すべてのプロダクト
Search

このプロダクト

    Resource Access Management:ロールベースの OIDC シングルサインオン (SSO) の概要

    ドキュメントセンター

    Resource Access Management:ロールベースの OIDC シングルサインオン (SSO) の概要

    最終更新日:Mar 25, 2026

    Resource Access Management (RAM) は、フェデレーション方式として OpenID Connect (OIDC) をサポートしています。これにより、アプリケーションが信頼済みの ID プロバイダー (IdP) から OIDC トークンを取得し、それを Alibaba Cloud の一時的な認証情報と交換することで、ご利用のクラウドリソースへの安全なロールベースのアクセスが可能になります。

    ユースケース

    OIDC を使用したロールベースの SSO は、Alibaba Cloud リソースにアクセスする必要があるアプリケーションにおいて、長期的な AccessKey ペアを使用する代わりとなる安全な方法です。主なユースケースは以下のとおりです。

    • エンタープライズアプリケーション:社内のアプリケーションを企業の IdP(Okta や Google Workspace、または独自の OIDC 準拠システムなど)に登録できます。その後、アプリケーションは OIDC トークンを取得し、それを Alibaba Cloud の一時的な認証情報と交換して、必要な処理を実行できます。

    • サードパーティおよびモバイルアプリケーション:外部システムのユーザー ID を使ってログインできるアプリケーションを開発できます。これらのプロバイダーが OIDC をサポートしている場合、アプリケーションは発行された OIDC トークンを使用して RAM ロールを偽装し、ユーザーに代わって Alibaba Cloud サービスとやり取りできます。

    ロールベースの OIDC SSO の仕組み

    OIDC フェデレーションのプロセスでは、まず IdP と Alibaba Cloud 間に信頼関係を構築し、その後トークンを一時的な認証情報と交換します。

    OIDC角色SSO流程图

    1. 信頼関係の構成:最初に、RAM コンソールで OIDC IdP を作成し、この IdP を信頼する RAM ロールを設定することで、信頼関係を確立します。

    2. OIDC トークンのリクエスト:アプリケーションが外部 IdP に対してユーザーを認証し、OIDC トークンをリクエストします。

    3. STS トークンとの交換:アプリケーションが Alibaba Cloud Security Token Service (STS) の AssumeRoleWithOIDC API オペレーションを呼び出し、OIDC トークンと偽装したい RAM ロールの ARN を提供します。

    4. STS トークンの検証と発行:STS は OIDC トークンの署名、発行元、オーディエンス(クライアント ID)を検証します。検証が成功すると、STS は一時的なセキュリティ認証情報(STS トークン)を返します。

    5. リソースへのアクセス:アプリケーションは STS トークンを使用して、偽装した RAM ロールに付与された権限に基づき、Alibaba Cloud リソースに対して認証済みの API 呼び出しを行います。

    基本概念

    概念

    説明

    OIDC

    OIDCOAuth 2.0 プロトコル上に構築された ID レイヤーです。クライアントは、認可サーバーによる認証結果に基づいてユーザーの ID を検証し、ユーザーに関する基本的なプロファイル情報を取得できます。

    OIDC トークン (ID トークン)

    認証イベントに関するクレーム(ユーザー ID、トークンの発行元、対象クライアントなど)を含む JSON Web トークン (JWT) です。

    クライアント ID

    OIDC IdP に登録されたアプリケーションの一意な識別子です。OIDC トークン内のオーディエンス (aud) クレームとして含まれ、そのトークンが特定のアプリケーション向けであることを保証します。

    Issuer URL

    OIDC IdP を識別する URL です。OIDC トークン内の発行元 (iss) クレームとして含まれます。

    サムプリント (フィンガープリント)

    OIDC IdP サーバーのルート CA 証明書の一意な識別子です。IdP の公開鍵の真正性を検証するために使用されます。詳細については、「OIDC IdP のサムプリントの取得」をご参照ください。

    説明

    IdP の証明書をローテーションする前に、新しい証明書のサムプリントを RAM の OIDC プロバイダー構成に追加してください。新しい証明書でのフェデレーションが正常に動作することを確認した後、古いサムプリントを削除できます。

    STS トークン

    Alibaba Cloud Security Token Service (STS) によって提供される一時的なセキュリティ認証情報です。フェデレーテッド SSO では、ユーザーが SAML アサーションまたは OIDC トークンを STS トークンと交換し、Alibaba Cloud サービスに対して認証済みの API 呼び出しを行います。

    構成チュートリアル

    ステップバイステップのガイドについては、「Okta とのフェデレーションの構成」をご参照ください。

    サービスクォータ

    リソース

    最大値

    Alibaba Cloud アカウントあたりの OIDC IdP 数

    100

    OIDC IdP あたりのクライアント ID 数

    50

    OIDC IdP あたりのサムプリント数

    5