ゴール
複数のAlibaba Cloudアカウントがありまして、それぞれのアカウントで個別にRAM userを作成し利用するという方法もありますが、アカウント数とRAM user数が増えると、idとパスワードの管理は非常にややこしいので、RAM userを作成せずに、SSOが使えないかを検証してみる。
Alibaba CloudではAWS SSOみたいなサービスCloudSSOという複数のAlibaba CloudアカウントとアプリケーションへのSingle Sign-Onアクセスの一元管理を行うサービスがありますが、現在は東京regionがまだ使えません。
ということで、今回はGMO社のTrustLoginでやってみます。
前提条件
- すでにGMOアカウントを持っている
- すでにAlibaba Cloudのアカウントを持っている
関連知識
-
identity provider (IdP)
アイデンティティ管理サービスを提供します。 一般的に、IdP は次のタイプに分類されます。- Microsoft Active Directory フェデレーションサービス (AD FS) や Shibboleth など、ローカルにデプロイされた IDP
- AWS Azure AD、Google G Suite、Okta、OneLogin などクラウドベースの IDP
-
service provider (SP)
SP は IdP が提供するユーザー情報を使用します。今回のケースではAlibaba CloudはSPになります。 -
ロールベースSSO
Alibaba Cloud がサービスプロバイダー (SP) であり、企業システムが ID プロバイダー (IdP) です。 ロールベース SSO により、企業は IdP から Alibaba Cloud へユーザーを同期させることなく、IdP でユーザーを管理でき、従業員は RAM ロールを使用して Alibaba Cloud にログインできます。 -
ユーザーベースSSO
Alibaba Cloud がサービスプロバイダー (SP) であり、企業システムが ID プロバイダー (IdP) です。 ユーザーベースSSO により、従業員は Alibaba Cloud に RAM ユーザーとしてアクセスできます。
ロールベースSSOはAlibaba Cloud側で該当のRAM userの作成&管理が不要です。
ユーザーベースSSOはIdPからのユーザー情報をRAMに同期(つまりRAM userが自動的に作られる)ようです。
基本的にロールベールSSOのほうがよいでしょう。
手順
1. TrustLogin側の設定
-
TrustLoginにログインし、
管理ページ> アプリ」メニューを開き、画面右上のSAMLアプリ登録ボタンを押下します。
-
アプリケーション名、アイコン(任意)を登録します。
-
IDプロバイダーの情報のメタデータをダウンロードしておきます。
ここでAlibaba Cloud 側の設定に移ります。別ウィンドウでAlibaba Cloudのコンソールに管理者アカウントでログインしてください。
2. Alibaba Cloud の設定
1. RAMでSSO新規作成
-
Alibaba CloudのRAMコンソールで
SSO>ロールベースのSSOログイン方式を開き、SAMLタブのIdPの作成ボタンを押下します。
-
IdP 名に任意の名称、メタデータファイルのアップロードボタンによりTrustLoginからダウンロードしたメタデータファイルをアップロードし、OKボタンで保存します。
-
作成したIdP名をクリックし、
ARNの値を控えておきます。
2. 新規RAM Roleの作成
-
アイデンティティ>ロールを開き、ロールの作成ボタンを押下します。
- TrustLoginという外部のIdPを利用するため
IdPを選択し、次へで進みます。
-
RAMロール名に任意の名称、IdPタイプはSAMLを選択、IdPの選択で先程作成したIdPのTrustLoginSSOを選択 し、完了ボタンで保存します。
-
RAMロールの権限付与を押下し、RAMロールに権限付与するポリシーを選択し、OKボタンを押下します。
セキュリティ面を考える場合は必要最小限の権限のあるポリシーを付与したほうがよいですが、今回は管理権限のあるAdministratorAccessというシステムポリシーを利用します。
- 作成したロール名をクリックし、
ARNの値を控えておきます。
3. 再度TrustLogin側の設定に戻ります
1. トラスト・ログインの管理ページの設定 (続き)
-
サービスプロバイダーの設定の各項目を以下の通り設定します。
| 項目 | 内容 |
|---|---|
| ネームID用値 |
メンバー>emailを選択 |
| エンティティID | urn:alibaba:cloudcomputing:international |
| ネームIDフォーマット |
emailAddressを選択 |
| サービスへのACS URL | https://signin.alibabacloud.com/saml-role/sso |
-
SAML属性の設定のカスタム属性を指定ボタン押下し、SAML属性を追加ボタンで行(属性) を追加し、以下の通り設定した上で、登録ボタンで保存します。
①:https://www.aliyun.com/SAML-Role/Attributes/RoleSessionName
②:https://www.aliyun.com/SAML-Role/Attributes/Role
2. TrustLoginのユーザーの設定
1. ユーザー自分がマイページで追加する場合
-
マイページでアプリ追加ボタンを押します。
-
アプリ登録画面でalibabaで検索し、作成した独自SAMLアプリを選択し、画面右上の次へボタンを押します。
-
表示名を変更する場合は入力し、登録ボタンを押します。
-
マイページアプリをクリックし、ログインが成功するかご確認ください。
- Alibaba Cloudのwebコンソール画面が無事理表示できたら、OKです。
2. 管理者がSSO利用できるメンバーを追加する場合
-
管理ページ>アプリメニューで作成した独自SAMLアプリを検索しクリックします。
-
メンバー追加をクリックし、メンバー一覧から追加するユーザーを選択し登録ボタンを押して追加します。
