようにします。
詳細については、「ロールベースSSO用Alibaba CloudのSAML設定の設定」をご参照ください。
Alibaba Cloudを信頼できるSAML SPとして設定し、IdPでSAMLアサーションを設定して、Alibaba CloudがIdPによって信頼されるようにします。
詳細については、「ユーザーベースSSO向けエンタープライズIdPのSAML設定の設定」をご参照ください。
IdPとAlibaba Cloud SAMLの設定が完了したら、SDK、CLI、またはRAMコンソールを使用して、IdPのユーザーに対応するRAMユーザーを作成する必要があります。
詳細については、「RAM ユーザーの作成」をご参照ください。
関連ドキュメント
次の例では、IdPを使用してエンタープライズサービスとAlibaba Cloud間でユーザーベースSSOを実装する方法について説明します。