このトピックでは、Alibaba Cloudでサポートされている2つのシングルサインオン (SSO) 方式 (ロールベースSSOとユーザーベースSSO) のシナリオについて説明します。 ビジネス要件に基づいてSSO方法を選択できます。
ロールベース SSO
ロールベースSSOは、次のシナリオに適用されます。
Alibaba Cloud上でユーザーを作成または管理する必要はありません。 その後、コストを削減し、ユーザーを同期する必要をなくすことができます。
Alibaba Cloud に SSO を実装し、Alibaba Cloud の一部のユーザーを管理したい。 Alibaba Cloud で管理されているユーザーを使用して Alibaba Cloud の新機能をテストしたり、ネットワークや ID プロバイダー (IdP) に例外が発生した場合に Alibaba Cloud にログインすることができます。
ローカルIdPのユーザーグループまたは特定のユーザー属性に基づいて、Alibaba Cloudの権限を管理します。 次に、ローカルIdPのユーザーをグループ化するか、ユーザー属性を変更することで、ユーザー権限を管理できます。
複数の Alibaba Cloud アカウントと、IdP を 1 つのみ所有しています。 IdP を一度設定するだけで、複数の Alibaba Cloud アカウントに SSO を実装したい。
複数の IdP と、Alibaba Cloud アカウントを 1 つのみ所有しています。 Alibaba Cloud アカウントに IdP を設定して、複数の IdP から 1 つの Alibaba Cloud アカウントに SSO を実装したい。
コンソールを使用するか、API操作を呼び出してSSOを実装します。
ユーザーベース SSO
ユーザーベースのSSOは、次のシナリオに適用されます。
IdP からではなく、Alibaba Cloud からログインを開始したい。
一部の Alibaba Cloud サービスには、ロールによる (STS による) アクセスができない。 詳細については、「STS をサポートする Alibaba Cloud サービス」をご参照ください。
IdP は属性の複雑な設定をサポートしていない。
IdP 設定を単純化したい。