OpenID Connect( OIDC )を使用するロールベースのシングルサインオン( SSO )の場合、AssumeRoleWithOIDC 操作を呼び出して、一時的な ID クレデンシャル(セキュリティトークンサービス トークン)を取得し、RAM ロールをアシュームします。
操作説明
前提条件
外部 ID プロバイダー( IdP )から OpenID Connect( OIDC )トークンを取得します。
RAM で OIDC ID プロバイダーを作成します。 詳細については、「OIDC ID プロバイダーを作成する」または「CreateOIDCProvider」をご参照ください。
信頼できるエンティティとして OIDC ID プロバイダーを使用する RAM ロールを作成します。 詳細については、「信頼できる ID プロバイダーの RAM ロールを作成する」または「CreateRole」をご参照ください。
今すぐお試しください
テスト
RAM 認証
リクエストパラメーター
|
パラメーター |
タイプ |
必須 / 任意 |
説明 |
例 |
| OIDCProviderArn |
string |
任意 |
OIDC ID プロバイダーの Alibaba Cloud リソースネーム( ARN )。 RAM コンソールまたは API 操作を呼び出すことで、OIDC ID プロバイダーの ARN を表示できます。
|
acs:ram::113511544585****:oidc-provider/TestOidcIdp |
| RoleArn |
string |
任意 |
アシュームする RAM ロールの ARN 。 RAM コンソールで、または API 操作を呼び出すことで、ロールの ARN を表示できます。
|
acs:ram::113511544585****:role/testoidc |
| OIDCToken |
string |
任意 |
外部 IdP によって発行された OIDC トークン。 トークンは 4 ~ 20,000 文字である必要があります。 説明
元の OIDC トークンを入力します。 トークンを Base64 デコードしないでください。 |
eyJraWQiOiJKQzl3eHpyaHFKMGd0**** |
| Policy |
string |
任意 |
STS トークンの権限をさらに制限するためのアクセス ポリシー。
ポリシーは 1 ~ 2,048 文字である必要があります。 |
{"Statement": [{"Action": ["*"],"Effect": "Allow","Resource": ["*"]}],"Version":"1"} |
| DurationSeconds |
integer |
任意 |
トークンの有効期間(秒単位)。 有効な値:900 ~
|
3600 |
| RoleSessionName |
string |
必須 |
ロールセッションの名前。 ロールセッションを区別するために使用されるカスタム パラメーター。 値は通常、操作を呼び出すユーザーの ID (ユーザー名など)です。 ActionTrail では、このパラメーターの値を使用して、RAM ロールをアシュームするユーザーを識別できます。 これにより、ユーザーレベルのアクセス監査が提供されます。 名前に使用できる文字は、英字、数字、ピリオド(.)、アットマーク(@)、ハイフン(-)、アンダースコア(_)です。 名前は 2 ~ 64 文字である必要があります。 |
TestOidcAssumedRoleSession |
AssumeRoleWithOIDC 操作は、ID 認証に OIDC トークンを使用し、匿名アクセスを許可します。 したがって、Signature、SignatureMethod、SignatureVersion、またはAccessKeyId の共通リクエスト パラメーターを指定する必要はありません。 詳細については、「共通パラメーター」をご参照ください。
レスポンスパラメーター
|
パラメーター |
タイプ |
説明 |
例 |
|
object |
返されたパラメーター。 |
||
| RequestId |
string |
リクエスト ID 。 |
3D57EAD2-8723-1F26-B69C-F8707D8B565D |
| OIDCTokenInfo |
object |
OIDC トークンに関する情報。 |
|
| Subject |
string |
OIDC トークンのサブジェクト。 これは、OIDC トークンの |
KryrkIdjylZb7agUgCEf**** |
| Issuer |
string |
OIDC トークンの発行者。 これは、OIDC トークンの |
https://dev-xxxxxx.okta.com |
| ClientIds |
string |
OIDC トークンのオーディエンス。 複数のオーディエンスはコンマ(,)で区切られます。 これは、OIDC トークンの |
496271242565057**** |
| ExpirationTime |
string |
OIDC トークンの有効期限。 |
2021-10-20T04:27:09Z |
| IssuanceTime |
string |
OIDC トークンが発行された時刻。 |
2021-10-20T03:27:09Z |
| VerificationInfo |
string |
OIDC トークンの検証情報。 詳細については、「OIDC ID プロバイダーを管理する」をご参照ください。 |
Success |
| AssumedRoleUser |
object |
アシュームされた一時的な ID 。 |
|
| AssumedRoleId |
string |
一時的な ID の ID 。 |
33157794895460**** |
| Arn |
string |
一時的な ID の ARN 。 |
acs:ram::113511544585****:role/testoidc/TestOidcAssumedRoleSession |
| Credentials |
object |
一時的なアクセス クレデンシャル( STS トークン)。 |
|
| SecurityToken |
string |
セキュリティトークン。 説明
セキュリティトークンの長さは固定されていません。 セキュリティトークンの最大長を設定しないでください。 |
CAIShwJ1q6Ft5B2yfSjIr5bSEsj4g7BihPWGWHz**** |
| Expiration |
string |
トークンの有効期限(協定世界時( UTC ))。 |
2021-10-20T04:27:09Z |
| AccessKeySecret |
string |
AccessKey シークレット。 |
CVwjCkNzTMupZ8NbTCxCBRq3K16jtcWFTJAyBEv2**** |
| AccessKeyId |
string |
AccessKey ID 。 |
STS.NUgYrLnoC37mZZCNnAbez**** |
| SourceIdentity |
string |
ソース ID 。 この ID の値は、連鎖したロールアシューム セッション全体で保持され、変更することはできません。 これにより、操作のトレーサビリティとセキュリティが確保されます。 このパラメーターは、ソース ID が設定されている場合にのみ返されます。 |
Alice |
例
成功レスポンス
JSONJSON
{
"RequestId": "3D57EAD2-8723-1F26-B69C-F8707D8B565D",
"OIDCTokenInfo": {
"Subject": "KryrkIdjylZb7agUgCEf****",
"Issuer": "https://dev-xxxxxx.okta.com",
"ClientIds": "496271242565057****",
"ExpirationTime": "2021-10-20T04:27:09Z",
"IssuanceTime": "2021-10-20T03:27:09Z",
"VerificationInfo": "Success"
},
"AssumedRoleUser": {
"AssumedRoleId": "33157794895460****",
"Arn": "acs:ram::113511544585****:role/testoidc/TestOidcAssumedRoleSession"
},
"Credentials": {
"SecurityToken": "CAIShwJ1q6Ft5B2yfSjIr5bSEsj4g7BihPWGWHz****",
"Expiration": "2021-10-20T04:27:09Z",
"AccessKeySecret": "CVwjCkNzTMupZ8NbTCxCBRq3K16jtcWFTJAyBEv2****",
"AccessKeyId": "STS.NUgYrLnoC37mZZCNnAbez****"
},
"SourceIdentity": "Alice"
}エラーコード
完全なリストについては、「エラーコード」をご参照ください。
変更履歴
完全なリストについては、「変更履歴」をご参照ください。