このドキュメントでは、Alibaba Cloud IDaaS 管理コンソールでフェデレーション資格情報プロバイダーを構成する方法について説明します。これには、PCA、OIDC、PKCS#7 の 3 種類の資格情報プロバイダーのパラメーターの説明とシナリオが含まれており、ユーザーが安全なフェデレーション ID 認証管理を実装するのに役立ちます。
手順
IDaaS 管理コンソールにログインします。左側のナビゲーションウィンドウで、[EIAM クラウド ID サービス] を選択します。対応する IDaaS インスタンスを選択し、[操作] 列の [コンソールにアクセス] をクリックします。
をクリックします。
Add Federated Credential Provider ページの Select provider type で、要件に基づいて PCA、OIDC、PKCS#7 などの資格情報プロバイダータイプを選択します。
説明詳細については、「フェデレーション資格情報プロバイダーの概要」をご参照ください。
タイプを選択した後、Next をクリックし、次のパラメーターを構成します。構成が完了したら、Confirm をクリックします。
PCA: プライベート CA (プライベート認証局) は、組織または企業が内部で運営する認証局であり、内部ネットワークまたは特定の信頼ドメイン内でのみ有効なデジタル証明書を発行および管理するために使用されます。PCA フェデレーション資格情報プロバイダーは、主に個人の開発用コンピューター、または Trusted Platform Module (TPM) を搭載したエンティティに適しています。
フィールド
説明
Federated Credential Provider
名前には、小文字、数字、アンダースコア (_)、ハイフン (-) を使用できます。名前の長さは最大 64 文字です。
Provider Type
PCA
Network Access Endpoint
IDaaS は、ネットワークエンドポイント機能を使用してルート証明書の失効リストにアクセスし、ルート証明書の有効性を確保します。共有エンドポイントは、共有パブリックネットワークの出口です。専用のエンドポイント機能を購入した場合は、専用のエンドポイント機能を使用できます。
Fill in Verification Certificate
ルート証明書の内容は PEM 形式である必要があり、「-----BEGIN CERTIFICATE-----」で始まり、「-----END CERTIFICATE-----」で終わります。将来の証明書ローテーションのために、最大 2 つのルート証明書をアップロードできます。
Trust Condition
信頼条件は、クライアントが M2M 認証サーバーの Token エンドポイントを呼び出す際に入力パラメーターを検証するために使用され、要件を満たすリクエストのみが IDaaS によって発行されたアクセストークンを取得できるようにします。PCA シナリオでは、この条件はクライアント証明書の内容を検証します。最大長は 10,240 文字です。
Description
説明フィールドは、フェデレーション資格情報プロバイダーの目的を説明するために使用されます。説明の長さは最大 128 文字です。
OIDC: OpenID Connect (OIDC) は、OAuth 2.0 に基づく ID 認証プロトコルであり、ID プロバイダーとのフェデレーション ID 認証を必要とするシナリオに広く適用できます。特に、Kubernetes Pod、GitHub Actions、CI/CD パイプライン、Azure 仮想マシン、Google Cloud Compute Engine 環境にデプロイされたサービスに適しています。
フィールド
説明
Federated Credential Provider
名前には、小文字、数字、アンダースコア (_)、ハイフン (-) を使用できます。名前の長さは最大 64 文字です。
Provider Type
OIDC
Network Access Endpoint
IDaaS は、ネットワークエンドポイント機能を使用して Issuer アドレスまたは JWKs アドレスにアクセスし、アドレスを動的に解析して署名検証用の公開鍵を取得します。共有エンドポイントは、共有パブリックネットワークの出口です。専用のエンドポイント機能を購入した場合は、専用のエンドポイント機能を使用できます。
Trust Source
信頼ソースとは、現在の OIDC フェデレーション資格情報プロバイダーが、ユーザーから送信された OIDC トークンを解析する際に、署名検証用の公開鍵を取得するために使用する方法を指します。署名検証用の公開鍵を取得するには、静的入力、発行者アドレス解決、署名検証用公開鍵アドレス解決の 3 つの方法があります。
Issuer Address Parsing を選択した場合: Issuer アドレスを入力するだけで済みます。
Public Key Address Parsing を選択した場合: 署名検証用の公開鍵を取得するためのアドレスを入力する必要があります。
Static Configuration を選択した場合は、署名検証公開鍵フィールドに公開鍵情報を手動で入力する必要があります。
Issuer
クライアントが IDaaS 認証サーバーの Token エンドポイントを呼び出すときに送信する OIDC トークンの Issuer を入力します。Issuer は HTTPS プロトコルを使用する必要があり、長さは最大 1,024 文字です。
重要Issuer を入力した後は更新できません。慎重に確認してください。
ResourceServer Identifier
クライアントが IDaaS 認証サーバーの Token エンドポイントを呼び出すときに送信する OIDC トークンの Audience を入力します。最大 5 つの Audience を指定でき、それぞれの最大長は 256 文字です。デフォルトの Audience は現在の IDaaS インスタンスのドメインアドレスであり、クライアントによって発行された OIDC トークンの Audience が IDaaS インスタンスであることを示します。必要に応じて、この値を削除または変更できます。
説明Token エンドポイントに送信される OIDC トークンの Audience クレームが IDaaS インスタンスのドメインでない場合は、この値を変更してください。そうしないと、Token エンドポイントの呼び出しが失敗します。
Verification Key
この値は、信頼ソースが静的入力の場合に入力する必要があります。
Trust Condition
信頼条件は、クライアントが M2M 認証サーバーの Token エンドポイントを呼び出す際に入力パラメーター (OIDC トークンコンテンツなど) を検証するために使用され、条件を満たすリクエストのみが IDaaS によって発行されたアクセストークンを取得できるようにします。Issuer と Audience は必須の基本フィールドです。最大長は 10,240 文字です。
Description
説明フィールドは、フェデレーション資格情報プロバイダーの目的を説明するために使用されます。説明の長さは最大 128 文字です。
PKCS#7: PKCS#7 は、公開鍵基盤 (PKI) の基本標準として、データ整合性と機密性を必要とするシナリオで広く使用されています。特に、Alibaba Cloud ECS、Alibaba Cloud ECI、AWS EC2 などのクラウドプロバイダー環境にデプロイされたサービスに適しています。
フィールド
説明
Federated Credential Provider
名前には、小文字、数字、アンダースコア (_)、ハイフン (-) を使用できます。名前の長さは最大 64 文字です。
Provider Type
PKCS#7
Trust Source
クライアントサービスが Alibaba Cloud ECS にデプロイされている場合は Alibaba Cloud タイプを選択し、Amazon EC2 にデプロイされている場合は Amazon Cloud タイプを選択します。
Signature Validity Period
署名の有効期間フィールドは、クライアントが IDaaS 認証サーバーの Token エンドポイントを呼び出すときに送信する PKCS#7 署名の有効期間を入力するために使用されます。Alibaba Cloud のデフォルトの有効期間は 3,600 秒です。Amazon Cloud の有効期間は 30 日です。
Signature Timestamp Expression
このフィールドは、IDaaS が送信された PKCS#7 署名の署名時刻をどのように解析するかを示します。このフィールドは変更できません。
Alibaba Cloud: pkcs7.payload.jsonData.audience.signingTime
Amazon Cloud: pkcs7.signingTime
Enter the root certificate
PKCS#7 署名に使用されるルート証明書をアップロードします。
Alibaba Cloud: 現在、Alibaba Cloud はグローバルで同じ証明書を使用しています。IDaaS は、デフォルトで Alibaba Cloud のルート証明書をすでに入力しています。
Amazon Cloud: RSA-2048 タイプのルート証明書を使用する必要があります。他のタイプ (PKCS#7 など) は検証に合格しません。Amazon Cloud のルート証明書はリージョンによって異なります。クライアントサービスがデプロイされているリージョンのルート証明書を選択してください。サービスが複数のリージョンにデプロイされている場合は、複数のルート証明書をアップロードできます。詳細については、「インスタンス ID 署名用の AWS パブリック証明書」をご参照ください。
Account ID
クライアントサービスがデプロイされているクラウドサーバーを所有するクラウドアカウント ID を入力します。最大長は 128 文字です。
Instance ID Signature
デフォルト値は IDaaS インスタンス ID です。
Description
説明フィールドは、フェデレーション資格情報プロバイダーの目的を説明するために使用されます。説明の長さは最大 128 文字です。
フェデレーション資格情報プロバイダーを作成した後、そのStatusの有効化または無効化、Detailsの表示、またはModify操作の実行によって管理できます。