SlideShare a Scribd company logo

AlibabaCloudでのSAML(SSO)はAWSとは別物だったお話

H
Hiroyuki Sato

Alibaba Cloud Developers Meetup #4 - AliEaters Alibabaクラウドを食らうどの発表資料

Engineering
1 of 31
Download to read offline
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
AlibabaCloudでのSAML(SSO)はAWSとは別物だったお話 Hiroyuki Sato 2018/5/24
2 名前: 佐藤 裕行(さとう ひろゆき) 所属: 株式会社クラウドネイティブ ネットワークスペシャリスト クラウドインフラストラクチャスペシャリスト ロール: Network、IaaS(AWS/Azure/GCP/Alibaba) 経歴: ISP/キャリアネットワークの設計/構築を経て、 クラウド事業者に入社し、ゲーム案件を主にAWSの構築/運用に関わる。 2017年よりクラウドネイティブ社の立ち上げに加わり、 情報システムの価値を向上させるためスタートアップの一員として活動。 自己紹介
3 各クラウドのID管理はどうしてますか? 様々なSaaS関連のIDを個別に管理してますか? 各サービスごとに手動で作成、削除してますか? 退職者にIDを利用されることはないですか? 協力会社のIDも管理できていますか? パスワードの定期的な変更依頼とかしてないですか? 多要素認証してますか? IDの管理ってどうされてますか?
4 ● IdPは認証情報を提供するシステム ● ID情報はLDAPやActive Directory等 IdP(Id Provider)とは https://www.icsynergy.com/2014/06/idm-office-365-okta/
5 ● OASISによって策定(XML関連の標準化団体) ● 異なるインターネットドメイン間でユーザー認証を行うための認証情報の規格 ● ユーザーの認証情報をやり取りするルール・プロトコル SAML(Security Assertion Markup Language)とは? https://boxil.jp/mag/a2950/
6 ● ユーザー ○ 複数パスワードを覚えないで済む ○ 単一パスワードの使い回しがなくなる ○ 複数のシステムをシームレスに行き来できる ○ 許可されているサービスが明確化され、作業を効率化できる ● 管理者 ○ 信頼できる強固なシステムに、ユーザの認証を任せることができる ○ 多要素認証のシステムを容易に利用 ○ ID、権限を統合的に管理ができる シングルサインオンって何がいい?
7 ● https://www.slideshare.net/binbinqiu1/alieaters2-alibabacloud-20180320 なぜAlibabaCloudのSSOの仕様がAWSと同じと思ったの? Alibaba Cloud を自分なりに整理してみた Qiu Binbin 2018/03/20 https://www.slideshare.net/binbinqiu1/alieaters2-alibabacloud-20180320
8 ● なぜAlibabaCloudのSSOの仕様がAWSと同じと思ったの?
9 なぜAlibabaCloudのSSOの仕様がAWSと同じと思ったの?
10 なぜAlibabaCloudのSSOの仕様がAWSと同じと思ったの? Alibaba CloudのRAMはAWSのIAMと同様で あるため、同じSSO設定ができるかと思った のが今回のきっかけ。 しかし、すぐに理解できなかった。
11 DEMO ひとまずデモ!
12 ● SAML2.0対応 ● IAMユーザーの作成は行わない ● 権限はIAM ロールを利用する ● マルチアカウント対応 ● ログイン時の権限の選択が可能 AWSでは?
13 ● SAML2.0対応 ● 日本サイト未対応、中国サイトは対応 ● RAMユーザーの作成が必要 ● 権限はRAMユーザーに紐付く ● マルチアカウント未対応 Alibaba Cloudでは?
14 ● ドキュメントはフィーリングでなんとなくわかる! ● 中国語→英語→日本語でGoogle翻訳するとわかりやすい感じになります(コミュニティ情報) SAMLドキュメント 
15 ● 中国サイトでもベータ中 ● リソース管理、人事管理、企業顧客向けの財務管理などの機能がある ● 専用コンソールが存在する(中国語のみ) ● https://enterprise.console.aliyun.com/ エンタープライズコンソール(企业控制台简介)
16 ● SSO
17 SSO - 有効化
18 ● SSO有効
19 SSOにした場合、全てのRAMユーザが同一のIdPへ転送されます AWSは複数IdP対応しているので同じ感覚で設定し、 作業中にSAML設定を失敗してログインできなくなりました RootユーザでSSOを無効にして復旧しました SSO有効の注意点
20 ● ドメイン許可設定
21 ● ドメイン許可
22 ドメイン許可 - DNS認証
23 ● ドメイン許可 - TXTレコード登録
24 ドメイン許可 - 認証済
25 ● Alibabaのメタデータをダウンロード ○ https://signin.aliyun.com/saml/metadata.xml ● Okta(IdP)にメタデータの情報に合わせてSAMLを設定 ○ urn:oasis:names:tc:SAML:2.0:nameid-format:transient ○ Location="https://signin.aliyun.com/saml/SSO" IdP設定 SAML
26 ● SAMLメタデータ
27 SAML - Okta
28 ● RAMユーザの追加
29 ドキュメント上はRAMユーザーの自動化について記載があるが、 ドキュメントが存在しなかった。 資料は5月末までに公開するという情報あり DingTalkのアカウントがあれば特別に1対1でサポート対応も可能 RAMユーザの作成について
30 ● RAMはAWSのIAMと同じだと思っていた ○ 全く別物ということに気づくのに時間がかかった ● 中国語のドキュメントとの格闘 ○ 中国語で検索できない! ● 中国サイトのサポート ○ AIがドキュメントを検索してくれる ○ サポートデスクは英語はちょっとだけ通じるが、基本的に中国語の対応 ○ DingTalkというチャットツールでのサポート対応が可能 ● AlibabaCloudのコミュニティに助けられました!(最重要) ○ ありがとうございました!!!!!!!!!!!!!! まとめ
3 1  https://www.cloudnative.co.jp/

More Related Content

PDF
Web appsとcleardbで作る簡単webサイト
Tsukasa Kato
 
PDF
Control towerとsie monossであっちこっちした件
ssuser868e2d
 
PDF
AWS IoTアーキテクチャパターン
Amazon Web Services Japan
 
PDF
「サーバレスの薄い本」からの1年 #serverlesstokyo
Masahiro NAKAYAMA
 
PPTX
201806_OperationsByorganizatinAdmin_jaws-ug12
Taiga Ishii
 
PDF
20140220 gumistudy cloudformation
Kazuki Ueki
 
PPTX
Xamarin + Azure Mobile Appsの現実
Kazuyuki Miyake
 
PDF
WordPress 使いのためのMicrosoft Azure 超入門
Masaki Takeda
 
Web appsとcleardbで作る簡単webサイト
Tsukasa Kato
 
Control towerとsie monossであっちこっちした件
ssuser868e2d
 
AWS IoTアーキテクチャパターン
Amazon Web Services Japan
 
「サーバレスの薄い本」からの1年 #serverlesstokyo
Masahiro NAKAYAMA
 
201806_OperationsByorganizatinAdmin_jaws-ug12
Taiga Ishii
 
20140220 gumistudy cloudformation
Kazuki Ueki
 
Xamarin + Azure Mobile Appsの現実
Kazuyuki Miyake
 
WordPress 使いのためのMicrosoft Azure 超入門
Masaki Takeda
 

What's hot (19)

PDF
IoT(Bluetooth mesh) × サーバーレス
Masahiro NAKAYAMA
 
PDF
Azure Hybrid全体整理! ~ Azure Hybrid Dayに登場した要素 + αの関係性を整理! ~
Masahiko Ebisuda
 
PPTX
Azure Appservice WebAppsでWordPressサイトを構築すると 運用が劇的にラクになる話
典子 松本
 
PDF
オトナのService Fabric~マイクロサービス編
Tatsuaki Sakai
 
PPTX
[D3]サーバーレスでサービスを作ってみた話
dcubeio
 
PPTX
地方のユーザとクラウド
Taku Harako
 
PDF
gumiStudy #18 クラウドを使うユーザーが考えるべきこと
雄哉 吉田
 
PPTX
インフラ知識ゼロの Webデザイナーが AzureWebSitesを使ってみた話
典子 松本
 
PDF
20140628第9会クラウド女子会 vpc
SachieMiyazaki
 
PDF
SREチームとしてSREしてみた話
Yahoo!デベロッパーネットワーク
 
PDF
モバイルサービスでお手軽Push通知
Kazunori Hamamoto
 
PPTX
現実的な「WordPress on Azure App Service」 クイックスタート
Kazuyuki Miyake
 
PPTX
Azure Web Apps と Azure Mobile Apps
Masaki Yamamoto
 
PDF
Introduction of public cloud softlayer and bluemix
Kimihiko Kitase
 
PDF
クラウド運用3足の草鞋151102
Keiichi Hashimoto
 
PPTX
AzureADの認証で失敗した話
DevTakas
 
PPTX
MTとAzure の素敵な関係@MTDDC Meetup Tohoku 2015
Masaki Takeda
 
PPTX
本番運用で使うVisual Studio
Kazuyuki Miyake
 
PDF
モバイルファースト時代のクラウドネイティブアーキテクチャ JAWS DAYS 2015
Rikitake Oohashi
 
IoT(Bluetooth mesh) × サーバーレス
Masahiro NAKAYAMA
 
Azure Hybrid全体整理! ~ Azure Hybrid Dayに登場した要素 + αの関係性を整理! ~
Masahiko Ebisuda
 
Azure Appservice WebAppsでWordPressサイトを構築すると 運用が劇的にラクになる話
典子 松本
 
オトナのService Fabric~マイクロサービス編
Tatsuaki Sakai
 
[D3]サーバーレスでサービスを作ってみた話
dcubeio
 
地方のユーザとクラウド
Taku Harako
 
gumiStudy #18 クラウドを使うユーザーが考えるべきこと
雄哉 吉田
 
インフラ知識ゼロの Webデザイナーが AzureWebSitesを使ってみた話
典子 松本
 
20140628第9会クラウド女子会 vpc
SachieMiyazaki
 
SREチームとしてSREしてみた話
Yahoo!デベロッパーネットワーク
 
モバイルサービスでお手軽Push通知
Kazunori Hamamoto
 
現実的な「WordPress on Azure App Service」 クイックスタート
Kazuyuki Miyake
 
Azure Web Apps と Azure Mobile Apps
Masaki Yamamoto
 
Introduction of public cloud softlayer and bluemix
Kimihiko Kitase
 
クラウド運用3足の草鞋151102
Keiichi Hashimoto
 
AzureADの認証で失敗した話
DevTakas
 
MTとAzure の素敵な関係@MTDDC Meetup Tohoku 2015
Masaki Takeda
 
本番運用で使うVisual Studio
Kazuyuki Miyake
 
モバイルファースト時代のクラウドネイティブアーキテクチャ JAWS DAYS 2015
Rikitake Oohashi
 
Ad

Similar to AlibabaCloudでのSAML(SSO)はAWSとは別物だったお話 (8)

PDF
20200722 AWS Black Belt Online Seminar AWSアカウント シングルサインオンの設計と運用
Amazon Web Services Japan
 
PDF
OneLogin opsjaws_20160927
慶 宮澤
 
PDF
SecurityJAWS AWS Security Services Update 20200214
Hayato Kiriyama
 
PDF
JAWS-UG CLI #27 LT ActiveDirectoryのユーザとパスワードでManagement Consoleにログインする
Nobuhiro Nakayama
 
PDF
20190130 AWS Black Belt Online Seminar AWS Identity and Access Management (AW...
Amazon Web Services Japan
 
PDF
SAML / OpenID Connect / OAuth / SCIM 技術解説 - ID&IT 2014 #idit2014
Nov Matake
 
PDF
ID連携における仮名
Naohiro Fujie
 
PDF
AWS SSO x On-Prem AD Easy IAM user management on Jtf2021
Yukiya Hayashi
 
20200722 AWS Black Belt Online Seminar AWSアカウント シングルサインオンの設計と運用
Amazon Web Services Japan
 
OneLogin opsjaws_20160927
慶 宮澤
 
SecurityJAWS AWS Security Services Update 20200214
Hayato Kiriyama
 
JAWS-UG CLI #27 LT ActiveDirectoryのユーザとパスワードでManagement Consoleにログインする
Nobuhiro Nakayama
 
20190130 AWS Black Belt Online Seminar AWS Identity and Access Management (AW...
Amazon Web Services Japan
 
SAML / OpenID Connect / OAuth / SCIM 技術解説 - ID&IT 2014 #idit2014
Nov Matake
 
ID連携における仮名
Naohiro Fujie
 
AWS SSO x On-Prem AD Easy IAM user management on Jtf2021
Yukiya Hayashi
 
Ad

AlibabaCloudでのSAML(SSO)はAWSとは別物だったお話