Alibaba Cloudは、SAML (Security Assertion Markup Language) 2.0ベースおよびOIDC (OpenID Connect) ベースのシングルサインオン (SSO) をサポートしています。 この機能は、IDフェデレーションとも呼ばれます。 このトピックでは、SSOに関連する用語を紹介し、エンタープライズID管理システムとAlibaba Cloudの間でSSOを実装する方法について説明します。
用語
期間 | 説明 |
IDプロバイダー (IdP) | ID管理サービスを提供するRAMエンティティ。 IdPは次のタイプに分類されます。
|
サービスプロバイダー (SP) | IdPのID管理機能を使用してユーザーに特定のサービスを提供するアプリケーション。 SPは、IdPによって提供されるユーザ情報を使用する。 SAMLプロトコルに基づいていないOIDCなどの特定のIDシステムでは、SPはIdPの依存関係者として知られています。 |
セキュリティアサーションマークアップ言語 2.0 (SAML 2.0) | エンタープライズレベルのユーザーID認証用に設計されたプロトコル。 SAML 2.0は、SPとIdPとの間の通信に使用されます。 SAML 2.0は、企業がエンタープライズレベルSSOを実装するために使用する標準です。 |
SAML アサーション | SAMLプロトコルで定義されているコア要素。 この要素は、認証要求および応答を記述します。 例えば、認証応答のSAMLアサーションは、ユーザ属性を含むことができます。 |
信頼 | SPとIdPとの間の相互信頼関係。 ほとんどの場合、信頼関係は公開鍵と秘密鍵を使用して確立されます。 SPは、信頼できるIdPのSAMLメタデータを取得することができます。 メタデータは公開鍵を含みます。 SPは、公開鍵を使用して、IdPによって発行されるSAMLアサーションの整合性を検証します。 |
OIDC | Open Authorization (OAuth) 2.0に基づいて開発された認証プロトコル。 詳細については、「OIDC」および「OAuth 2.0」をご参照ください。 OAuthは認証プロトコルです。 OIDCはOAuthを拡張するためにIDレイヤーを追加します。 このように、OIDCはOAuthを認証に使用できます。 OIDCでは、クライアントがユーザーのIDを確認し、HTTP RESTful APIを使用してユーザーに関する基本情報を取得することもできます。 |
OIDCトークン | OIDCによってアプリケーションに発行されるIDトークン。 OIDCトークンは、ログオンユーザーを示すIDトークンです。 OIDCトークンを使用して、ログオンユーザーに関する基本情報を取得できます。 |
クライアントID | アプリケーションを外部IdPに登録するときに生成されるID。 外部IdPからOIDCトークンを申請するときは、クライアントIDを使用する必要があります。 クライアントIDは、発行されるOIDCトークンの |
指紋 | 外部IdPのHTTPS証明書に基づいて生成されるフィンガープリント。 指紋を使用して、発行者のURLがハイジャックされたり改ざんされたりするのを防ぐことができます。 Alibaba Cloudはフィンガープリントを計算します。 コンピューターで指紋を計算することをお勧めします。 たとえば、OpenSSLを使用してフィンガープリントを計算できます。 次に、計算結果とAlibaba Cloudが提供する計算結果を比較できます。 OpenSSLの詳細については、OpenSSLの公式Webサイトをご覧ください。 計算結果が異なる場合、発行者のURLが攻撃された可能性があります。 有効な指紋を入力してください。 |
発行者のURL | 外部IdPによって提供される発行者のURL。 URLは、OIDCトークンの |
STSトークン | Alibaba Cloud Security Token Service (STS) によって提供される一時的なID資格情報。 STSを使用すると、Alibaba Cloudリソースの一時的な資格情報を管理できます。 有効期間を設定し、STSトークンのアクセス許可を指定できます。 STSの詳細については、「STSとは何ですか?」をご参照ください。 |
SSOメソッド
Alibaba Cloudは以下のSSO方法を提供します。
ユーザーベース SSO
Alibaba Cloud管理コンソールへのログインに使用できるRAMユーザーIDは、SAMLアサーションに基づいて決定されます。 Alibaba Cloud管理コンソールにログインすると、RAMユーザーとしてAlibaba Cloudリソースにアクセスできます。 詳細については、「ユーザーベース SSO の概要」をご参照ください。
ロールベース SSO
Alibaba Cloudは、SAML 2.0ベースSSOおよびOIDCベースSSOをサポートしています。
SAML 2.0ベースSSO: Alibaba Cloud管理コンソールへのログインに使用できるRAMロールは、SAMLアサーションに基づいて決定されます。 Alibaba Cloud管理コンソールにログインした後、SAMLアサーションで指定されたRAMロールを使用してAlibaba Cloudリソースにアクセスできます。 詳細については、「概要」をご参照ください。
OIDCベースのSSO: IdPによって発行されたOIDCトークンを使用してAlibaba Cloud操作を呼び出し、特定のRAMロールを引き受け、OIDCトークンを使用してSTSトークンを取得できます。 次に、STSトークンを使用してAlibaba Cloudリソースにアクセスできます。 詳細については、「OIDCベースSSOの概要」をご参照ください。
ロールベースSSOとユーザーベースSSOの比較
SSOメソッド | SP開始SSO | IdP開始SSO | RAMユーザーのログイン名とパスワードを使用したログイン | 複数のAlibaba Cloudアカウントと1つのIdPとの関連付け | 複数のIdP |
ユーザーベース SSO | サポート | サポート | サポートされていません | サポートされていません | サポートされていません |
ロールベース SSO | サポートされていません | サポート | サポート | サポート | サポート |
2つのSSO方法の違いの詳細については、「SSOのシナリオ」をご参照ください。