すべてのプロダクト
Search

このプロダクト

    Resource Access Management:OIDC IdP の管理

    ドキュメントセンター

    Resource Access Management:OIDC IdP の管理

    最終更新日:Nov 09, 2025

    OpenID Connect (OIDC) ロールベースのシングルサインオン (SSO) を使用するには、ID プロバイダー (IdP) を作成する必要があります。このトピックでは、OIDC IdP の作成、表示、変更、削除方法について説明します。

    OIDC IdP の作成

    1. RAM 管理者として Resource Access Management (RAM) コンソールにログインします。

    2. 左側のナビゲーションウィンドウで、[統合] > [SSO] を選択します。

    3. [ロールベース SSO] タブで、[OIDC] タブをクリックし、[IdP の作成] をクリックします。

    4. [IdP の作成] ページで、IdP 情報を設定します。

      パラメーター

      説明

      IdP 名

      名前は Alibaba Cloud アカウント内で一意である必要があります。

      発行者 URL

      外部 IdP によって提供される発行者の URL です。発行者 URL は https で始まり、有効な URL である必要があります。URL には、疑問符 (?) に続くクエリパラメーター、番号記号 (#) で識別されるフラグメントセグメント、またはアットマーク (@) で識別されるログイン情報を含めることはできません。

      検証フィンガープリント

      発行者 URL のハイジャックや改ざんを防ぐために、外部 IdP の HTTPS CA 証明書から生成された検証フィンガープリントを設定します。

      [発行者 URL] を入力した後、[フィンガープリントの取得] をクリックします。Alibaba Cloud は検証フィンガープリントの自動計算を支援します。ローカルでも計算し、結果を比較することをお勧めします。詳細については、「OpenSSL を使用して OIDC IdP のフィンガープリントを取得する」をご参照ください。フィンガープリントが一致しない場合、発行者 URL が攻撃を受けている可能性があります。URL を確認し、正しいフィンガープリントを入力してください。

      説明

      IdP の証明書をローテーションする予定がある場合は、ローテーションの前に新しい証明書のフィンガープリントを生成し、Alibaba Cloud の OIDC IdP 情報に追加してください。証明書をローテーションする前に少なくとも 1 日待機してください。新しい証明書を使用してセキュリティトークンサービス (STS) トークンを取得できることを確認した後、古いフィンガープリントを削除できます。

      クライアント ID

      外部 IdP にアプリケーションを登録すると、クライアント ID が生成されます。外部 IdP から OIDC トークンをリクエストするときは、このクライアント ID を使用する必要があります。発行された OIDC トークンには、aud フィールドにこのクライアント ID が含まれています。OIDC IdP を作成するときに、このクライアント ID を設定します。OIDC トークンを使用して STS トークンを取得すると、Alibaba Cloud は OIDC トークンの aud フィールドのクライアント ID が OIDC IdP に設定されたクライアント ID と一致することを確認します。クライアント ID が一致する場合にのみ、ロールを偽装できます。

      Alibaba Cloud にアクセスする必要があるアプリケーションが複数ある場合は、複数のクライアント ID を設定できます。最大 50 個のクライアント ID を追加できます。

      最も早い発行時間

      この時刻より前に発行された OIDC トークンは、STS トークンの取得には使用できません。

      デフォルト: 12 時間。有効な値: 1~168 時間。

      備考

      IdP の説明。

    5. [IdP の作成] をクリックします。

    OIDC IdP 情報の表示

    1. RAM 管理者として RAM コンソールにログインします。

    2. 左側のナビゲーションウィンドウで、[統合] > [SSO] を選択します。

    3. [ロールベース SSO] タブで、[OIDC] タブをクリックし、対象の IdP の名前をクリックします。

    4. [基本情報] セクションで、[IdP 名][IdP タイプ][作成日時][更新日時][備考][ARN][発行者 URL]、および [最も早い発行時間] を表示します。

    OIDC IdP 情報の変更

    1. RAM 管理者として RAM コンソールにログインします。

    2. 左側のナビゲーションウィンドウで、[統合] > [SSO] を選択します。

    3. [ロールベース SSO] タブで、[OIDC] タブをクリックし、対象の IdP の名前をクリックします。

    4. OIDC IdP 情報を変更します。

      • [基本情報] セクションで、[備考][最も早い発行時間] を変更します。

      • [クライアント ID] セクションで、クライアント ID を追加または削除します。

        説明

        最大 50 個のクライアント ID を追加できます。クライアント ID が 1 つしか存在しない場合、それを削除することはできません。

      • [検証フィンガープリント] セクションで、検証フィンガープリントを追加または削除します。

        説明

        最大 5 つの検証フィンガープリントを追加できます。検証フィンガープリントが 1 つしか存在しない場合、それを削除することはできません。

    OIDC IdP の削除

    警告

    OIDC IdP を削除すると、RAM で OIDC ロールベース SSO を使用できなくなります。

    1. RAM 管理者として RAM コンソールにログインします。

    2. 左側のナビゲーションウィンドウで、[統合] > [SSO] を選択します。

    3. [ロールベース SSO] タブで、[OIDC] タブをクリックします。次に、削除する OIDC IdP を見つけ、[アクション] 列の [IdP の削除] をクリックします。

    4. [IdP の削除] ダイアログボックスで、[IdP の削除] をクリックします。