このドキュメントでは、IDaaS EIAM 2.0 で利用可能なエディションと課金ルールについて説明します。
エディションの比較
IDaaS EIAM 2.0 は、次のエディションを提供します:
Free Edition:基本的な ID 管理のニーズを満たすために、無料の ID 接続機能を提供します。たとえば、Active Directory (AD) のアカウントと組織を IDaaS に同期したり、シングルサインオン (SSO) を使用して Alibaba Cloud RAM にログインしたりできます。
Enterprise Edition:すべての ID 接続機能と幅広い ID セキュリティ機能を提供します。クラウド ID ハブとして機能し、分離した ID サイロを接続します。
機能 | Free Edition | Enterprise Edition |
インスタンスあたりの最大アカウント数 | 50 | 購入したアカウント数に基づきます |
インバウンド DingTalk IdP の QR コードログインと完全同期 | サポート | サポートされています |
ワークベンチへのパスワードフリーログイン、増分同期、機密データ同期 (詳細設定) などのインバウンド DingTalk IdP の機能 | サポートされていません | サポート |
インバウンド AD/LDAP IdP のデリゲートログイン、ユーザーフィルター、完全同期 | サポートされています | サポート |
カスタムログイン ID、増分同期、定期検証などのインバウンド AD/LDAP IdP の機能 | サポートされていません | サポートされています |
QR コードログイン、ワークベンチへのパスワードフリーログイン、データ同期などのインバウンド WeCom IdP の機能 | サポートされていません | サポート。専用エンドポイントが必要です。 |
インバウンド OpenID Connect (OIDC) IdP のフェデレーション認証 (IDaaS へのログイン) と手動アカウントバインディング | サポートされています | サポート |
インバウンド OIDC IdP の自動バインディング、自動作成、自動情報更新。これは、Azure AD (Entra ID)、Okta、自社構築の 4A システムなどの ID プロバイダーから IDaaS またはアプリケーションへのフェデレーションログインに使用されます。 | サポートされていません | サポートされています |
すべてのアウトバウンド IdP のログイン、データ同期、その他の機能 | サポートされていません | 現在 DingTalk をサポートしています。将来的には別途購入が必要になります。 |
グループと拡張フィールド機能 | サポートされていません | サポートされています |
SSO、データ同期、API アクセスなどのマーケットプレイスアプリケーションの機能 | 特定のアプリケーションのみをサポート | サポートされています |
SSO、データ同期、API アクセスなどの標準アプリケーション (SAML や OIDC など) および自社開発アプリケーションの機能 | サポートされていません | サポートされています |
インスタンスあたりの最大アプリケーション数 | 3 | 1,000 |
IDaaS アカウントのパスワードやショートメッセージ検証コードなどのログイン方法 | サポートされています | サポートされています |
OTP、ショートメッセージ、メールなどを使用した二要素認証 | サポートされています | サポートされています |
ログイン時の二要素認証のバインド | サポートされていません | サポートされています |
パスワード複雑性ルールや高リスクパスワード検出などの基本的なセキュリティ機能 | サポートされています | サポートされています |
初期パスワード、定期的なパスワード変更、パスワード履歴、パスワードリセットなどの高度なパスワード機能 | サポートされていません | サポートされています |
アカウント、組織、グループへのアプリケーションアクセス権の付与 | サポートされています | サポートされています |
カスタムアイコン、名前、ドメイン名などのブランディング機能 | サポートされていません | サポートされています |
専用エンドポイント (WeCom への接続または PrivateLink を使用した AD/LDAP への接続用) | サポートされていません | 別途購入が必要です |
サービス可用性のコミットメントと重大イベントへの対応 | 保証されていません | 99.9% の可用性のコミットメントと重大な影響を及ぼすイベントへの迅速な対応 |
ヘルプとサポート | チケット | 24 時間以内のチケット応答と質問に対する 8×5 サポート |
Enterprise Edition インスタンスの有効期限が切れると、有料機能は自動的に制限され、インスタンスは Free Edition にスペックダウンされます。スペックダウン中にインスタンス内のデータは削除されません。有料機能を再度使用するには、新しいサブスクリプションを購入する必要があります。
アカウント課金
IDaaS EIAM 2.0 は、サブスクリプション課金モデルを採用しています。価格はインスタンス内のアカウント数に基づきます。アカウントあたりの価格は、アカウントの総数が増えるにつれて下がります。価格の詳細については、購入ページをご参照ください。
ご利用の IDaaS インスタンスのアカウント数が購入したクォータに達した場合、新しいアカウントを作成することはできません。ユーザーのログインや SSO などの既存の操作は影響を受けません。アカウントの作成を再開するには、インスタンスをスペックアップするか、アカウント数を減らす必要があります。
専用エンドポイントの課金
専用エンドポイント機能を使用すると、パブリックポートを開かずに AD/LDAP のデータを同期し、デリゲート認証を実行できます。また、専用のパブリック IP アドレスを使用して WeCom に接続することもできます。詳細については、「ネットワークエンドポイント」をご参照ください。
専用エンドポイントを購入し、専用エンドポイントのクォータを取得するには、Enterprise Edition インスタンスが必要です。各専用エンドポイントのコストは、Enterprise Edition アカウントの総コストの 30% です。
Enterprise Edition インスタンスがリリース (Free Edition にスペックダウン) されると、その専用エンドポイントは利用できなくなります。専用エンドポイントは 1 日後に自動的に削除されます。削除されたリソースとデータは回復できません。
条件付きアクセスの課金
条件付きアクセスは、アクセスリクエストのコンテキストを評価してアクセス決定を行うプロセスです。条件付きアクセスポリシーを使用すると、さまざまな状況に応じて特定のアクセスコントロールを適用できます。たとえば、アプリケーションごとに異なる二要素認証要件を設定できます。詳細については、「条件付きアクセスポリシー」をご参照ください。
条件付きアクセス機能を購入して使用するには、Enterprise Edition インスタンスが必要です。条件付きアクセス機能のコストは、Enterprise Edition アカウントの総コストの 40% です。
Enterprise Edition インスタンスがリリース (Free Edition にスペックダウン) されると、カスタムの条件付きアクセスポリシーは利用できなくなります。デフォルトの条件付きアクセスポリシーは影響を受けません。
M2M アプリケーションの課金
マシンツーマシン (M2M) 権限管理は、非対話型のサービス間シナリオ向けのアクセス制御メカニズムです。このメカニズムでは、IDaaS が認可資格情報を発行し、API Gateway などのコンポーネントが認証を実行します。このプロセスは、呼び出し元による保護されたリソースへのアクセスを厳密に制御し、不正な呼び出しを防ぎます。
M2M は別途課金される機能です。各 EIAM インスタンス内の M2M アプリケーションの課金ルールは次のとおりです:
以下の最大アプリケーション数は、単一の EIAM インスタンス内のアプリケーション数を指し、すべてのインスタンスにわたる M2M アプリケーションの総数ではありません。
最大アプリケーション数 | 料金 (USD/月) |
≤ 2 | 0 |
≤ 5 | 75 |
≤ 10 | 150 |
≤ 30 | 450 |
≤ 50 | 750 |
≤ 100 | 1,500 |