本ドキュメントでは、SAML 2.0 に従ってユーザーベース Single Sign On(SSO)のメタデータを構成して、アイデンティティプロバイダ(IdP)と Alibaba Cloud の間で信頼を確立する方法について説明します。
始める前に
SAML SSO を簡略化するため、デフォルトドメイン名、ドメインエイリアス、または補助ドメイン名が設定されています。 詳細は、デフォルトドメイン名の管理 と ドメインエイリアスの作成 をご参照ください。
手順
- RAM コンソール にログインします。
- 左側のナビゲーションペインで、 SSO をクリックします。
- ユーザーベース SSO タブをクリックします。
- SSO 設定 セクションで、変更 をクリックして必要に応じて SSO 設定を変更します。
- SSO ステータス:必要に応じて SSO 機能を有効または無効にすることができます。
注 この設定は、Alibaba Cloud アカウントのすべての RAM ユーザーに適用されます。
- SSO 機能はデフォルトで無効になります。 SSO 機能が無効になっている場合、RAM ユーザーはログインに自分のパスワードを使用でき、すべての SSO 設定は無効になります。
- SSO 機能を有効にした場合、RAM ユーザーはログインに自分のパスワードを使用できません。 ID 認証のために IdP にログインする必要があります。 後で SSO 機能を無効にすると、パスワードでのログインページが自動的に表示されます。
- メタデータファイル:IdP で提供されているメタデータファイルをアップロードするには、 アップロード をクリックします。
注 XML 形式のメタデータファイルは通常 IdP によって提供されます。 これには IDP のログインサービスアドレスと IDP によって発行される SAML アサーションの妥当性検証に使用される X.509 公開鍵証明書が含まれています。
- 補助ドメイン :(オプション)必要に応じてこの機能をオンまたはオフにできます。
- この機能をオンにすると、補助ドメイン名を設定し、それを SAML アサーションの
NameID要素のサフィックスとして使用できます。 - この機能をオフにすると、Alibaba Cloud アカウントのデフォルトドメイン名またはドメインエイリアスのみを SAML アサーションの
NameID要素のサフィックスとして使用できます。
NameID要素の値の詳細は、ユーザーベース SSO 使用時の IdP の SAML 設定の構成 をご参照ください。注 ドメインエイリアスと補助ドメイン名を同時に設定した場合、NameID要素のサフィックスとして使用できるのはドメインエイリアスまたはデフォルトドメイン名だけです。 - この機能をオンにすると、補助ドメイン名を設定し、それを SAML アサーションの
- SSO ステータス:必要に応じて SSO 機能を有効または無効にすることができます。
次のタスク
次のいずれかの方法を使用して、IdP から Alibaba Cloud または Alibaba Cloud RAM にデータを移行または同期することができます。
- RAM コンソールにログインし、IdP のユーザーと一致する RAM ユーザーを作成します。
- RAM SDK を使用してプログラムを作成するか、Alibaba Cloud コマンドラインインターフェイス(CLI)を使用してソリューションをカスタマイズします。