すべてのプロダクト
Search

このプロダクト

    Identity as a Service:認証情報管理

    ドキュメントセンター

    Identity as a Service:認証情報管理

    最終更新日:Mar 17, 2026

    IDaaS は、認証情報および認証情報プロバイダーの統一管理を提供します。コード、設定ファイル、または手動で渡されるなど、分散している認証情報を一元化・暗号化します。また、最小権限の原則に基づき、特定のアプリケーションまたはユーザーにアクセスを許可します。アプリケーションは、インタフェースまたはソフトウェア開発キット(SDK)を介して、実行時にこれらの認証情報を安全に取得・利用できます。これにより、認証情報をプレーンテキスト形式でディスクに保存したり、ソースコード内にハードコーディングしたりする必要がなくなります。このプロセスにより、漏洩リスクが低減され、認証情報の管理および更新の効率が向上します。

    基本概念

    なぜ認証情報管理が必要なのですか?

    デジタル ID アーキテクチャにおいて、「ID」とは「あなたが誰であるか」を表すものであり、「認証情報」とは「あなたが誰であるか」を証明するデジタル証拠です。

    マイクロサービスモデル、API エコノミー、ゼロトラストセキュリティモデルは、現在一般的なアーキテクチャです。システム間の相互作用は、もはやユーザーのログインに限定されません。機器間やサービス間の信頼関係を構築するケースが多く見られます。ID as a Service(IDaaS)は、こうした信頼の中心として、これらの認証情報に対する統一的かつライフサイクル全体の管理というコア機能を提供します。

    認証情報とは何ですか?

    IDaaS の文脈において、認証情報とは、ユーザー、デバイス、アプリケーションサービスなどのエンティティの ID を認証するために使用されるデータセットまたはキーです。

    認証情報を、現実世界の証明書に例えることができます。

    • 長期認証情報は、身分証明書や家の鍵に相当します。長期間有効であり、ユーザーが管理します。紛失した場合は、報告・再発行(ローテーション)が必要です。

    • 短期認証情報は、ホテルの鍵カードやコンサートのチケットに相当します。短時間のみ有効であり、システムによって発行されます。自動的に有効期限が切れ、通常は特定の権限範囲を含みます。

    以下の表では、異なるタイプの認証情報を比較しています。

    属性

    長期認証情報

    短期認証情報

    代表的な例

    API キー、AK/SK

    JSON Web トークン(JWT)、OAuth トークン

    有効期間

    長期:手動によるローテーションが必要

    短期:自動的に有効期限切れ

    管理方法

    キー自体の管理(作成、表示、取り消し)

    発行ルールの管理(アルゴリズム、有効期間、発行者)

    取得方法

    認証情報発行元から手動で取得し、クライアントに保存

    クライアントが JWT や OAuth2 などのプロトコルを用いて、認証情報プロバイダーから自動的に認証情報を取得

    セキュリティ

    機密性に依存:漏洩リスクが高い

    署名および有効期限に依存:漏洩リスクは制御可能

    IDaaS における認証情報の分類

    異なるセキュリティ要件に対応するため、IDaaS では認証情報を 2 種類の構成インタフェースに分類します:「認証情報プロバイダー」と「認証情報」です。両者の違いを理解することは、正しい構成を行う上で不可欠です。

    • 認証情報プロバイダー:短期認証情報を管理します。構成操作については、「認証情報プロバイダーの管理」をご参照ください。

    • 認証情報:長期認証情報を管理します。構成操作については、「認証情報の管理」をご参照ください。

    認証情報管理インタフェースへのアクセス

    1. Application Identity Management コンソール にログインします。

    2. EIAM メニューをクリックします。

    3. 対象の EIAM インスタンスを見つけ、ManageActions 列でクリックします。

    4. ナビゲーションバーで、Asset Management > Credential をクリックします。

    認証情報プロバイダーの管理

    認証情報プロバイダーの作成

    1. 認証情報管理インタフェースへのアクセス」を行います。

    2. Credential Provider タブを選択します。

    3. Create Credential Provider にカーソルを合わせ、OAuth または JWT を選択します。

    4. 以下の設定項目を入力します。

      OAuth 設定項目

      • Credential Provider Name:コンソール上での表示専用です。実際の認証プロセスでは使用されません。

      • Description:認証情報プロバイダーの説明です。実際の認証プロセスでは使用されません。

      • Credential Provider Identifier:認証情報プロバイダーを一意に識別する識別子です。

      • クライアント ID:OAuth 認証情報プロバイダーが割り当てるクライアント識別子です。IDaaS は、OAuth プロバイダーに対してリクエストを送信する際にこの識別子を使用します。

      • クライアント シークレット:クライアント ID とともに使用されるクライアントキーです。OAuth 認証情報プロバイダーによって生成されます。IDaaS は、OAuth プロバイダーに対してリクエストを送信する際にこのキーを使用します。

      • トークン エンドポイント:トークンを取得するためのエンドポイントです。IDaaS は、このエンドポイントを用いて、OAuth 認証情報プロバイダーから認証コードをトークンに交換します。

      • スコープ:クライアントアプリケーションのデフォルト権限です。スコープを入力後、Enter キーを押して追加します。複数のスコープを追加できます。クライアントアプリケーションがリクエスト内でスコープを指定した場合、そのスコープが使用されます。指定されていない場合は、ここで設定したスコープが使用されます。

      JWT 設定項目

      Credential Provider Name:コンソール上での表示専用です。実際の認証プロセスでは使用されません。

      Description:認証情報プロバイダーの説明です。実際の認証プロセスでは使用されません。

      Credential Provider Identifier:認証情報プロバイダーを一意に識別する識別子です。

      Generate Short Token:有効にすると、この認証情報プロバイダーがトークンを生成する際に、標準の JWT 形式のトークンに加えて短縮トークンが生成されます。

      Jwt Token Expiration:トークンの有効期間です。分、時、日単位で設定できます。

      Issuer Whitelist:JWT リクエスト内のカスタム発行者を制限するため、発行者ホワイトリストを設定できます。ホワイトリストを設定すると、リストに含まれていない発行者からの JWT リクエストは拒否されます。

    認証情報プロバイダーの表示

    1. 認証情報管理インタフェースへのアクセス」を行います。

    2. Credential Provider タブを選択します。

    3. 対象の認証情報プロバイダーの DetailsActions 列でクリックし、詳細情報を表示します。

    認証情報プロバイダーの変更

    1. 認証情報管理インタフェースへのアクセス」を行います。

    2. Credential Provider タブを選択します。

    3. 対象の認証情報プロバイダーの EditActions 列でクリックし、変更を行います。

    認証情報プロバイダーの削除

    認証情報プロバイダーは、削除前に無効化する必要があります。

    1. 認証情報管理インタフェースへのアクセス」を行います。

    2. Credential Provider タブを選択します。

    3. Status 列で、対象の認証情報プロバイダーを無効化します。

    4. DeleteActions 列でクリックし、認証情報プロバイダーを削除します。

    認証情報の管理

    認証情報の作成

    第三者アプリケーションの認証情報を IDaaS 上でホストできます。デフォルトでは、認証情報は暗号化された形式で保存されます。

    以下の手順を実行します。

    1. 認証情報管理インタフェースへのアクセス」を行います。

    2. Credential タブをクリックします。

    3. Create Credential にカーソルを合わせ、API キー を選択します。

    4. 以下の設定情報を入力します。

      • Credential Name:コンソール上での表示専用です。

      • Description:認証情報の説明です。

      • Business TypeLarge Language Model (LLM) または Third-Party Service を選択します。これらは、「エージェント ID セキュリティ構成ガイド」内の Large Language Model (LLM) および Third-Party Service ノードに対応します。

      • API key ID:ホストされる API キーの固有識別子です。

      • API Key:ホストされる API キーです。

      • Secure StorageDefault Encrypted Credential。認証情報は Alibaba Cloud KMS Secrets Manager に保存されます。このオプションはキャンセルできません。

    認証情報の表示

    1. 認証情報管理インタフェースへのアクセス」を行います。

    2. Credential タブをクリックします。

    3. 対象の認証情報の Details ボタンを Actions 列でクリックし、詳細情報を表示します。

    認証情報の変更

    1. 認証情報管理インタフェースへのアクセス」を行います。

    2. Credential タブをクリックします。

    3. 対象の認証情報を変更するには、その EditActions 列でクリックします。

      重要

      セキュリティ上の理由により、API Key の元の内容は編集中に表示されません。既存のキーを維持する場合は空欄のままにしてください。新しい値を入力すると、既存のキーが上書きされます。

    認証情報の削除

    認証情報は、削除前に無効化する必要があります。

    1. 認証情報管理インタフェースへのアクセス」を行います。

    2. Credential タブをクリックします。

    3. Status 列で、対象の認証情報を無効化します。

    4. DeleteActions 列でクリックし、認証情報を削除します。

    よくある質問

    Q:認証情報管理インタフェースへのアクセス」を行うと、「You cannot host credentials in KMS Secrets Manager because the required IDaaS EIAM service-linked role is missing. Go to create」というメッセージが表示されます。

    A:プロンプトに従って Create をクリックしてください。必要な権限を付与した後、認証情報を作成できます。権限を付与しないと、認証情報の作成時にエラーが発生します。