Resource Access Management:OAuth アプリケーションの概要

概念

説明

ユーザー（リソース所有者）

アプリケーションによる自身のリソースへのアクセスを許可する主体です。リソース所有者は、Alibaba Cloud アカウント、RAM ユーザー、または RAM ロールのいずれかになります。

Alibaba Cloud OAuth サービス

Alibaba Cloud OAuth サービスは、権限付与サーバーとして機能します。リソース所有者の認証と同意の取得を行い、クライアントアプリケーションに対してアクセストークンを発行します。

ファーストパーティアプリケーション

ご利用の Alibaba Cloud アカウント内で作成されたアプリケーションです。同一アカウント内のユーザーは明示的な権限付与ステップを経ずにアプリケーションにアクセスできますが、他の Alibaba Cloud アカウントのユーザーは、アプリケーションのインストールおよび権限付与を事前に実施する必要があります。

以下のタイプのファーストパーティアプリケーションを作成できます：

• Web アプリケーション：Web サーバー上で実行されるブラウザベースのアプリケーションです。

• ネイティブアプリ：デバイス上に直接インストール・実行されるデスクトップまたはモバイルアプリケーションです。

• サーバー間アプリケーション：ユーザー操作を伴わず Alibaba Cloud サービスに直接アクセスするアプリケーションです。これは、System for Cross-domain Identity Management（SCIM）プロトコルを用いたユーザー情報のプロビジョニングなど、マシン間ワークフローで一般的に使用されます。

サードパーティアプリケーション

別の Alibaba Cloud アカウントによって開発され、ご利用のリソースへのアクセスを許可するためにインストールおよび権限付与するアプリケーションです。

公式アプリケーション

Alibaba Cloud サービスが公開したアプリケーションで、すべての Alibaba Cloud アカウントがインストール可能です。このタイプのアプリケーションはご利用のアカウントが所有していないため、公式アプリケーションはサードパーティアプリケーションの一種です。

OAuth スコープ

ユーザーのアカウントへのアプリケーションのアクセス範囲を制限する仕組みです。アプリケーションは 1 つ以上のスコープをリクエストでき、発行されるアクセストークンは付与されたスコープに限定されます。以下のスコープがサポートされています：

• openid：ユーザーの OpenID を取得するために使用します。これはデフォルトのスコープであり、削除できません。

  説明

  OpenID はユーザーを一意に識別する ID ですが、ユーザー名や Alibaba Cloud UID などの個人識別用情報（PII）は含みません。これらの情報を取得するには、aliuid または profile スコープも併せてリクエストする必要があります。

• aliuid：Alibaba Cloud が発行する一意のユーザー識別子（UID）を取得するために使用します。これには RAM ユーザーの UID および親 Alibaba Cloud アカウントの UID が含まれます。

• profile：認証済みユーザーの名前を取得するために使用します。Alibaba Cloud アカウントの場合、ログイン名を取得します。RAM ユーザーの場合、ユーザープリンシパル名（UPN）および表示名を取得します。

• /acs/ccc：Alibaba Cloud Call Center API を呼び出すために使用します。

• /acs/cloudesl：Alibaba Cloud CloudESL API を呼び出すために使用します。

• /acs/alidns：Alibaba Cloud DNS API を呼び出すために使用します。

• /acs/scim：Cross-domain Identity Management サービスにアクセスするために使用します。

• /acs/digitalstore：Digital Store にアクセスするために使用します。

• /acs/scsp：Smart Customer Service Platform にアクセスするために使用します。

• /acs/cloudgame：Cloud Gaming Platform にアクセスするために使用します。

• /acs/aiccs：Artificial Intelligence Cloud Call Service にアクセスするために使用します。

• /acs/alimt：Machine Translation サービスにアクセスするために使用します。

• /acs/easygene：Genomics Computing Platform API を呼び出すために使用します。

• /acs/mcp-server：Alibaba Cloud MCP Server が Alibaba Cloud サービス API を呼び出すことを許可します。

  説明

  /acs/mcp-server スコープは、OAuth 2.1 のみでサポートされます。

トークン

ユーザーが付与した権限を表すセキュリティ資格情報で、OAuth サービスから発行されます。

• ID トークン：ユーザーの ID 情報を含みますが、Alibaba Cloud リソースへのアクセスには使用できません。

• アクセストークン：ユーザーの ID 情報およびアプリケーションの OAuth スコープを含み、指定された OAuth スコープ内での Alibaba Cloud リソースへのアクセスに使用できます。

• リフレッシュトークン：ユーザーが再度ログインすることなく、新しいアクセストークンを取得するために使用します。

Alibaba Cloud API

アプリケーションが Alibaba Cloud リソースにアクセスするために呼び出せる API です。

クレーム

説明

例

必要なスコープ

exp

トークンの有効期限（UNIX タイムスタンプ形式）です。

1517539523

openid

sub

認証済みユーザーの識別子（サブジェクト）です。これは、個人識別用情報（PII）を一切含まない、一意かつ再利用不可の識別子です。

123456789012****

openid

aud

トークンの対象（オーディエンス）であり、OAuth アプリケーションのクライアント ID です。

4567890123456****

openid

iss

トークンの発行元です。値は https://oauth.aliyun.com です。

https://oauth.aliyun.com

openid

iat

トークンの発行時刻（UNIX タイムスタンプ形式）です。

1517533200

openid

aid

認証済みユーザーが所属する Alibaba Cloud アカウントの ID です。

177242285274****

aliuid

uid

認証済みユーザーの一意の ID です。有効な値は以下のとおりです：

• Alibaba Cloud アカウント：Alibaba Cloud アカウントの ID（aid の値と同じ）。

• RAM ユーザー：RAM ユーザーの ID。

• RAM ロール：RAM ロールの ID。

20124982101502****

aliuid

type

認証済みユーザーの種類です。有効な値は以下のとおりです：

• account：Alibaba Cloud アカウント。

• user：RAM ユーザー。

• role：RAM ロール。

user

profile

login_name

Alibaba Cloud アカウントのログイン名です。

Alice

profile

upn

RAM ユーザーのログイン名（ユーザープリンシパル名）です。

Bob@examplecompany.onaliyun.com

profile

name

認証済みユーザーの名前です。有効な値は以下のとおりです：

• RAM ユーザー：RAM ユーザーの表示名。

• RAM ロール：<RoleName:RoleSessionName>。

Bob

profile