OIDC ロールベース SSO には、ID プロバイダー (IdP) が必要です。Resource Access Management (RAM) コンソールから OIDC ID プロバイダーを作成、表示、変更、または削除します。
OIDC ID プロバイダーの作成
-
RAM 管理者として RAM コンソール にログインします。
-
ナビゲーションペインで、 を選択します。
-
ロールベースの SSO ログイン方式 タブで、[OIDC] タブをクリックし、IdP の作成 をクリックします。
-
IdP の作成 ページで、ID プロバイダーを設定します。
パラメーター
説明
[IdP 名]
名前は Alibaba Cloud アカウント内で一意である必要があります。
[発行者 URL]
外部 IdP から提供されます。
httpsで始まり、標準の URL 形式に従う必要があります。クエリ文字列 (?)、フラグメント (#)、ユーザー認証情報 (@) を含めることはできません。[フィンガープリントの確認]
発行者 URL のハイジャックや改ざんを防ぐために、外部 IdP からの HTTPS CA 証明書のサムプリントを設定します。
発行者 URL を入力して 指紋を取得 をクリックすると、Alibaba Cloud がサムプリントを自動的に計算します。セキュリティのために、ローカルでも計算し (OpenSSL を使用して OIDC ID プロバイダーのサムプリントを取得)、比較してください。値が異なる場合、発行者 URL が侵害されている可能性があります。URL を確認し、正しいサムプリントを入力してください。
説明IdP で証明書をローテーションする前に、新しい証明書のサムプリントを OIDC ID プロバイダーの設定に追加してください。少なくとも 1 日待ってから、証明書をローテーションしてください。新しい証明書で STS トークンを取得できることを確認した後、古いサムプリントを削除してください。
[クライアント ID]
外部 IdP は、アプリケーションを登録する際にクライアント ID を割り当てます。この ID は、発行された OIDC トークンの
audクレームに表示されます。OIDC から STS へのトークン交換中に、Alibaba Cloud はこのクライアント ID とaudクレームを照合して検証します。両者が一致した場合にのみ、ロールの引き受けに成功します。複数のアプリケーションが Alibaba Cloud にアクセスする場合は、複数のクライアント ID を追加します。最大:50。
[最も早い発行時間制限]
この時間制限より前に発行された OIDC トークンは、STS トークンと交換できません。
デフォルト値:12 時間。有効値:1~168 時間。
[注]
ID プロバイダーの説明。
-
IdP の作成 をクリックします。
OIDC ID プロバイダーの表示
-
RAM 管理者として RAM コンソール にログインします。
-
ナビゲーションペインで、 を選択します。
-
ロールベースの SSO ログイン方式 タブで、[OIDC] タブをクリックし、対象の ID プロバイダーの名前をクリックします。
-
基本情報 セクションで、IdP 名、IdP タイプ、作成日時、更新日時、注、[ARN]、発行者 URL、最も早い発行時間制限 を確認します。
OIDC ID プロバイダーの変更
-
RAM 管理者として RAM コンソール にログインします。
-
ナビゲーションペインで、 を選択します。
-
ロールベースの SSO ログイン方式 タブで、[OIDC] タブをクリックし、対象の ID プロバイダーの名前をクリックします。
-
OIDC ID プロバイダーを変更します。
-
基本情報 セクションで、注 と 最も早い発行時間制限 を変更します。
-
クライアント ID セクションで、クライアント ID を追加または削除します。
説明最大:50 個のクライアント ID。最後のクライアント ID は削除できません。
-
フィンガープリントの確認 セクションで、サムプリントを追加または削除します。
説明最大:5 個のサムプリント。最後のサムプリントは削除できません。
-
OIDC ID プロバイダーの削除
OIDC ID プロバイダーを削除すると、企業ユーザーは OIDC ロールベース SSO を使用して Alibaba Cloud にアクセスできなくなります。
-
RAM 管理者として RAM コンソール にログインします。
-
ナビゲーションペインで、 を選択します。
-
ロールベースの SSO ログイン方式 タブで、[OIDC] タブをクリックし、対象の OIDC ID プロバイダーを見つけ、操作 列の 削除 をクリックします。
-
削除 ダイアログボックスで、削除 をクリックします。