すべてのプロダクト
Search

このプロダクト

    Identity as a Service:フェデレーション資格情報プロバイダーの概要

    ドキュメントセンター

    Identity as a Service:フェデレーション資格情報プロバイダーの概要

    最終更新日:Oct 12, 2025

    このドキュメントでは、IDaaS の M2M フェデレーション資格情報機能における PCA、OpenID Connect (OIDC)、および PKCS#7 フェデレーション資格情報プロバイダーの主な特徴、シナリオ、構成プロセスについて詳しく説明します。

    PCA フェデレーション資格情報プロバイダー

    PCA (プライベート認証局) は、企業内部で使用するプライベートデジタル証明書を作成および管理するために設計された、フルマネージド型のプライベート認証局管理サービスです。

    コア機能

    • モノのインターネット (IoT) と車のインターネット (IoV) のデバイスセキュリティ: デバイスに一意のデジタル証明書をプロビジョニングして、デバイスの身分認証と双方向のセキュアな通信 (MQTT プラットフォーム通信など) を実装し、不正アクセスやデータ改ざんを効果的に防止します。

    • ソフトウェアとファームウェアの署名: ソフトウェア/ファームウェアに署名証明書を発行して、正当性の検証と改ざん防止機能を確保します (例: Launch Tech の充電パile デバイスのファームウェア検証)。

    • 企業内部のリソース保護: サーバー、アプリケーション、コンテナーなどの内部リソースを保護して、規制コンプライアンス要件 (金融業界やヘルスケア業界におけるデータセキュリティ要件など) を満たします。

    • クロスアカウントおよびリージョン間の証明書管理: ルート CA のクロスアカウント共有とリージョン発行 CA をサポートし、大規模な証明書のデプロイメントを簡素化します (例: StubHub のクラウド移行時の PKI アーキテクチャ再構築)。

    シナリオ

    M2M シナリオにおける PCA フェデレーション資格情報は、統一されたデバイス ID 管理とクロスドメインの信頼メカニズムを通じて、異種システム間のセキュリティ相互運用性の課題を解決します。特に以下のような場合に適しています:

    • 大規模なデバイス相互接続シナリオ。

    • 組織横断的なコラボレーション環境。

    • 高いコンプライアンス要件を持つ業界。

    構成プロセス

    企業や組織が自己構築した PCA を持っている場合、フェデレーション資格情報プロバイダーを作成することを選択できます。PCA の署名機能を使用して JWT トークンに署名し、IDaaS 権限付与サーバーの Token エンドポイントを呼び出す際に、PCA フェデレーション資格情報機能を選択し、対応するルート証明書、中間証明書リスト、クライアント証明書を提供してコールチェーン全体を完了させ、IDaaS が発行した Access Token を取得します。

    OIDC フェデレーション資格情報プロバイダー

    OIDC は OpenID Connect プロトコルの略称であり、シングルサインオン (SSO)、組織横断的な ID フェデレーション、サードパーティ ID プロバイダーの統合、API のセキュアな呼び出しなどのシナリオで広く使用されています。

    コア機能

    OIDC プロトコルは OAuth 2.0 に基づく身分認証レイヤーを提供し、クライアントサービスがユーザー ID を安全に検証し、ユーザー情報を取得できるようにします。

    シナリオ

    M2M シナリオにおいて、ユーザーのクライアントサービスが以下の環境にデプロイされている場合:

    • Kubernetes POD。

    • Alibaba Cloud ACK クラスター (RRSA モードをサポート)。

    • GitHub ワークフロー。

    • CI/CD パイプライン。

    • Azure VM。

    • Google Cloud Compute Engine。

    構成プロセス

    1. コンテナーまたはクラウドサーバーから OIDC トークンを取得します。

    2. IDaaS 権限付与サーバーの Token エンドポイントを呼び出す際に、OIDC フェデレーション資格情報機能を選択します。

    3. 対応する検証用の公開鍵を提供します。

    4. コールチェーンを完了させて Access Token を取得します。

    PKCS#7 フェデレーション資格情報プロバイダー

    PKCS#7 は公開鍵基盤 (PKI) の基本標準であり、データ整合性と機密性が要求されるシナリオで広く使用されています。

    コア機能

    • 金融取引のセキュリティ: 銀行の取引データに署名および暗号化するために使用され、取引命令の真正性と整合性を保証します (例: 銀行は PKCS#7 を通じて転送や支払いなどの機密性の高い操作を保護します)。

    • 電子政府文書の署名: 政府機関は電子文書にデジタル署名するために PKCS#7 を使用し、それらに物理的な印鑑と同等の法的効力を与えます (電子公文書、法的契約、身分認証など)。

    • データの署名と暗号化: PKCS#7 はメッセージのデジタル署名と暗号化をサポートし、データソースの検証と改ざん防止が要求されるシナリオ (企業間のファイル交換やソフトウェア配布など) で広く使用されています。そのフォーマット (.p7b/.p7c など) は複数の署名と証明書を含むことができ、複雑な信頼チェーンの管理に適しています。

    シナリオ

    以下のクラウドサーバー環境のクライアントサービスに適用されます:

    • Alibaba Cloud ECS/ECI。

    • Amazon EC2。

    構成プロセス

    1. クラウドサーバーのメタデータ署名エンドポイントから PKCS#7 署名を取得します。

    2. IDaaS 権限付与サーバーの Token エンドポイントを呼び出す際に、PKCS#7 フェデレーション資格情報機能を選択します。

    3. 対応する検証用のルート証明書を提供します。

    4. コールチェーンを完了させて Access Token を取得します。

    まとめ

    IDaaS が提供する 3 つのフェデレーション資格情報プロバイダー機能は、さまざまなシナリオにおける M2M セキュリティ認証要件を満たすことができます。企業は、ビジネスシナリオと技術アーキテクチャに基づいて、最も適したフェデレーション資格情報ソリューションを選択できます。

    参考資料