すべてのプロダクト
Search

このプロダクト

    Identity as a Service:Agent Identity セキュリティ設定ガイド

    ドキュメントセンター

    Identity as a Service:Agent Identity セキュリティ設定ガイド

    最終更新日:Mar 04, 2026

    このトピックでは、IDaaS EIAM の Agent ID を使用して AI エージェントの ID と権限を管理する方法について説明します。資産の可視化、人とマシンの権限分離、認証方式の設定、クライアントと大規模言語モデル (LLM) ノードの統合、エンタープライズサービスへのアクセス、およびよくある質問について説明します。

    適用範囲

    • IDaaS EIAM の Enterprise 版インスタンスを作成し、M2M 機能を有効にして、少なくとも 2 つの M2M アプリケーションクォータを確保していること。詳細については、「インスタンスの作成」および「インスタンスのスペックアップ」をご参照ください。

    • エンタープライズ ID ソースを作成し、アカウントリストに少なくとも 1 つの有効なアカウントがあること。詳細については、「アカウントの作成」をご参照ください。

    エージェント ID の登録

    1. IDaaS EIAM コンソールに移動します。

    2. 左側のナビゲーションウィンドウで、Agent ID Guard を選択します。

    3. [Agent ID 管理] ページで、Register Agent Identity をクリックします。

    4. システムは自動的にエージェント ID 構成トポロジー図を作成します。この図は、次のノードをサポートしています。

      • エージェントノード:エージェント ID エンティティを表します。ここで認証方式と権限を設定します。

      • Client ノード:クライアントアクセスを承認し、エージェントにアクセスできるクライアントを制御します。

      • ダウンストリームリソース:必要に応じて、次のノードから選択します。

        • Large Language Model (LLM) ノード:大規模言語モデルサービス用の API キー認証情報を作成します。

        • Enterprise Service:IDaaS と統合された社内エンタープライズアプリケーションです。

        • Third-Party Service ノード:外部サービスプロバイダーによって提供されるサードパーティアプリケーションの OAuth 認証情報または API キーです。

    5. トポロジー図は、ノード間の次の権限付与関係をサポートしています。

      • アウトバウンド権限付与: 「エージェント」ノードを Large Language Model (LLM)Enterprise Service、または Third-Party Service の各ノードに接続し、アウトバウンド権限付与関係を確立します。

      • インバウンド権限付与:クライアントノードをエージェントノードに接続して、インバウンド権限付与を確立します。

    6. エージェントノードにカーソルを合わせます:ノードの左側にある + ボタンをクリックして Client ノードを追加するか、右側にある + ボタンをクリックして Large Language Model (LLM)Enterprise Service、または Third-Party Service ノードを追加します。

    重要

    エージェントClient、および Enterprise Service ノードには、それぞれ 1 つの M2M アプリケーション権限が必要です。

    エージェントノードの設定

    エージェントノードの認証方式と権限を設定します。

    一般設定

    1. エージェント ID 構成トポロジー図で、エージェントノードをクリックします。

    2. General パネルで、次の設定を完了します。

      • Agent ID:システムによって自動的に生成されます。変更はできません。

      • Agent Name:コンソールに表示されるカスタム名を入力します。

      • Authentication Type:次の 2 つの方式から 1 つを選択します。

        • Client Secret Credential: エージェントが IDaaS にアクセスする際のクライアント側の身分認証に使用されます。Add client_secret をクリックして、新しい Client Secret Credential を作成します。

        • Certificates CredentialManually Add をクリックして、クライアントの Public Key を追加します。エージェントは秘密鍵を使用して認証情報に署名します。IDaaS はクライアントの Public Key を使用してエージェントの情報を検証します。

      • Configure Audience Identifier:システムによって自動的に生成されます。最初の設定時にのみ変更できます。設定後は変更できません。

    3. Next をクリックして、Permission Configuration ページに移動します。

    権限設定

    1. 権限情報を設定します。

      • Permission Name:システムによって自動的に生成されます。変更可能です。

      • Scope Value:この権限を一意に識別するために使用されます。システムはデフォルト値を自動的に生成しますが、必要に応じて変更できます。デフォルトの agent.access を維持することを推奨します。

      • Authorization Method:権限付与方式を選択します。

        • Auto-Authorize:クライアントにアクセスできるすべてのユーザーにこの権限を付与します。これらのユーザーはエージェントへのアクセス権を取得します。

        • Manually:特定のユーザーにこの権限を個別に割り当てます。

    2. Manually を選択した場合は、Next をクリックします。権限付与設定パネルに移動し、権限付与オブジェクトを選択できます。

      • User:単一のユーザーアカウントを選択します。

      • Group:ユーザーグループを選択します。グループ内のすべてのメンバーが権限を受け取ります。

      • Organization:組織を選択します。組織内のすべてのメンバーが権限を受け取ります。

    3. 権限設定を完了します。

    クライアントノードの設定

    エージェントへのクライアントアクセスのためのクライアント認証情報を設定します。設定後、作成されたクライアント M2M アプリケーションは Application Management > M2M Applications ページで確認できます。

    クライアントノードの追加

    1. エージェント ID 構成トポロジー図で、エージェントノードにカーソルを合わせます。左側の + ボタンをクリックします。

    2. ノードタイプメニューで、Clientを選択します。

    または、ページ上の Add Node ボタンをクリックして Client ノードを追加します。

    クライアントアプリケーションの設定

    1. 新しいクライアントノードをクリックします。

    2. 設定パネルで、次のいずれかの操作を選択します。

      • 既存のアプリケーションを選択:アプリケーションリストから、すでに作成されている OIDC (M2M) アプリケーションを選択します。

      • 新しいアプリケーションを作成:Create Client Application をクリックします。

    クライアントアプリケーションの作成

    1. Create Client Application をクリックします。

    2. 基本的なアプリケーション情報を設定します。

      • Application Name:クライアントアプリケーションの名前を入力します。

      • リダイレクト URI:デフォルトのログインページ URL です。ユーザーは、ユーザー名とパスワードの入力や外部 ID プロバイダーの選択など、本人確認のためにこの URL にリダイレクトされます。HTTPS および HTTP プロトコルをサポートしています。例:https://example.aliyun.com/login

        説明

        URI 内の # 文字およびそれ以降のすべてはサーバーに送信されません。これらを含めるには、代わりに %23 を使用してください。

      • Authentication Type:クライアント認証方式を選択します。

        • Client Secret Credential: IDaaS がエージェントを認証する際に使用します。この認証情報は、エージェント側で設定します。

        • Certificates Credential:クライアントの Public Key を追加します。IDaaS はこの公開鍵を使用してエージェントの情報を検証します。

    3. Next をクリックして、権限付与設定パネルを開きます。このクライアントアプリケーションの使用を許可するユーザーを選択します。UserGroup、または Organization によってユーザーを選択できます。

    4. クライアントアプリケーションの作成を完了します。

    インバウンド権限付与の設定

    インバウンド権限付与は、クライアントがリクエストできる権限の範囲を定義します。

    1. クライアントノードとエージェントノードを接続する線上で、インバウンド権限付与をクリックします。

    2. インバウンド権限付与設定パネルで、Authorize をクリックします。

    3. 権限リストで、付与する権限を選択します。利用可能な権限は、エージェントノードで設定された権限リストから取得されます。

    大規模言語モデル (LLM) ノードの設定

    大規模言語モデルの認証情報を設定します。IDaaS で LLM 認証情報をホストした後、エージェントは IDaaS から必要な認証情報を取得します。

    LLM ノードの追加

    1. エージェント ID 構成トポロジー図で、エージェントノードにカーソルを合わせます。

    2. 右側の + ボタンをクリックします。

    3. ノードタイプメニューで、Large Language Model (LLM) を選択します。

    LLM 認証情報の設定

    1. 新しい Large Language Model (LLM) ノードをクリックします。

    2. 設定パネルで、次のいずれかの操作を選択します。

      1. 既存の認証情報を選択します。Asset Management > Credential メニューで事前に認証情報を作成します。作成後、ここで選択します。

      2. 新しい API キー認証情報を追加します。

    API キー認証情報の追加

    1. Add API Key Credential をクリックします。

    2. 認証情報を設定します。

      • Credential Name:コンソールに表示されます。

      • Description:認証情報の説明です。

      • Business Type:システムは Large Language Model (LLM) を要求します。変更はできません。

      • API key ID:ホストされている LLM API キーの識別子です。

      • API Key:ホストされている API キーです。

      • Secure Storage: Default Encrypted Credential. この設定は無効化できません。

    3. API キー認証情報の追加を完了します。

    LLM アウトバウンド権限付与の設定

    LLM のアウトバウンド権限付与は自動です。認証が成功すると、システムはエージェントが関連する LLM API 認証情報を取得することを許可します。

    エンタープライズサービスノードの設定

    エージェントがエンタープライズサービスにアクセスする必要がある場合は、エンタープライズサービスノードを作成して、それらのサービスからアクセストークンを取得します。設定後、作成されたエンタープライズサービス M2M アプリケーションは Application Management > M2M Applications ページで確認できます。

    重要

    各エンタープライズサービスノードは、1 つの社内エンタープライズアプリケーションを表します。このアプリケーションは、IDaaS によって発行されたアクセス認証情報をサポートする必要があります。

    一般設定

    1. エージェント ID 構成トポロジー図で、Enterprise Service ノードをクリックします。

    2. 設定パネルで、次のいずれかの操作を選択します。

      1. 既存のエンタープライズサービスを選択します。Application Management > M2M Applications で M2M アプリケーションを追加します。追加後、ここで選択します。

      2. 新しいエンタープライズサービスアプリケーションを追加します。

    エンタープライズサービスアプリケーションの追加

    1. Add Enterprise Service Application をクリックします。

    2. 次の設定情報を完了します。

      1. Application Name:コンソールに表示する名前を入力します。

      2. Configure Audience Identifier:エンタープライズアプリケーションのオーディエンス識別子を設定します。設定後は変更できません。

    3. Next をクリックします。

    権限設定

    1. 権限情報を設定します。

      • Permission Name:権限の表示名を入力します。

      • Scope Value:この権限を一意に識別します。システムはデフォルト値を生成します。必要に応じて変更できます。

    2. 設定を完了します。

    エンタープライズサービスのアウトバウンド権限付与の設定

    アウトバウンド権限付与は、エージェントがエンタープライズサービスにアクセスする際の権限の範囲を定義します。

    1. エージェントノードとエンタープライズサービスノードを接続する線上で、アウトバウンド権限付与をクリックします。

    2. アウトバウンド権限付与設定パネルで、Create Scope をクリックします。

    3. 権限リストで、付与する権限を選択します。利用可能な権限は、エンタープライズサービスノードで設定された権限リストから取得されます。

    4. 設定を完了します。

    サードパーティサービスノードの設定

    サードパーティサービスノードの追加

    1. エージェント ID 構成トポロジー図で、エージェントノードにカーソルを合わせます。左側の + ボタンをクリックします。

    2. ノードタイプメニューで、Third-Party Service を選択します。

    または、トポロジーページで Add Node ボタンをクリックして、Third-Party Service ノードを追加します。

    サードパーティサービスの認証情報の設定

    1. エージェント ID 構成トポロジー図で、Third-Party Service ノードをクリックします。

    2. Third-Party Service 設定パネルで、次のいずれかの操作を選択します。

      1. 既存の認証情報を選択します。Asset Management > Credential メニューで事前に認証情報を作成します。作成後、ここで選択します。

      2. 新しいThird-Party Serviceを追加します。

    サードパーティサービス認証情報の追加

    1. Add API Key Credential をクリックします。

    2. 認証情報を設定します。

      説明

      認証情報には最大制限があります。制限に達した後は、これ以上認証情報を追加できません。

      • Credential Name:コンソールに表示されます。

      • Description:認証情報の説明です。

      • Business Type: システムでは Third-Party Service が必要です。変更できません。

      • API key ID:ホストされている API キーの識別子です。

      • API Key:ホストされている API キーです。

      • Secure Storage: Default Encrypted Credential、無効にできません。

    3. API キー認証情報の追加を完了します。

    関連操作

    設定後、次の操作を実行できます。

    • ノードの編集:ノードをクリックし、設定パネルでその設定を変更します。

    • ノードの削除:ノードの左上隅にある削除アイコンをクリックします。

    • 権限付与の調整:権限付与線をクリックして、権限項目を追加または削除します。

    よくある質問

    M2M アプリケーションの権限付与クォータが不足しているというエラーが表示されるのはなぜですか?

    A:各エージェントノード、クライアントノード、およびエンタープライズサービスノードは、それぞれ 1 つの M2M アプリケーション権限付与クォータを消費します。ご利用の IDaaS インスタンスに十分な M2M アプリケーション権限があることを確認してください。クォータがさらに必要な場合は、管理者にお問い合わせいただくか、インスタンスタイプをスペックアップしてください。

    クライアントシークレット認証情報と公開鍵/秘密鍵認証情報の違いは何ですか?

    A:

    • Client Secret Credential:認証にクライアント ID とシークレットを使用します。設定が簡単です。

    • Certificates Credential:非対称暗号化を使用します。KMS や HSM など、より安全なキー管理オプションをサポートしています。より高いセキュリティを提供します。

    大規模言語モデルの API キーはどのように取得しますか?

    A:Alibaba Cloud Model Studio や OpenAI など、大規模言語モデルサービスプロバイダーのコンソールにログインします。API キー管理ページに移動し、API キーを作成または取得します。