このトピックでは、Alibaba Cloud IDaaS で 3 つのタイプのフェデレーテッドクレデンシャル (PCA、OpenID Connect (OIDC)、および PKCS#7) を作成および管理する方法について説明します。また、パラメータを設定し、認可サーバーのトークンエンドポイントからアクセストークンを取得する方法についても説明します。
手順
IDaaS コンソール にログインします。左側のナビゲーションウィンドウで、[EIAM] を選択します。ターゲット IDaaS インスタンスを選択し、[アクション] 列で [コンソールにアクセス] をクリックします。
をクリックします。
General タブで、Credential Management セクションから Credential Type を選択して、フェデレーション資格情報を作成します。 オプションは PCA、OIDC、および PKCS#7 です。
説明各フェデレーテッド信頼ソースの特徴とシナリオの詳細については、「フェデレーテッド信頼ソースの概要」をご参照ください。
PCA クレデンシャルを選択し、Add Application Federated Credential をクリックします。以下のパラメータを設定し、Confirm をクリックします。
フィールド
説明
Federated Credential Provider
作成済みの PCA フェデレーテッド信頼ソースを選択します。作成していない場合は、「PCA 信頼ソースの作成」をご参照ください。
Application Federated Credential Type
PCA
Application Federated Credential Name
The name of the federated credential cannot be changed once saved. Please enter it carefully. Supported characters: lowercase letters, digits, underscores (_), and hyphens (-).
Verification
検証モードは、フェデレーテッドクレデンシャルの検証条件の生成方法を決定します。次のモードがサポートされています:証明書モードとクライアント証明書フィールド式検証モード。
Certificate:このモードはショートカットです。クライアント証明書のコモンネーム (CN) のみを検証する場合は、このモードを選択します。クライアント証明書の CN 値を入力するだけで済みます。IDaaS は自動的に式を生成し、検証条件フィールドに自動入力します。
Expression Verification for Client Certificate Field : これは高度なモードです。クライアント証明書の複数のフィールドを検証するための式をカスタマイズできます。
Client Certificate Common Name (CN)
Certificate を選択した場合は、このパラメータを設定する必要があります。
Verification Expression
Expression Verification for Client Certificate Field を選択した場合は、このパラメータを設定する必要があります。このパラメータは、クライアントが M2M 認可サーバーのトークンエンドポイントを呼び出すときにリクエストパラメータを検証するために使用されます。これにより、検証条件を満たすリクエストのみが IDaaS によって発行されたアクセストークンを取得できるようになります。PCA フェデレーテッドクレデンシャルのシナリオでは、このパラメータは主にクライアント証明書の内容を検証します。信頼条件は最大 10,240 文字までです。
説明検証中に、IDaaS は最初に PCA フェデレーテッド信頼ソースに指定された信頼条件を検証します。信頼条件が満たされた後、IDaaS は PCA フェデレーテッドクレデンシャルに指定された検証条件を検証します。
Description
フェデレーテッドクレデンシャルの目的の説明。説明は最大 128 文字までです。
Attribute Mapping
属性マッピングは、フェデレーテッドクレデンシャルの高度な機能です。アクセストークンの `sub` フィールドをカスタマイズするために使用されます。リソースサーバーでカスタムサブジェクト ID が有効になっている場合、システムは元の `sub` フィールドの内容を属性マッピングで設定されたフィールド値式(一意のクライアント ID)に置き換えます。フォーマットは `<clientId>` から `<clientId>:<client:activeSubjectUrn>` に変更されます。`<client:activeSubjectUrn>` の値は、属性マッピング式から計算された結果です。
OIDC クレデンシャルを選択し、Add Application Federated Credential をクリックします。 次のパラメータを設定し、Confirm をクリックします。
フィールド
説明
Federated Credential Provider
作成済みの OIDC フェデレーション信頼ソースを選択します。作成していない場合は、詳細については、「OIDC 信頼ソースの作成」をご参照ください。
Application Federated Credential Type
OIDC
Application Federated Credential Name
The name of the federated credential cannot be changed once saved. Please enter it carefully. Supported characters: lowercase letters, digits, underscores (_), and hyphens (-).
Verification
検証モードは、フェデレーションアイデンティティの検証条件がどのように生成されるかを決定します。
Kubernetes: Kubernetes クラスターの Namespace、Service Account、および Principal ID を指定する必要があります。
サブジェクト ID フィールドは、IDaaS によって `system:serviceaccount:<namespace>:<serviceaccount>` のフォーマットで自動的に生成されます。
Principal ID: Kubernetes クラスターから取得したサービスアカウントトークンの `sub` フィールドの値を入力する必要があります。
Expression Verification for Claims Field: これは高度なモードです。式をカスタマイズして、サービスアカウントトークンのクレーム内の複数のフィールドを検証できます。
Verification Expression
このパラメーターは、クライアントが M2M 権限付与サーバーのトークンエンドポイントを呼び出すときに、リクエストパラメーターを検証するために使用されます。これにより、検証に合格したリクエストのみが IDaaS によって発行されたアクセストークンを取得できるようになります。OIDC フェデレーションアイデンティティのシナリオでは、検証条件は主に、トークンエンドポイントに渡されるサービスアカウントトークン内のクレームを検証します。信頼条件の長さは最大 10,240 文字です。
Description
フェデレーションアイデンティティの目的の説明。説明の長さは最大 128 文字です。
Attribute Mapping
属性マッピングは、フェデレーションアイデンティティの高度な機能です。アクセストークンの `sub` フィールドをカスタマイズするために使用されます。リソースサーバーでカスタムサブジェクト ID が有効になっている場合、システムは元の `sub` フィールドの内容を、属性マッピングで設定されたフィールド値の式 (一意のクライアント ID) に置き換えます。フォーマットは `<clientId>` から `<clientId>:<client:activeSubjectUrn>` に変更されます。`<client:activeSubjectUrn>` の値は、属性マッピング式から計算された結果です。
PKCS#7 クレデンシャルを選択し、Add Application Federated Credential をクリックします。次のパラメータを設定し、Confirm をクリックします。
フィールド
説明
Federated Credential Provider
作成済みの PKCS#7 フェデレーテッド信頼ソースを選択します。作成していない場合は、「PKCS#7 信頼ソースの作成」をご参照ください。
Application Federated Credential Type
PKCS#7
Application Federated Credential Name
The name of the federated credential cannot be changed once saved. Please enter it carefully. Supported characters: lowercase letters, digits, underscores (_), and hyphens (-).
Verification
検証モードによって、フェデレーテッド クレデンシャルの検証条件の生成方法が決まります。
Cloud Server:Alibaba Cloud ECS または ECI インスタンス、あるいは Amazon EC2 インスタンスのインスタンス ID を入力するだけで済みます。IDaaS は関連する式を自動的に生成します。
Expression Verification for Signature Value Field:これは高度なモードです。PKCS#7 署名内のフィールドを検証する式をカスタマイズできます。
Instance ID
クラウドサーバーインスタンスモードを指定する場合、検証するクラウドサーバーのインスタンス ID を入力する必要があります。
Verification Expression
このパラメータは、クライアントが M2M 認可サーバーのトークンエンドポイントを呼び出すときにリクエストパラメータを検証するために使用されます。これにより、検証条件を満たすリクエストのみが IDaaS によって発行されたアクセストークンを取得できるようになります。PKCS#7 フェデレーテッドクレデンシャルのシナリオでは、このパラメータは主に署名フィールドを検証します。信頼条件は最大 10,240 文字までです。
Description
フェデレーテッド クレデンシャルの目的の説明。説明は最大 128 文字までです。
Attribute Mapping
属性マッピングは、フェデレーテッド クレデンシャルの高度な機能です。アクセストークンの `sub` フィールドをカスタマイズするために使用されます。リソース サーバーでカスタム サブジェクト ID が有効になっている場合、システムは元の `sub` フィールドの内容を属性マッピングで設定されたフィールド値式 (一意のクライアント ID) に置き換えます。形式は `<clientId>` から `<clientId>:<client:activeSubjectUrn>` に変更されます。`<client:activeSubjectUrn>` の値は、属性マッピング式から計算された結果です。