Alibaba Cloud IDaaS を使ってみる

Alibaba Cloud の ID as a Service となる Alibaba Cloud IDaaS を使ってみる話です。 IDaaS のインスタンスを購入し、 Alibaba Cloud VPN Gateway の SSL-VPN での2要素認証(クライアント証明書と IDaaS のユーザID・パスワード)まで試してみました。  結果、簡単にユーザID・パスワードで SSL-VPN を利用できることが確認出来ました。

IDaaS の購入

Alibaba Cloud コンソールにログインします。 Purchase Standard Edition をクリックします。

購入画面では以下の項目の指定があるのですが、どれも選択肢は1つのみで変更は出来ない状況でした。 Terms of Service を確認し、Buy Now をクリックします。

購入が完了しました。

インスタンスも出来上がりました。

Quick Start について

Alibaba Cloud IDaaS には初期設定で必要となる手順をまとめた Quick Start 画面が提供されているのでその内容を簡単に紹介します。

Manage をクリックします。

IDaaS のインスタンスの管理画面が開きます。 左メニューから Quick Start をクリックします。

Quick Start の画面では以下のように Welcome to IDaaS ということで IDaaS の概要の紹介であったり、

Dingtalk とのシングルサインオンや Dingtalk QR コードを利用した Unified Portal へのログオン、プロビジョニングなどもここから実施できるようです。

他にも RAM と IDaaS の統合などもここから行えるようです。

そして、アプリケーションを登録するための汎用的な9つの手順へのアクセスもこの Quick Start から可能となっています。

9つの手順を書き出すと以下のとおりです。 ①、②、③ は最低限必要となる作業です。 ④、⑤、⑥はアプリケーションでのエンドユーザの操作について、⑦、⑧、⑨はオプションとしてのアカウントのプロビジョニングや外部の認証ソース、監査ログなどの設定についてとなっています。

  1. Add Application
  2. Add An Account
  3. Authorize Application Access To Accounts
  4. Authentication
  5. Single Sign-On
  6. Sub-Account
  7. AD User Provisioning
  8. Authentication Source
  9. Audit Logs

VPN Gateway と IDaaS の連携

VPN Gateway の SSL-VPN 、以前はクライアント証明書しか認証の手段が提供されていなかったのですが2020年8月に IDaaS との連携が可能となっています(ただ、その頃試そうとしたのですが IDaaS がまだ利用できず途中で断念。その話はこちら)。 Alibaba Cloud IDaaS がリリースされたということで VPN Gateway の SSL-VPN と IDaaS を連携に再度チャレンジしてみます。

SSL-VPN の購入や設定は細かい手順は省略します。 まずは SSL-VPN を有効にしてインスタンスを購入します。

Create SSL Server の中で Two-factor Authentication を有効にし、その後、IDaaS のリージョンとインスタンスを選択します。 

IDaaS の管理画面からアカウントを追加します。 Create Account をクリックします。

アカウント作成に必要な情報を指定します。 電話番号は必須項目です(今回のVPN では使わないですし、アカウント登録のタイミングでこの電話番号の Verify などは行われませんでした)。

Next をクリックします。

Next をクリックします。

vpnuser1 アカウントが追加されました。

OpenVPN のクライアント(今回は OpenVPN Connect を使用)からプロファイルをインポートします。(プロファイルは Alibaba Cloud のコンソールからダウンロード)

Username に IDaaS で登録したアカウントを指定します。

接続をテストします。 接続のスライドバーをクリックします。

IDaaS に登録したアカウントのパスワードを入力します。

認証が成功し、SSL-VPN 接続が完了しました。

Alibaba Cloud の VPN Gateway の SSL-VPN機能、IDaaS と連携することでユーザID&パスワードでの認証に対応できることが確認出来ました(正確にはクライアント証明書とユーザ認証の2要素)。 以前はクライアント証明書だけでしたのでユーザ認証にも対応することで適用できる利用シーンも増えると思います。

また、今回は IDaaS のローカルアカウントを利用しましたが、LDAP や Active Directory との連携や監査ログなど実運用に向けて色々と試したい IDaaS の機能もあります。この辺はまた別の機会にチャレンジする予定です。

以上