本ガイドは、Microsoft Entra のユーザー管理、ロール割り当て、条件付きアクセスなどの機能に慣れた専門家を対象としています。Microsoft Entra と Alibaba Cloud Resource Access Management (RAM) のコア概念、ユースケース、および主な違いを体系的に対応付けます。これにより、マルチクラウド環境における同等機能の検索や、設計・用語の相違による誤解の回避が可能になります。
本ガイドが必要な理由
Alibaba Cloud RAM と Microsoft Entra は、用語およびアーキテクチャにおいて大きく異なります。Azure の ID およびアクセス管理システム(Microsoft Entra)に精通している方が、今後 Alibaba Cloud 上で同様のタスクを実行する必要がある場合、Azure の経験をそのまま適用すると誤解を招く可能性があります。たとえば:
Azure では「ロール」は権限の集合体ですが、Alibaba Cloud では「RAM ロール」はアイデンティティエンティティです。両者は根本的に異なる概念です。
Azure ではアイデンティティ管理とリソースアクセス制御が分離されていますが、Alibaba Cloud RAM では統合された制御が提供されます。
Alibaba Cloud には「サービスプリンシパル」という概念はありません。代わりに、プログラムによるアイデンティティは AccessKey またはロールの引き受けによって実装されます。
本ガイドでは、概念およびシナリオの体系的な対応付けを行い、Azure/Microsoft Entra から Alibaba Cloud のアクセス制御へ移行する際の包括的な思考モデル構築を支援します。
本ガイドの構成
本ガイドでは、以下のトピックについて説明します:
プロダクト対応表:Azure と Alibaba Cloud のコアサービス間の対応関係および設計思想の違いを理解します。
基本概念の対応表:リソースアーキテクチャ、アイデンティティエンティティ、権限モデルにおける両プラットフォーム間の用語対応を確立し、主な違いを理解します。
シナリオ別のガイダンス:ID 認証、クロステナントアクセス、ログ監査、開発連携など、一般的なシナリオにおける Azure/Microsoft Entra と対応する Alibaba Cloud のソリューションを紹介します。
プロダクト対応表
詳細に入る前に、まず全体像を把握しましょう。以下の表では、Microsoft Entra エコシステムのコアサービスとその Alibaba Cloud における対応サービスを示します。
Azure サービス | Alibaba Cloud サービス | 説明 |
各クラウドプラットフォームのコアアイデンティティおよびアクセス管理サービスです。多要素認証(MFA)、シングルサインオン(SSO)、アプリケーション統合、トークン発行などの機能を提供します。詳細については、「ID 認証およびアプリケーション統合」をご参照ください。 | ||
Alibaba Cloud RAM では、ポリシーを使用してアカウント内のすべてのリソースを一元管理します。詳細については、「権限概念の対応表」をご参照ください。 | ||
ID エンティティ、アプリケーションアクセス、ポリシー割り当ての管理を行うための API です。詳細については、「開発および SDK」をご参照ください。 | ||
クロスアカウント/クロステナントアクセス機能を提供します。詳細については、「クロスアカウント/クロステナントアクセス」をご参照ください。 |
設計思想の違い
Azure および Alibaba Cloud はいずれもアイデンティティおよびアクセス管理機能を提供しますが、アーキテクチャ上のアプローチは異なります:
Microsoft Entra ID は、Azure におけるアイデンティティおよびアクセス管理のための専用サービスです。Entra ID テナントは、ユーザー、アプリケーション、アクセスポリシーなどのエンティティを中央集約的に整理するための専用アイデンティティ境界です。この境界は、Azure リソースのサブスクリプションとは独立しています。このような設計は、複雑なエンタープライズ環境における統合アイデンティティガバナンスを容易にします。
Alibaba Cloud では、アクセス制御を Alibaba Cloud アカウント の組み込み機能として統合しています。Alibaba Cloud アカウントは、アイデンティティおよびリソース管理の境界の両方を担います。RAM ユーザー、RAM ロール、ポリシーはすべてアカウントの範囲内で定義され、有効となります。この設計により、アイデンティティとリソースの関係がより直接的になり、アクセス制御システムの迅速な構築が可能になります。
基本概念の対応表
本セクションでは、リソースアーキテクチャ、アイデンティティエンティティ、権限モデルという観点から、両プラットフォームのコア概念の用語および主な違いを体系的に対応付けます。
リソース管理アーキテクチャ
両プラットフォームとも、リソースを階層ツリーで整理しますが、各レベルの名称および意味は異なります。
Azure の概念 | Alibaba Cloud の概念 | レベル | 説明 |
テナント | 管理アカウント | 最上位コンテナ | エンタープライズ向けの最上位管理コンテナです。管理アカウントは、Resource Directory 全体の所有者であり、Resource Directory、フォルダー、メンバーアカウントを完全に制御できます。Root フォルダは、ディレクトリ構造の最上位ノードです。 |
マネジメントグループ | フォルダー | 組織単位 | 複数のサブスクリプション/アカウントを整理・管理するための階層構造です。どちらもネストされたサブマネジメントグループ/フォルダーをサポートします。 |
サブスクリプション | メンバーアカウント | 隔離境界 | メンバーアカウントは、論理的に Azure のサブスクリプションと同等であり、リソースの隔離境界として機能します。 |
リソースグループ | リソースグループ | グループ化単位 | リソースのコンテナです。Alibaba Cloud では、リソースグループはリソースのライフサイクル管理には使用されません。 |
リソース | リソース | リソース | 仮想マシン、ストレージ、データベースなどの特定のクラウドリソースです。 |
Azure のリソース階層
Azure では、5 段階の階層(テナント → マネジメントグループ → サブスクリプション → リソースグループ → リソース)を使用します。テナントはアイデンティティ境界として機能します。マネジメントグループは、複数のサブスクリプションにまたがる統一コンプライアンス制御および論理的整理に使用されます。サブスクリプションは、課金およびリソース隔離の基本単位です。
Alibaba Cloud のリソース階層
Alibaba Cloud では、管理アカウント → フォルダー → メンバーアカウント → リソースグループ → リソースという階層を使用します。管理アカウントは Resource Directory の所有者です。フォルダーはメンバーアカウントを整理するために使用され、メンバーアカウントはリソース隔離の境界です。
主な違い
アイデンティティ境界 vs. リソース境界:Microsoft Entra ID テナントは、ユーザー、アプリケーション、アクセスポリシーなどのアイデンティティ関連データを隔離するための独立したアイデンティティ境界です。テナント内では Azure リソースを直接作成できません。一方、Alibaba Cloud の管理アカウントは、本質的に Alibaba Cloud アカウントであり、リソースを直接作成できます。ただし、エンタープライズ環境では、管理アカウント下にビジネスリソースを作成することは推奨されません。
オプションの Resource Directory:Azure のサブスクリプションは、必ずテナントに関連付けられ、マネジメントグループ階層の一部である必要があります。一方、Alibaba Cloud の Resource Directory はオプション機能です。管理アカウントおよびフォルダーの階層構造は、Resource Directory を有効化した後にのみ利用可能です。Resource Directory が有効化されていない場合、Alibaba Cloud アカウントはスタンドアロンの最上位コンテナとして使用できます。
アイデンティティ概念の対応表
以下の表では、両プラットフォーム間のアイデンティティエンティティ概念を対応付けます。
Microsoft Entra の用語 | Alibaba Cloud RAM の用語 | エンティティタイプ | 説明 |
人間のアイデンティティ | RAM ユーザーは、アカウント内のアイデンティティエンティティであり、アカウントを跨いで存在することはできません(Entra ID のゲストユーザーとは異なります)。 | ||
プログラムによるアイデンティティ | RAM ユーザーは、プログラムによる認証のために AccessKey を作成できます。AccessKey の使用は、サービスプリンシパルのクライアントシークレットの使用と類似しています。 | ||
プログラムによるアイデンティティ | ワークロードが長期的な認証情報を管理することなくクラウドリソースにアクセスできるようにします。Alibaba Cloud における同等機能は、RAM ロールに基づいて実装されます。 | ||
グループ化 | RAM ユーザーグループは、一括権限付与にのみ使用されます。 | ||
|
| 管理者 | RAM スーパー管理者は、アカウント内のすべてのリソース(アイデンティティを含む)を完全に制御できます。一方、Entra ID のグローバル管理者は、アイデンティティのみを管理でき、サブスクリプションは管理できません。 |
主な違い
人間のアイデンティティ設計:Microsoft Entra ID では、人間のアイデンティティとプログラムによるアイデンティティを厳密に分離します。ユーザーエンティティは、社内従業員や外部パートナーなどの自然人を目的として設計されています。一方、Alibaba Cloud の RAM ユーザーは汎用のアイデンティティであり、使用ケースは設定された認証情報によって決定されます。コンソールログインパスワードが設定されている場合は人間のアイデンティティとして動作し、AccessKey が設定されている場合はプログラムによるアイデンティティとして動作します。
プログラムによるアイデンティティ設計:Entra ID のサービスプリンシパルは、アプリケーション認証を目的として設計されたエンティティです。アプリケーション登録、エンタープライズアプリケーション、マネージドアイデンティティなどの機能はすべてサービスプリンシパルに依存しています。一方、Alibaba Cloud にはプログラム専用のアイデンティティタイプは存在しません。RAM ユーザーおよび RAM ロール の両方が、プログラムまたはサービスによって使用できます。プログラムは、RAM ユーザーの AccessKey を長期的なアクセス認証情報として使用するか、あるいはより安全で短期間のアクセス権限を得るために、一時的に RAM ロールを引き受けることができます。
権限概念の対応表
以下の表では、両プラットフォーム間の権限管理概念を対応付けます。
Azure/Microsoft Entra の用語 | Alibaba Cloud RAM の用語 | 説明 |
アイデンティティが実行できる操作を定義する権限のコレクションです。 | ||
ポリシーをアイデンティティエンティティに関連付ける操作です。 | ||
クラウドプロバイダーが事前定義した権限のコレクションです。 | ||
ユーザーがニーズに応じて定義した権限のコレクションです。 | ||
ソース IP 制限や MFA 要求などの条件に基づくアクセス制御です。 |
主な違い
ロールとポリシーの意味的違い
Azure/Microsoft Entra では、ロールは権限のコレクションを表し、権限のコンテナとして機能しますが、アイデンティティではありません。一方、Alibaba Cloud RAM では、RAM ロール はアイデンティティの一種であり、他のアイデンティティによって引き受けられ、ポリシーが付与されて初めて操作を実行できます。Entra ID のロールという概念は、Alibaba Cloud RAM のポリシーに対応します。
ポリシーのスコープの違い
Microsoft エコシステムでは権限が分割されています。Entra RBAC ロールは、Entra テナント内のリソース(ユーザー、グループ、サービスプリンシパルなど)へのアクセス制御に特化しており、仮想マシンやストレージなどのクラウドリソースへの制御は Azure RBAC が担当します。一方、Alibaba Cloud では統合管理モデルを採用しており、RAM ポリシーのスコープは単一のクラウドアカウント下のすべてのサービスおよびリソースをカバーします。
さらに、RAM ポリシーは権限付与の粒度において高い柔軟性を提供します。サービスレベルや操作レベルといった高レベルの制御から、最も細かいリソースレベルまでの制御をサポートします。説明Alibaba Cloud サービスごとに権限制御の粒度は異なります。各クラウドサービスがサポートする権限付与の粒度の詳細については、「RAM をサポートする Alibaba Cloud サービス」をご参照ください。
シナリオ
前述のアーキテクチャおよび概念の違いに基づき、本セクションでは、ID 認証、クロスアカウントアクセス、ログ監査、開発連携などの一般的なシナリオにおける Microsoft Entra と Alibaba Cloud の具体的なソリューションを対応付けます。
ID 認証およびアプリケーション統合
両プラットフォームとも、多要素認証、エンタープライズ向けシングルサインオン、アプリケーション統合の機能を提供しますが、設計および実装には違いがあります。
Microsoft Entra | Alibaba Cloud | ユースケース | 説明 |
ユーザー/グループの管理 | ユーザーおよびユーザーグループの作成、削除、属性の変更などの管理を行います。 | ||
多要素認証 | RAM は、仮想 MFA (Entra の ソフトウェア OATH トークン に相当)、パスキー、セキュリティ用モバイル端末 (Entra の SMS に相当)、およびセキュリティ用メールアドレスなど、さまざまな多要素認証 (MFA) メソッドをサポートしています。 | ||
ID フェデレーション | Alibaba Cloud では、企業の IdP との統合に、ユーザー SSO モードおよびロール SSO モードの両方をサポートします。CloudSSO は、Resource Directory 内のマルチアカウントシナリオに適しています。 | ||
エンタープライズ SSO | OAuth アプリケーション管理は、Alibaba Cloud サービスを対象とした承認統合を提供します。Alibaba Cloud IDaaS は、エンタープライズアプリケーション統合のための独立した ID プロバイダー(IdP)として機能します。 | ||
- | アカウント同期 | オンプレミスのエンタープライズ ID をクラウドに同期します。 | |
認証情報トークンサービス | Alibaba Cloud STS は、ロールの引き受け シナリオで一時的なセキュリティ認証情報を発行するために使用されます。OAuth サービスは、OIDC/OAuth アプリケーションに対してアクセストークンを発行するために使用されます。 |
主な違い
ID フェデレーション
Entra ID は、エンタープライズまたは SaaS アプリケーションとの統一認証を実現するための ID プロバイダー(IdP)として機能できます。また、ADFS やその他のサードパーティ IdP を信頼して接続するサービスプロバイダー(SP)としても機能できます。一方、Alibaba Cloud RAM は、主に企業の既存 IdP を信頼して統合するサービスプロバイダー(SP)として機能します。
トークンサービス
Microsoft Entra および Alibaba Cloud RAM は、トークン発行アーキテクチャにおいて明確な違いがあります。Entra ID は、OAuth 2.0 および OIDC プロトコルをネイティブにサポートする統一トークン配布サービスを使用します。すべての ID エンティティ(ユーザー、アプリケーション、サービスプリンシパル)は、この単一エンドポイントから JWT 形式のアクセストークンを取得します。一方、Alibaba Cloud RAM では、2 つの比較的独立したトークンサービスを提供します:
STS サービス:ロールの引き受けまたはロール SSO シナリオで一時的なセキュリティ認証情報(STS トークン)を発行する責任を負います。
OAuth サービス:Alibaba Cloud CLI などの公式ツールおよび RAM に登録された OIDC/OAuth アプリケーションに対して JWT 形式のアクセストークンを発行するために使用されます。
クロスアカウント/クロステナントアクセス
両プラットフォームとも、クロスアカウントアクセス(Entra ID ではクロステナントアクセスと呼ばれます)をサポートしますが、実装メカニズムは異なります。
Microsoft Entra | Alibaba Cloud | ユースケース | 説明 |
エンタープライズユーザー向けのクロスアカウントアクセス | Alibaba Cloud では、主にターゲットアカウントの RAM ロールを引き受けることで実現されます。 | ||
エンタープライズアプリケーション向けのクロスアカウントアクセス | Entra ID では、アプリケーションをマルチテナントとして登録できます。Alibaba Cloud では、STS AssumeRole を使用して一時的なセキュリティ認証情報を取得します。 | ||
コンシューマー向けアプリケーションアクセス | RAM はこの機能を提供していません。代わりに Alibaba Cloud IDaaS CIAM を使用してください。 |
主な違い
Entra ID では、クロステナントアクセスは主に B2B コラボレーションメカニズムに依存します。ターゲットテナントは、外部ユーザーをゲストとして招待し、ディレクトリに追加したうえで、アプリケーションまたはリソースへのアクセスロールを割り当てる必要があります。
Alibaba Cloud では、クロスアカウントアクセスはロールの引き受けによって実現され、ターゲットアカウントにアイデンティティエンティティを作成する必要はありません。プログラムまたはユーザーは、STS サービスを呼び出すこと(AssumeRole、AssumeRoleWithSAML、または AssumeRoleWithOIDC などのインターフェイスを使用)により、ターゲットアカウントの RAM ロールのアイデンティティを動的に引き受けてリソースにアクセスできます。
一般的な RAM ロールの引き受けソリューションに加えて、Alibaba Cloud では、特定の製品向けにリソースベースのクロスアカウント認証メカニズム(たとえば、OSS バケットポリシー の設定や リソース共有 の使用など)も補足的に提供しています。
ログおよび監査
両プラットフォームとも、包括的な運用監査およびログ記録機能を提供します。
Microsoft Entra | Alibaba Cloud | 説明 |
どちらもコンソールおよび API 操作の追跡に使用されます。ActionTrail は Alibaba Cloud の独立したサービスであり、RAM の組み込み機能ではありません。 | ||
ActionTrail(サインインイベント) | Alibaba Cloud では、コンソールサインインイベントは ActionTrail ログに記録されます。個別のサインインログサービスは存在しません。 | |
どちらもログの長期保存および分析の構成に使用されます。 |
主な違い
ログの分類:Entra ID では、サインインログと監査ログを分離することで、セキュリティ追跡時に認証動作と管理操作を素早く区別できます。一方、Alibaba Cloud では集中管理モデルを採用しており、コンソールサインインなどの ID 認証イベントを ActionTrail サービスに統合しています。
監査範囲のマッピング: Entra ID 監査ログは、ID 側にのみ焦点を当てており、テナント内のディレクトリ オブジェクト(ユーザー、グループ、アプリケーションなど)に対する操作を記録します。クラウドリソースに対する操作は、Azure アクティビティ ログ によって記録されます。したがって、概念的なマッピングという観点から見ると、Entra ID 監査ログと Azure アクティビティ ログの組み合わせは、RAM の ID 操作およびグローバルなクラウドリソース操作の両方をカバーする Alibaba Cloud の ActionTrail に対応します。
開発および SDK
両プラットフォームとも、包括的な開発ツールおよび SDK を提供します。
Microsoft Entra | Alibaba Cloud RAM | ユースケース | 説明 |
OAuth/OIDC アプリケーション統合 | どちらも OAuth/OIDC アプリケーションの構築およびクラウド認証プラットフォームとの統合に使用できます。 | ||
API 呼び出し | どちらも ID エンティティ(ユーザー、グループなど)、アプリケーションアクセス、ポリシー割り当てのライフサイクル全体の管理を提供します。 | ||
ID 認証 SDK | Alibaba Cloud SDK の認証情報プロバイダーモジュールは、認証情報管理機能を提供します。どちらも認証情報チェーンをサポートします。 | ||
- | 認証ライブラリ | MSAL などの認証ライブラリは、開発者がアプリケーションを Microsoft Identity Platform と統合する際に役立ちます。Alibaba Cloud には対応する認証ライブラリは存在せず、サードパーティの OAuth/OIDC ライブラリを使用する必要があります。 |
現在、Alibaba Cloud OpenAPI の一部の操作のみがアクセストークン(Bearer Token)を使用した呼び出しをサポートしています。詳細については、「認証情報」をご参照ください。一方、Azure REST API および Microsoft Graph のすべての操作は、Entra トークンサービスによって発行されたアクセストークンを使用して呼び出します。
主な違い
API アーキテクチャ設計:Microsoft Entra では、単一のグローバルエントリポイントを使用します。ID、アプリケーション、ポリシーに関連するすべての呼び出しは、Microsoft Graph API を使用します。一方、Alibaba Cloud RAM では、機能をモジュールに分割する設計を採用しており、以下の 3 つの独立した API エンドポイントを異なるシナリオで使用します:
IMS(Identity Management Service):ID エンティティ(ユーザー、グループなど)のライフサイクル管理、SSO 構成、OAuth アプリケーション管理を担当します。
RAM(Resource Access Management サービス):ポリシー管理および権限付与構成を担当します。
STS(Security Token Service):ロールの引き受けを支援し、一時的なセキュリティ認証情報を発行します。