Alibaba Cloud は SAML 2.0 ベースの Single Sign On(SSO、アイデンティティフェデレーションとも呼ばれる)をサポートします。 本ドキュメントでは、エンタープライズと Alibaba Cloud の間に SSO を実装する方法を紹介します。
用語集
以下の表に、SAML と SSO に関連するいくつかの基本用語の詳細を示します。
- ID プロバイダ (IDP)
- アイデンティティ管理サービスを提供します。 一般的に、IdP は次のタイプに分類されます。
- Microsoft Active Directory フェデレーションサービス (AD FS) や Shibboleth など、ローカルにデプロイされた IDP
- Azure AD、Google G Suite、Okta、OneLogin などクラウドベースの IDP
- サービスプロバイダ (SP)
- IDP の ID 管理機能を使用して、特定のサービスをユーザーに提供します。 SP は IDP が提供するユーザー情報を使用します。 SAML プロトコルに準拠していない ID システム (OpenID Connect など) では、サービスプロバイダがリライングパーティ (Relying Party)、つまり IDP の依拠当事者として知られているシステムがあります。
- セキュリティアサーションマークアップ言語 2.0 (SAML 2.0)
- エンタープライズレベルのユーザー ID 認証用プロトコル。 SP と IDP との間の通信を実現できます。 SAML 2.0 は、エンタープライズがエンタープライズレベルの SSO を実装するために使用できる標準です。
- SAML アサーション
- 認証リクエストおよびレスポンスを記述するための SAML プロトコルのコアエレメント。 たとえば、認証レスポンスアサーションにユーザーの特定のプロパティが含まれています。
- 信頼
- SP と IDP との間の相互信頼メカニズム。 通常、公開鍵と秘密鍵を使用して実装されています。 SP は、信頼できる方法で IdP の SAML メタデータを取得します。 メタデータには、IDP によって発行された SAML アサーションを検証するための公開鍵が含まれています。 SP は公開鍵を使用してアサーションの整合性を検証できます。
SSO のメソッド
エンタープライズは、SAML 2.0 ベースの IdP(たとえば、AD FS)を通じて Alibaba Cloud に SSO を実装できます。 Alibaba Cloud
は、次の 2 つの SAML 2.0 ベースの SSO メソッドを提供します。
- ユーザーベース SSO:Alibaba Cloud へのログインに使用できる RAM ユーザーは、SAML アサーションを通じて決定できます。 ログイン後、RAM ユーザーを使用して Alibaba Cloud にアクセスできます。 詳細については、ユーザーベース SSO の概要 をご参照ください.
- ロールベース SSO:Alibaba Cloud へのログインに使用できる RAM ロールは、SAML アサーションを通じて決定できます。 ログイン後、SAML アサーションで指定されたロールを使用して Alibaba Cloud にアクセスできます。 詳細については、ロールベースの SSO の概要 をご参照ください.
ロールベース SSO とユーザーベース SSO の比較
| SSO メソッド | SP によって開始された SSO をサポート | IdP によって開始された SSO をサポート | RAM アカウントとパスワードでのログインをサポート | 1 つの IdP と複数の Alibaba Cloud アカウントとの関連付けをサポート | 複数の IdP をサポート |
|---|---|---|---|---|---|
| ユーザーベース SSO | はい | はい | いいえ | いいえ | いいえ |
| ロールベース SSO | いいえ | はい | はい | はい | はい |
注 詳細は、SSO の適用シナリオ をご参照ください.