すべてのプロダクト
Search

このプロダクト

    Identity as a Service:ネットワークエンドポイント

    ドキュメントセンター

    Identity as a Service:ネットワークエンドポイント

    最終更新日:Dec 06, 2025

    このトピックでは、ネットワークエンドポイントの概念、構成、および一般的なユースケースについて説明します。

    概要

    ネットワークアクセスエンドポイントは、IDaaS EIAM インスタンスがネットワークアクセスに使用するサービスです。エンドポイントは Dedicated Network Access EndpointShared Network Access Endpoint に分類されます。Dedicated Network Access Endpoint は、購入後に使用できます (専用エンドポイントの課金)。Shared Network Access Endpoint は無料で利用できます。

    1. Dedicated Network Access Endpoint

      Dedicated Network Access Endpoint は、EIAM インスタンス専用のネットワークエンドポイントです。EIAM インスタンスの専用エンドポイントは、お客様の VPC 内の Elastic Network Interface (ENI) です。この ENI には、セキュリティグループルールやネットワーク構成を設定できます。これにより、EIAM インスタンスは専用エンドポイントを介してプライベートネットワークまたはインターネットにアクセスできます。

      1. 排他的なプライベートネットワークアクセス

        EIAM インスタンスがプライベートネットワーク経由で Alibaba Cloud VPC に接続されると、パブリックポートを開くことなく、Active Directory (AD)、Lightweight Directory Access Protocol (LDAP)、およびアプリケーションからデータを同期し、AD と LDAP のデリゲート認証を有効にできます。次の表では、AD を例として、さまざまなネットワークプランでサポートされている方式について説明します。

        AD ドメインサーバーと ENI が同じ Alibaba Cloud VPC 内にある場合

        AD ドメインサーバーと EIAM インスタンスの ENI が同じ Alibaba Cloud VPC 内にある場合は、次のネットワーク ACL 方式を使用します。

        AD ドメインサーバーのセキュリティグループで、ENI の IP アドレスからのアクセスを許可します。

        AD ドメインサーバーと ENI が異なる Alibaba Cloud VPC 内にある場合

        AD ドメインサーバーと EIAM インスタンスの ENI が異なる Alibaba Cloud VPC 内にある場合は、次のネットワーク ACL 方式を使用します。

        • Cloud Enterprise Network (CEN) を使用して、異なる Alibaba Cloud VPC を接続します。

        • AD ドメインサーバーのセキュリティグループで、ENI の IP アドレスからのアクセスを許可します。

        AD がオンプレミスのデータセンターまたは他のクラウドプラットフォームにある場合

        AD サーバーがオンプレミスのデータセンターまたは他のクラウドプラットフォームにある場合は、次のネットワーク ACL 方式を使用します。

        • VPN などの専用回線を使用して、Alibaba Cloud VPC を AD ドメインサーバーが配置されているデータセンターまたは他のクラウドプラットフォームに接続します。

        • AD ドメインサーバーが配置されているファイアウォールで、ENI の IP アドレスからのアクセスを許可します。

      2. 排他的なパブリックネットワークアクセス

        EIAM インスタンスがプライベートネットワーク経由で Alibaba Cloud VPC に接続された後、EIAM インスタンスの ENI に Elastic IP Address (EIP) を関連付けるか、Alibaba Cloud VPC にインターネット NAT ゲートウェイを関連付けることができます。これにより、EIAM インスタンスはパブリック IP アドレスを使用してインターネットにアクセスできます。このパブリック IP アドレスを WeCom の信頼済み IP アドレスリストに追加して、WeCom の検証要件を満たすことができます。

    2. Shared Network Access Endpoint

      共有エンドポイントは、EIAM インスタンスがネットワークアクセスに使用するデフォルトのネットワークエンドポイントです。すべての EIAM インスタンスがこのエンドポイントを共有します。パブリックネットワークアクセスのみをサポートします。

      1. 2 つのエンドポイントタイプの比較

        次の表では、専用エンドポイントと共有エンドポイントの特徴を比較します。

        機能

        Dedicated Network Access Endpoint

        Shared Network Access Endpoint

        専用 IP アドレスを使用したプライベートネットワークへのアクセス

        対応

        非対応

        専用 IP アドレスを使用したパブリックネットワークへのアクセス

        対応

        非対応

        共有 IP アドレスを使用したパブリックネットワークへのアクセス

        非対応

        対応

        エンドポイントリソース (ENI やセキュリティグループなど) の所有権

        ご利用の Alibaba Cloud アカウント

        IDaaS チーム

        デフォルトで利用可能か

        いいえ

        はい

        無料か

        いいえ

        はい

      2. エンドポイントのサポート状況

        次の表は、各機能モジュールのエンドポイントサポート状況を示しています。デフォルトでは、各モジュールは共有エンドポイントを使用します。エンドポイントを変更するには、手動でスイッチオーバーを実行する必要があります。

        機能モジュール

        Dedicated Network Access Endpoint - プライベートネットワークアクセス

        Dedicated Network Access Endpoint - パブリックネットワークアクセス

        Shared Network Access Endpoint - パブリックネットワークアクセス

        DingTalk 受信 ID プロバイダー

        非対応

        非対応

        対応

        DingTalk 送信 ID プロバイダー

        非対応

        非対応

        対応

        AD 受信 ID プロバイダー

        対応

        対応

        対応

        LDAP 受信 ID プロバイダー

        対応

        対応

        対応

        WeCom 受信 ID プロバイダー

        非対応

        対応

        非対応

        マーケットプレイスアプリケーション

        未対応

        未対応

        対応

        SAML アプリケーション

        未対応

        未対応

        対応

        OIDC アプリケーション

        未対応

        未対応

        対応

        カスタムアプリケーション

        未対応

        未対応

        対応

    専用エンドポイントの追加

    Network Access Endpoint タブで、以下の手順を実行します。

    1. サービスリンクロール (SLR) の作成

      Network Access Endpoint ページに移動するか、Add Dedicated Endpoint をクリックしたときにサービスリンクロール (SLR) が存在しない場合は、まず IDaaS EIAM サービスリンクロールを作成する必要があります。 Alibaba Cloud アカウント、または AliyunIDaaSEiamFullAccess 権限を持つユーザーのみがこの操作を実行できます。

      image..png

    2. インスタンスのアップグレードまたはスケールアップ

      インスタンスの既存の専用エンドポイントの数が指定されたクォータ未満の場合にのみ、Dedicated Network Access Endpoint を作成できます。Dedicated Network Access Endpoint のクォータを別途購入する必要があります。

      1. 無償エディションまたは試用インスタンスの場合は、インスタンスをスペックアップし、購入ページで Dedicated Network Access Endpoint クォータを購入します。

      2. Enterprise インスタンスの場合は、インスタンスをスケールアップし、購入ページで Dedicated Network Access Endpoint クォータを購入してください。

      説明

      各 EIAM インスタンスは、最大 1 つのDedicated Network Access Endpointをサポートしています。

    3. リソースの選択

      1. Add Dedicated Endpoint をクリックし、必要な情報を入力します。

        • Display NameDedicated Network Access Endpoint に設定する表示名です。コンソールにのみ表示されます。

        • Select Region:接続したい VPC が配置されているリージョンを選択します。

        • Select VPC: 現在のリージョンで VPC を選択します。プライベートネットワーク経由で AD、LDAP、アプリケーションなどのサービスにアクセスするには、これらのサービスが配置されている VPC、またはこれらのサービスにアクセスできる VPC を選択します。

        • Select vSwitch: 現在の VPC 内の vSwitch を選択します。各 vSwitch で使用可能な IP アドレス数は 2 より大きい必要があります。最大 2 つの vSwitch を選択できます。

        重要

        • Dedicated Network Access Endpoint を追加すると、リージョン、 VPC、 vSwitch などの情報は変更できなくなります。続行する前に、情報を確認してください。

        • ディザスタリカバリを強化するために、異なるゾーンにある 2 つの vSwitch を選択することを強く推奨します。

      2. 情報を確認後、Confirm をクリックして Dedicated Network Access Endpoint の追加を開始します。

        エンドポイントを追加した後、Dedicated Network Access Endpoint を使用するには、以下の構成を行う必要があります。

        1. 専用のプライベートネットワークアクセスを有効にするには、「プライベートネットワークアクセスの承認」をご参照ください。

        2. 専用のパブリックネットワークアクセスを有効にするには、「専用のパブリックアウトバウンド IP アドレスの設定」をご参照ください。

    プライベートネットワークアクセスの承認

    1. Network Access Endpoint タブで、対象の Dedicated Network Access Endpoint を探し、Authorize Private Network Access をクリックします。

    2. アクセスルールの取得Authorize Private Network Access ダイアログボックスで、[承認オブジェクト] をコピーします。[承認オブジェクト] には、現在の Dedicated Network Access Endpoint のすべての排他的なプライベートアウトバウンド IP アドレスが含まれています。

    3. セキュリティグループのアクセスルールの設定Add をクリックして、Elastic Compute Service > セキュリティグループ ページに移動します。このページで、プライベートネットワークアクセスを必要とするサービスが配置されているセキュリティグループを選択します。

      説明

      たとえば、AD の場合、EIAM によって作成されたセキュリティグループではなく、AD ドメインサーバーが配置されているセキュリティグループを選択します。さまざまなネットワークプランでサポートされているメソッドについては、「排他的プライベートネットワークアクセス」をご参照ください。

      1. [セキュリティグループ ID/名前] をクリックして、[セキュリティグループ] 詳細ページに移動します。アクセスルール > インバウンド タブで、[ルールを追加] をクリックします。

      2. 新しいアクセスルールに、次の情報を入力して保存します。

        • 承認ポリシー:許可。

        • 優先度:1。

        • プロトコルタイプ:カスタム TCP。

        • ポート範囲:ご利用のサービスのポート範囲を入力します。AD または LDAP に接続する場合は、389 または 636 を使用します。

        • 承認オブジェクト:前のステップでコピーした排他的なプライベートアウトバウンド IP アドレス。

    専用パブリックアウトバウンド IP アドレスの設定

    インターネット NAT ゲートウェイを設定することで、EIAM インスタンスが指定した IP アドレスを介してパブリックネットワークにアクセスできるようになります。このパブリック IP アドレスを WeCom の信頼できる IP アドレスリストに追加することで、WeCom の検証要件を満たすことができます。

    1. 専用エンドポイントのリージョン表示

      Network Access Endpoint タブで、目的の Dedicated Network Access Endpoint を探し、その VPC Region を確認します。

    2. Elastic IP Address (EIP) の関連付け

      1. VPC - インターネット NAT Gateway コンソールに移動します。VPC と同じリージョンにあるインターネット NAT Gateway を選択し、[今すぐ関連付け] をクリックして EIP を関連付けます。

        利用可能なリソースがない場合は、まずインターネット NAT ゲートウェイを作成します。詳細については、「インターネット NAT ゲートウェイの作成」をご参照ください。

      2. 既存の EIP を選択するか、新しい EIP を購入して関連付けることができます。

      3. 関連付けが成功したら、[インターネット NAT Gateway] ページに移動し、[インスタンス ID/名前] をクリックします。

        ご利用のインスタンスに SNAT エントリがない場合は、SNAT エントリを作成して専用エンドポイントのパブリックネットワークアクセスを有効にします。詳細については、「SNAT エントリの作成と管理」をご参照ください。

        警告

        SNAT エントリを設定しない場合、専用エンドポイントはパブリックネットワークにアクセスできません。

    3. Network Access Endpoint タブの Dedicated Outbound Public IP Address 列で View をクリックすると、現在の Dedicated Network Access Endpoint で使用されているパブリック IP アドレスを表示できます。

    専用エンドポイントへの切り替え

    1. IdPs ページに移動し、対象の IdPsModify をクリックします。このトピックでは、Active Directory (AD) ドメインを例として使用します。

    2. Network Configurations > Network Access Endpoint セクションで Dedicated Network Access Endpoint を設定します。

      1. Dedicated Network Access Endpoint タイプを選択します。

      2. ドロップダウンリストから、Dedicated Outbound Public IP Address がアタッチされているエンドポイントを選択します。IP アドレスは、ENI またはインターネット NAT ゲートウェイに属します。

    3. 検証を送信します。Confirm をクリックします。システムは直ちに以下を検証します:

      1. 検証要件:関連付けられているすべての ENI (最大 2 つ) が AD サービスに正常にアクセスできる必要があります。

      2. 検証に合格した場合:システムは自動的に Dedicated Network Access Endpoint に切り替わります。

      3. 検証に失敗した場合:エラーメッセージが表示されます。ネットワーク接続を確認する必要があります。

    専用のパブリックアウトバウンド IP アドレスをクリックすると、使用されているゲートウェイ IP アドレスを表示できます。

    重要

    検証に合格すると、システムは直ちにアクセス用に Dedicated Network Access Endpoint に切り替わります。まずステージング環境で検証を実行することを推奨します。有料インスタンスの有効期限が切れてリリースされた場合、またはサブスクリプションを解除した場合、専用エンドポイントは直ちに利用できなくなり、1 日後に自動的に削除されます。共有エンドポイントまたは別の専用エンドポイントを使用するには、手動で切り替える必要があります。エンドポイントを削除する前に、ご利用のサービスでネットワークアクセスホワイトリストの構成を変更することを推奨します。

    変更:Dedicated Network Access Endpoint

    Dedicated Network Access Endpoint では、Display Name のみ変更できます。その他の情報を変更するには、エンドポイントを削除し、新しいエンドポイントを設定する必要があります。