チュートリアル: Microsoft Entra ID シングル サインオン (SSO) と Alibaba Cloud Service (ロールベースの SSO) の統合

  • [アーティクル]

このチュートリアルでは、Alibaba Cloud Service (ロールベースの SSO) と Microsoft Entra ID を統合する方法について説明します。 Alibaba Cloud Service (ロールベースの SSO) を Microsoft Entra ID と統合すると、次のことができます。

  • Alibaba Cloud Service (ロールベースの SSO) にアクセスできるユーザーを Microsoft Entra ID で制御できます。
  • ユーザーが自分の Microsoft Entra ID アカウントで自動的に Alibaba Cloud Service (ロールベースの SSO) にサインインできるように設定できます。
  • 1 つの場所でアカウントを管理します。

前提条件

開始するには、次が必要です。

  • Microsoft Entra サブスクリプション。 サブスクリプションがない場合は、無料アカウントを取得できます。
  • Alibaba Cloud Service (ロールベースの SSO) でのシングル サインオン (SSO) が有効なサブスクリプション。

シナリオの説明

このチュートリアルでは、テスト環境で Microsoft Entra の SSO を構成してテストします。

  • Alibaba Cloud Service (ロールベースの SSO) では、IDP Initiated SSO がサポートされます

Microsoft Entra ID への Alibaba Cloud Service (ロールベースの SSO) の統合を構成するには、ギャラリーからマネージド SaaS アプリの一覧に Alibaba Cloud Service (ロールベースの SSO) を追加する必要があります。

  1. クラウド アプリケーション管理者以上として Microsoft Entra 管理センターにサインインします。

  2. [ID]>[アプリケーション]>[エンタープライズ アプリケーション]>[新しいアプリケーション] に移動します。

  3. [ギャラリーから追加する] セクションで、検索ボックスに「Alibaba Cloud Service (ロールベースの SSO) 」と入力します。

  4. 結果のパネルから [Alibaba Cloud Service (ロールベースの SSO)] を選択し、アプリを追加します。 お使いのテナントにアプリが追加されるのを数秒待機します。

  5. Alibaba Cloud Service (ロールベースの SSO) ページで、左のナビゲーション ウィンドウにある [プロパティ] をクリックし、オブジェクト ID をコピーし、後で使用するためにそれをコンピューターに保存します。

    Properties config

または、Enterprise App Configuration ウィザードを使用することもできます。 このウィザードでは、SSO の構成に加えて、テナントへのアプリケーションの追加、アプリへのユーザーとグループの追加、ロールの割り当てを行うことができます。 Microsoft 365 ウィザードの詳細をご覧ください。

Alibaba Cloud Service (ロールベースの SSO) の Microsoft Entra SSO の構成とテスト

B.Simon というテスト ユーザーを使用して、Alibaba Cloud Service (ロールベースの SSO) に対する Microsoft Entra SSO を構成してテストします。 SSO が機能するためには、Microsoft Entra ユーザーと Alibaba Cloud Service (ロールベースの SSO) の関連ユーザーとの間にリンク関係を確立する必要があります。

Alibaba Cloud Service (ロールベースの SSO) に対して Microsoft Entra SSO を構成してテストするには、次の手順を実行します。

  1. Microsoft Entra SSO を構成する - ユーザーがこの機能を使用できるようにします。
    1. Microsoft Entra テスト ユーザーを作成する - Britta Simon を使用して Microsoft Entra シングル サインオンをテストします。
    2. Microsoft Entra テスト ユーザーを割り当てる - Britta Simon が Microsoft Entra シングル サインオンを使用できるようにします。
  2. Alibaba Cloud Service でロールベースのシングル サインオンを構成する - ユーザーがこの機能を使用できるようにします。
    1. Alibaba Cloud Service (ロールベースの SSO) の SSO の構成 - アプリケーション側でシングル サインオン設定を構成します。
    2. Alibaba Cloud Service (ロールベースの SSO) のテスト ユーザーの作成 - Alibaba Cloud Service (ロールベースの SSO) で Britta Simon に対応するユーザーを作成し、Microsoft Entra の Britta Simon にリンクさせます。
  3. SSO のテスト - 構成が機能するかどうかを確認します。

Microsoft Entra SSO の構成

次の手順に従って Microsoft Entra SSO を有効にします。

  1. クラウド アプリケーション管理者以上として Microsoft Entra 管理センターにサインインします。

  2. [ID][アプリケーション][エンタープライズ アプリケーション][Postman][シングル サインオン] の順に移動します。

  3. [シングル サインオン方式の選択] ページで、 [SAML] を選択します。

  4. [SAML でシングル サインオンをセットアップします] ページで、 [基本的な SAML 構成] の編集 (ペン) アイコンをクリックして設定を編集します。

    Edit Basic SAML Configuration

  5. [基本的な SAML 構成] セクションで、サービス プロバイダー メタデータ ファイルがある場合は、次の手順に従います。

    a. [メタデータ ファイルをアップロードします] をクリックします。

    b. フォルダー ロゴをクリックしてメタデータ ファイルを選択し、 [アップロード] をクリックします。

    注意

    1. Alibaba Cloud International サイトについては、こちらのリンクからサービス プロバイダーのメタデータをダウンロードしてください。
    2. Alibaba Cloud Service (CN) サイトについては、こちらのリンクからサービス プロバイダーのメタデータをダウンロードしてください。

    c. メタデータ ファイルが正常にアップロードされると、識別子応答 URL の値が、Alibaba Cloud Service (ロールベースの SSO) セクションのテキスト ボックスに自動的に設定されます。

    注意

    識別子応答 URL の値が自動的に設定されない場合は、要件に応じて手動で値を入力してください。

  6. Alibaba Cloud Service (ロールベースの SSO) では、Microsoft Entra ID にロールが構成されている必要があります。 ロール要求はあらかじめ構成されているため、自分で構成する必要はありませんが、それらを Microsoft Entra ID に作成する必要があります。こちらの記事に従ってください。

  7. [SAML によるシングル サインオンのセットアップ] ページの [SAML 署名証明書] セクションで、 [フェデレーション メタデータ XML] を探して [ダウンロード] を選択し、証明書をダウンロードして、お使いのコンピューターに保存します。

    The Certificate download link

  8. [Alibaba Cloud Service (ロールベースの SSO) のセットアップ] セクションで、要件に基づいて適切な URL をコピーします。

    Copy configuration URLs

Microsoft Entra テスト ユーザーを作成する

このセクションでは、B.Simon というテスト ユーザーを作成します。

  1. Microsoft Entra 管理センターユーザー管理者以上でサインインしてください。
  2. [ID]>[ユーザー]>[すべてのユーザー] の順に移動します。
  3. 画面の上部で [新しいユーザー]>[新しいユーザーの作成] を選択します。
  4. [ユーザー] プロパティで、以下の手順を実行します。
    1. "表示名" フィールドに「B.Simon」と入力します。
    2. [ユーザー プリンシパル名] フィールドに「username@companydomain.extension」と入力します。 たとえば、「 B.Simon@contoso.com 」のように入力します。
    3. [パスワードを表示] チェック ボックスをオンにし、 [パスワード] ボックスに表示された値を書き留めます。
    4. [Review + create](レビュー + 作成) を選択します。
  5. [作成] を選択します。

Microsoft Entra テスト ユーザーを割り当てる

このセクションでは、B.Simon に Alibaba Cloud Service (ロールベースの SSO) へのアクセスを許可することで、このユーザーがシングル サインオンを使用できるようにします。

  1. クラウド アプリケーション管理者以上として Microsoft Entra 管理センターにサインインします。

  2. [ID][アプリケーション][エンタープライズ アプリケーション][Postman] の順に移動します。

  3. アプリの概要ページで、 [管理] セクションを見つけて、 [ユーザーとグループ] を選択します。

  4. [ユーザーの追加] を選択し、 [割り当ての追加] ダイアログで [ユーザーとグループ] を選択します。

  5. [ユーザーとグループ] タブでユーザーの一覧から u2 を選択し、 [選択] をクリックします。 次に、 [割り当て] をクリックします。

    Assign the Microsoft Entra test user1

  6. 割り当てられたロールを表示し、Alibaba Cloud Service (ロールベースの SSO) をテストします。

    Assign the Microsoft Entra test user2

    Note

    ユーザー (u2) を割り当てると、作成したロールがユーザーに自動的に関連付けられます。 複数のロールを作成した場合、必要に応じて、適切なロールをユーザーに関連付ける必要があります。 ロールベースの SSO を Microsoft Entra ID から複数の Alibaba Cloud アカウントに実装する場合、前の手順を繰り返します。

Alibaba Cloud Service でロールベースのシングル サインオンを構成する

  1. Account1 を使用し、Alibaba Cloud RAM コンソールにサインインします。

  2. 左側のナビゲーション ウィンドウで [SSO] を選択します。

  3. [Role-based SSO](ロールベースの SSO) タブで [Create IdP](IdP の作成) をクリックします。

  4. 表示されたページで [IdP Name](IdP 名) フィールドに「AAD」と入力し、 [注] フィールドに説明を入力し、 [アップロード] をクリックし、前にダウンロードしたフェデレーション メタデータ ファイルをアップロードし、 [OK] をクリックします。

  5. IdP が正常に作成されたら、 [Create RAM Role](RAM ロールの作成) をクリックします。

  6. [RAM Role Name](RAM ロール名) フィールドに「AADrole」と入力し、 [Select IdP](IdP の選択) ドロップダウン リストから AAD を選択し、[OK] をクリックします。

    注意

    必要に応じて、ロールにアクセス許可を付与できます。 IdP と該当するロールを作成したら、後で使用するために IdP とロールの ARN を保存することをお勧めします。 ARN は IdP 情報ページとロール情報ページで入手できます。

  7. Alibaba Cloud RAM ロール (AADrole) を Azure AD ユーザー (u2) に関連付けます。

    RAM ロールを Microsoft Entra ユーザーに関連付けるには、次の手順に従って Microsoft Entra ID でロールを作成する必要があります。

    1. Microsoft Graph Explorer にサインインします。

    2. [アクセス許可の変更] をクリックし、ロールの作成に必要なアクセス許可を取得します。

      Graph config1

    3. 次の画像のように、一覧から次のアクセス許可を選択し、 [アクセス許可の変更] をクリックします。

      Graph config2

      Note

      アクセス許可が付与されたら、Graph Explorer に再度サインインします。

    4. Graph Explorer ページで、最初のドロップダウン リストから [GET] を選択し、2 つ目のドロップダウン リストから [ベータ] を選択します。 ドロップダウン リストの横にあるフィールドに「https://graph.microsoft.com/beta/servicePrincipals」と入力し、 [クエリの実行] を実行します。

      Graph config3

      Note

      複数のディレクトリを使用している場合、クエリのフィールドに「https://graph.microsoft.com/beta/contoso.com/servicePrincipals」と入力できます。

    5. [Response Preview](応答プレビュー) セクションで、後で使用するために "Service Principal" から appRoles プロパティを抽出します。

      Graph config4

      Note

      クエリのフィールドに「https://graph.microsoft.com/beta/servicePrincipals/<objectID>」と入力することで appRoles プロパティを見つけることができます。 objectID は Microsoft Entra ID の [プロパティ] ページからコピーしたオブジェクト ID であることに注意してください。

    6. Graph Explorer に戻り、メソッドを GET から PATCH に変更し、 [要求本文] セクションに次のコンテンツを貼り付け、 [クエリの実行] をクリックします。

        {
    "appRoles": [
      {
        "allowedMemberTypes": [
          "User"
        ],
        "description": "msiam_access",
        "displayName": "msiam_access",
        "id": "41be2db8-48d9-4277-8e86-f6d22d35****",
        "isEnabled": true,
        "origin": "Application",
        "value": null
      },
      {
        "allowedMemberTypes": [
          "User"
        ],
        "description": "Admin,AzureADProd",
        "displayName": "Admin,AzureADProd",
        "id": "68adae10-8b6b-47e6-9142-6476078cdbce",
        "isEnabled": true,
        "origin": "ServicePrincipal",
        "value": "acs:ram::187125022722****:role/aadrole,acs:ram::187125022722****:saml-provider/AAD"
      }
    ]
  }

      注意

      value は、RAM コンソールで作成した IdP とロールの ARN です。 ここでは、必要に応じて、複数のロールを追加できます。 Microsoft Entra ID から、SAML 応答の要求値としてこれらのロールの値が送信されます。 ただし、パッチ操作では、msiam_access 部分の後にのみ、新しいロールを追加できます。 作成過程を速やかに進めるため、GUID Generator など、ID ジェネレーターを使用してリアルタイムで ID を生成することをお勧めします。

    7. 必要なロールで "Service Principal" にパッチを適用したら、チュートリアルの「Microsoft Entra テスト ユーザーの割り当て」セクションの手順に従い、Microsoft Entra ユーザー (u2) とロールを関連付けます。

Alibaba Cloud Service (ロールベースの SSO) の SSO の構成

Alibaba Cloud Service (ロールベースの SSO) 側でシングル サインオンを構成するには、ダウンロードしたフェデレーション メタデータ XML とアプリケーション構成からコピーした適切な URL を Alibaba Cloud Service (ロールベースの SSO) サポート チームに送信する必要があります。 サポート チームはこれを設定して、SAML SSO 接続が両方の側で正しく設定されるようにします。

Alibaba Cloud Service (ロールベースの SSO) のテスト ユーザーの作成

このセクションでは、Alibaba Cloud Service (ロールベースの SSO) で Britta Simon というユーザーを作成します。 Alibaba Cloud Service (ロールベースの SSO) サポート チームと連携し、Alibaba Cloud Service (ロールベースの SSO) プラットフォームにユーザーを追加してください。 シングル サインオンを使用する前に、ユーザーを作成し、有効化する必要があります。

SSO のテスト

上記の構成が完了したら、次の手順を実行し、Alibaba Cloud Service (ロールベースの SSO) をテストします。

  1. クラウド アプリケーション管理者以上として Microsoft Entra 管理センターにサインインします。

  2. [ID][アプリケーション][エンタープライズ アプリケーション][Postman] の順に移動します。

  3. [シングル サインオン] を選択し、[テスト] をクリックします。

    Test config1

  4. [現在のユーザーとしてサインイン] をクリックします。

    Test config2

  5. アカウント選択ページで、u2 を選択します。

    Test config3

  6. 次のページが表示され、ロールベースの SSO に成功したことが示されます。

    Test config4

次のステップ

Alibaba Cloud Service (ロールベースの SSO) を構成したら、組織の機密データを流出と侵入からリアルタイムで保護するセッション制御を適用することができます。 セッション制御は、条件付きアクセスを拡張したものです。 Microsoft Defender for Cloud Apps でセッション制御を強制する方法をご覧ください。