Resource Access Management:OAuth アプリケーションの概要

用語

説明

ユーザー

ユーザーは Alibaba Cloud にログインし、アプリケーションがクラウドリソースにアクセスすることを権限付与する必要があります。ユーザーは、Alibaba Cloud アカウント、RAM ユーザー、または RAM ロールです。

Alibaba Cloud OAuth サービス

Alibaba Cloud OAuth サービスは、ユーザーを認証し、アプリケーションに対するユーザーの権限付与を受け入れ、ユーザー ID を表すトークンを生成し、権限付与されたアプリケーションにトークンを返します。

エンタープライズアプリケーション

現在の Alibaba Cloud アカウントで作成されたアプリケーション。このアカウントのユーザーは、権限付与なしでアプリケーションに直接アクセスできます。他の Alibaba Cloud アカウントのユーザーは、アクセスする前にアプリケーションをインストールして権限付与する必要があります。

次の種類のエンタープライズアプリケーションを作成できます。

• Web アプリケーション: ブラウザを介して対話する Web ベースのアプリケーション。

• ネイティブアプリケーション: デスクトップやモバイルオペレーティングシステムなど、オペレーティングシステム上で実行されるローカルアプリケーション。

• サーバーアプリケーション: ユーザーのログインを必要とせずに Alibaba Cloud サービスに直接アクセスするアプリケーション。現在、System for Cross-domain Identity Management (SCIM) プロトコルに基づくユーザー同期アプリケーションのみがサポートされています。

サードパーティアプリケーション

現在のアカウントで作成されたものではなく、インストールされて権限付与されたアプリケーション。

公式アプリケーション

すべての Alibaba Cloud アカウントがインストールできる Alibaba Cloud サービスによって提供されるアプリケーション。このタイプのアプリケーションはアカウントで作成されないため、公式アプリケーションはサードパーティアプリケーションの一種です。

OAuth スコープ

OAuth サービスは OAuth スコープを使用して、ユーザーが Alibaba Cloud にログインした後にアプリケーションが持つアクセス範囲を定義します。次のスコープがサポートされています:

• openid: ユーザーの OpenID を取得するために使用されます。これはデフォルトのスコープであり、削除できません。

  説明

  取得した OpenID はユーザーを一意に識別する文字列ですが、Alibaba Cloud UID やユーザー名などの情報は含まれません。この情報を取得するには、aliuid や profile などのスコープを使用する必要があります。

• aliuid: Alibaba Cloud によって発行された一意のユーザー識別子 (UID) を取得するために使用されます。これには、RAM ユーザー UID と親 Alibaba Cloud アカウントの UID が含まれます。

• profile: ログインしているユーザーの名前を取得するために使用されます。Alibaba Cloud アカウントの場合、ログイン名を取得します。RAM ユーザーの場合、ユーザープリンシパル名 (UPN) と表示名を取得します。

• /acs/ccc: Cloud Call Center サービス API にアクセスするために使用されます。

• /acs/cloudesl: CloudESL サービス API にアクセスするために使用されます。

• /acs/alidns: Cloud DNS API にアクセスするために使用されます。

• /acs/scim: System for Cross-domain Identity Management サービスにアクセスするために使用されます。

• /acs/digitalstore: Digital Store にアクセスするために使用されます。

• /acs/scsp: Smart Customer Service Platform にアクセスするために使用されます。

• /acs/cloudgame: Cloud Gaming Platform にアクセスするために使用されます。

• /acs/aiccs: Artificial Intelligence Cloud Call Service にアクセスするために使用されます。

• /acs/alimt: Machine Translation サービスにアクセスするために使用されます。

• /acs/easygene: Gene Analysis Platform API にアクセスするために使用されます。

• /acs/mcp-server: 公式 MCP サービスが Alibaba Cloud サービス API を呼び出すことを権限付与します。

  説明

  OAuth 2.1 のみが /acs/mcp-server をサポートします。

トークン

OAuth サービスは、ログインしているユーザーを表すトークンをアプリケーションに発行できます。

• ID トークン: ユーザー ID 情報が含まれています。Alibaba Cloud リソースへのアクセスには使用できません。

• アクセストークン: ユーザー ID 情報とアプリケーションの OAuth スコープが含まれています。指定された OAuth スコープ内で Alibaba Cloud リソースにアクセスするために使用できます。

• リフレッシュトークン: 新しいアクセストークンを取得するために使用されます。

Alibaba Cloud API

アプリケーションは、Alibaba Cloud API を呼び出すことで、対応するクラウドリソースにアクセスできます。

パラメーター

定義

例

必須の OAuth スコープ

exp

トークンが有効期限切れになる UNIX タイムスタンプ。

1517539523

openid

sub

ログインしているユーザーを識別する一意の文字列。この文字列には、Alibaba Cloud UID やユーザー名などの情報は含まれません。

123456789012****

openid

aud

トークンの受信者。OAuth アプリケーション ID です。

4567890123456****

openid

iss

トークンの発行者。値は https://oauth.aliyun.com です。

https://oauth.aliyun.com

openid

iat

トークンが発行された UNIX タイムスタンプ。

1517533200

openid

aid

ログインしているユーザーが属する Alibaba Cloud アカウントの ID。

177242285274****

aliuid

uid

ログインしているユーザーの ID。有効値:

• Alibaba Cloud アカウント: Alibaba Cloud アカウントの ID。[aid] の値と同じです。

• RAM ユーザー: RAM ユーザーの ID。

• RAM ロール: RAM ロールの ID。

20124982101502****

aliuid

type

ログインしているユーザーのタイプ。有効値:

• account: Alibaba Cloud アカウント。

• user: RAM ユーザー。

• role: RAM ロール。

user

profile

login_name

Alibaba Cloud アカウントのログオン名です。

Alice

profile

upn

RAM ユーザーのログオン名です。

Bob@examplecompany.onaliyun.com

profile

name

ログインしているユーザーの名前。有効値:

• RAM ユーザー: RAM ユーザーの表示名。

• RAM ロール: <RoleName:RoleSessionName>。

Bob

profile