Resource Access Management:OAuth アプリケーションの概要

概念

説明

ユーザー

ログインしてアプリケーションにクラウドリソースへのアクセスを認可する、Alibaba Cloud アカウント、RAM ユーザー、または RAM ロールです。

Alibaba Cloud OAuth サービス

ユーザーを認証してその認可を取得し、認可されたアプリケーションにユーザーアイデンティティを表すトークンを発行するサービスです。

クライアントアプリケーション

現在の Alibaba Cloud アカウントで作成されたアプリケーションです。このアカウント内のユーザーは、認可なしで直接アクセスできます。他の Alibaba Cloud アカウントのユーザーは、利用前にインストールと認可を行う必要があります。

以下のタイプのクライアントアプリケーションを作成できます。

• [ Web アプリケーション ]：ブラウザーで実行されるアプリケーションです。

• [ ネイティブアプリケーション ]：デスクトップまたはモバイルオペレーティングシステムで実行されるローカルアプリケーションです。

• [ サーバーアプリケーション ]：ユーザーログインなしで Alibaba Cloud サービスに直接アクセスするアプリケーションです。現在、SCIM ベースのユーザープロビジョニングアプリケーションにのみ対応しています。

サードパーティアプリケーション

自身のアカウント外で作成された、インストールと認可が必要なアプリケーションです。

公式アプリケーション

Alibaba Cloud サービスによって提供され、すべての Alibaba Cloud アカウントでインストール可能なサードパーティアプリケーションです。

OAuth スコープ

OAuth スコープは、ログインユーザーに代わってアプリケーションがリソースにアクセスできる範囲を制限するものです。対応しているスコープは次のとおりです。

• openid ：ユーザーの OpenID を取得します。デフォルトのスコープであり、削除できません。

  説明

  OpenID は、Alibaba Cloud UID やユーザー名を含まない一意のユーザー識別子です。これらの情報を取得するには、aliuid または profile スコープをリクエストする必要があります。

• aliuid ：RAM ユーザー UID と親アカウント UID を含む Alibaba Cloud UID を取得します。

• profile ：ユーザーのログイン名を取得します。Alibaba Cloud アカウントの場合はログイン名を返します。RAM ユーザーの場合は UPN と表示名を返します。

• /acs/ccc ：Alibaba Cloud Call Center API にアクセスします。

• /acs/cloudesl ：Alibaba Cloud Price Tag API にアクセスします。

• /acs/alidns ：Alibaba Cloud DNS API にアクセスします。

• /acs/scim ：SCIM にアクセスします。

• /acs/digitalstore ：Digital Store にアクセスします。

• /acs/scsp ：Smart Customer Service Platform にアクセスします。

• /acs/cloudgame ：Cloud Gaming Platform にアクセスします。

• /acs/aiccs ：Artificial Intelligence Cloud Call Service にアクセスします。

• /acs/alimt ：Machine Translation にアクセスします。

• /acs/easygene ：Genomics Computing Platform API にアクセスします。

• /acs/mcp-server ：公式 MCP サービスがクラウドサービス API を呼び出すことを認可します。

  説明

  /acs/mcp-server スコープは、OAuth 2.1 でのみ対応しています。

トークン

OAuth サービスによって発行される、ログインユーザーを表すものです。

• ID トークン：ユーザーアイデンティティ情報を含みますが、Alibaba Cloud リソースへのアクセス権を付与するものではありません。

• アクセストークン：ユーザーアイデンティティとアプリケーションの OAuth スコープ情報を含みます。付与されたスコープ内で Alibaba Cloud リソースにアクセスするために使用できます。

• リフレッシュトークン：アプリケーションが新しいアクセストークンを取得するために使用されます。

Alibaba Cloud API

アプリケーションは Alibaba Cloud API を呼び出して、対応するクラウドリソースにアクセスします。

パラメーター

説明

例

必要なスコープ

exp

トークンの有効期限を示す UNIX タイムスタンプです。

1517539523

openid

sub

一意で不透明なユーザー識別子です。Alibaba Cloud UID またはユーザー名は含まれません。

123456789012****

openid

aud

トークンのオーディエンスであり、OAuth アプリケーションのIDです。

4567890123456****

openid

iss

トークンの発行者です。値は https://oauth.aliyun.com です。

https://oauth.aliyun.com

openid

iat

トークンが発行された時刻を示す UNIX タイムスタンプです。

1517533200

openid

aid

ユーザーが所属する Alibaba Cloud アカウントの ID です。

177242285274****

aliuid

uid

ログインユーザーの ID です。有効な値は次のとおりです。

• Alibaba Cloud アカウント：値は aid クレームと同じです。

• RAM ユーザー：RAM ユーザーの ID です。

• RAM ロール：RAM ロールの ID です。

20124982101502****

aliuid

type

ログインユーザーのタイプです。有効な値は次のとおりです。

• account ：Alibaba Cloud アカウント

• user ：RAM ユーザー

• role ：RAM ロール

user

profile

login_name

Alibaba Cloud アカウントのログイン名です。

田中

profile

upn

RAM ユーザーのログイン名です。

Taro@examplecompany.onaliyun.com

profile

name

ログインユーザーの名前です。有効な値は次のとおりです。

• RAM ユーザー：RAM ユーザーの表示名です。

• RAM ロール：<RoleName:RoleSessionName> です。

山田

profile