すべてのプロダクト
Search
ドキュメントセンター

Resource Access Management:OIDC ID プロバイダーの管理

最終更新日:May 27, 2026

OIDC ロールベース SSO には、ID プロバイダー (IdP) が必要です。Resource Access Management (RAM) コンソールから OIDC ID プロバイダーを作成、表示、変更、または削除します。

OIDC ID プロバイダーの作成

  1. RAM 管理者として RAM コンソール にログインします。

  2. ナビゲーションペインで、Integrations > SSO を選択します。

  3. ロールベースの SSO ログイン方式 タブで、[OIDC] タブをクリックし、IdP の作成 をクリックします。

  4. IdP の作成 ページで、ID プロバイダーを設定します。

    パラメーター

    説明

    [IdP 名]

    名前は Alibaba Cloud アカウント内で一意である必要があります。

    [発行者 URL]

    外部 IdP から提供されます。https で始まり、標準の URL 形式に従う必要があります。クエリ文字列 (?)、フラグメント (#)、ユーザー認証情報 (@) を含めることはできません。

    [フィンガープリントの確認]

    発行者 URL のハイジャックや改ざんを防ぐために、外部 IdP からの HTTPS CA 証明書のサムプリントを設定します。

    発行者 URL を入力して 指紋を取得 をクリックすると、Alibaba Cloud がサムプリントを自動的に計算します。セキュリティのために、ローカルでも計算し (OpenSSL を使用して OIDC ID プロバイダーのサムプリントを取得)、比較してください。値が異なる場合、発行者 URL が侵害されている可能性があります。URL を確認し、正しいサムプリントを入力してください。

    説明

    IdP で証明書をローテーションする前に、新しい証明書のサムプリントを OIDC ID プロバイダーの設定に追加してください。少なくとも 1 日待ってから、証明書をローテーションしてください。新しい証明書で STS トークンを取得できることを確認した後、古いサムプリントを削除してください。

    [クライアント ID]

    外部 IdP は、アプリケーションを登録する際にクライアント ID を割り当てます。この ID は、発行された OIDC トークンの aud クレームに表示されます。OIDC から STS へのトークン交換中に、Alibaba Cloud はこのクライアント ID と aud クレームを照合して検証します。両者が一致した場合にのみ、ロールの引き受けに成功します。

    複数のアプリケーションが Alibaba Cloud にアクセスする場合は、複数のクライアント ID を追加します。最大:50。

    [最も早い発行時間制限]

    この時間制限より前に発行された OIDC トークンは、STS トークンと交換できません。

    デフォルト値:12 時間。有効値:1~168 時間。

    []

    ID プロバイダーの説明。

  5. IdP の作成 をクリックします。

OIDC ID プロバイダーの表示

  1. RAM 管理者として RAM コンソール にログインします。

  2. ナビゲーションペインで、Integrations > SSO を選択します。

  3. ロールベースの SSO ログイン方式 タブで、[OIDC] タブをクリックし、対象の ID プロバイダーの名前をクリックします。

  4. 基本情報 セクションで、IdP 名IdP タイプ作成日時更新日時[ARN]発行者 URL最も早い発行時間制限 を確認します。

OIDC ID プロバイダーの変更

  1. RAM 管理者として RAM コンソール にログインします。

  2. ナビゲーションペインで、Integrations > SSO を選択します。

  3. ロールベースの SSO ログイン方式 タブで、[OIDC] タブをクリックし、対象の ID プロバイダーの名前をクリックします。

  4. OIDC ID プロバイダーを変更します。

    • 基本情報 セクションで、最も早い発行時間制限 を変更します。

    • クライアント ID セクションで、クライアント ID を追加または削除します。

      説明

      最大:50 個のクライアント ID。最後のクライアント ID は削除できません。

    • フィンガープリントの確認 セクションで、サムプリントを追加または削除します。

      説明

      最大:5 個のサムプリント。最後のサムプリントは削除できません。

OIDC ID プロバイダーの削除

警告

OIDC ID プロバイダーを削除すると、企業ユーザーは OIDC ロールベース SSO を使用して Alibaba Cloud にアクセスできなくなります。

  1. RAM 管理者として RAM コンソール にログインします。

  2. ナビゲーションペインで、Integrations > SSO を選択します。

  3. ロールベースの SSO ログイン方式 タブで、[OIDC] タブをクリックし、対象の OIDC ID プロバイダーを見つけ、操作 列の 削除 をクリックします。

  4. 削除 ダイアログボックスで、削除 をクリックします。