すべてのプロダクト
Search

このプロダクト

    Resource Access Management:OIDC IdP の管理

    ドキュメントセンター

    Resource Access Management:OIDC IdP の管理

    最終更新日:Apr 18, 2025

    このトピックでは、OpenID Connect(OIDC)ID プロバイダー(IdP)の管理方法について説明します。OIDC ベースのシングルサインオン(SSO)を実装する前に、Resource Access Management(RAM)コンソールで OIDC IdP を作成する必要があります。

    OIDC IdP の作成

    1. RAM 管理者として [RAM コンソール] にログインします。

    2. 左側のナビゲーションウィンドウで、[統合] > [SSO] を選択します。

    3. [ロールベース SSO] タブで、[OIDC] タブをクリックします。次に、[IdP を追加] をクリックします。

    4. [IdP の作成] ページで、以下のパラメーターを設定します。

      パラメーター

      説明

      IdP 名

      名前は Alibaba Cloud アカウント内で一意である必要があります。

      発行者 URL

      外部 IdP によって提供される発行者の URL。発行者の URL は https で始まり、有効な URL である必要があります。URL には、疑問符(?)に続くクエリパラメーター、アットマーク(@)で識別されるログイン情報、または番号記号(#)で識別されるフラグメントを含めることはできません。

      フィンガープリント

      外部 IdP の HTTPS 証明書に基づいて生成されるフィンガープリント。フィンガープリントを使用して、発行者の URL がハイジャックされたり改ざんされたりするのを防ぐことができます。

      発行者 URL に有効な値を指定した後、[フィンガープリントを取得] をクリックできます。Alibaba Cloud はフィンガープリントを計算します。コンピューターでフィンガープリントを計算することをお勧めします。たとえば、OpenSSL を使用して OIDC IdP のフィンガープリントを取得できます。詳細については、「OpenSSL を使用して OIDC IdP のフィンガープリントを取得する」をご参照ください。次に、計算結果を Alibaba Cloud が提供する計算結果と比較できます。計算結果が異なる場合は、発行者の URL が攻撃されている可能性があります。有効なフィンガープリントを入力してください。

      説明

      IdP の証明書をローテーションする場合は、ローテーション前に新しい証明書のフィンガープリントを生成し、RAM コンソールで作成した OIDC IdP にフィンガープリントを追加することをお勧めします。少なくとも 1 日後、証明書をローテーションします。セキュリティトークンサービス(STS)トークンを取得した後、以前のフィンガープリントを削除できます。

      クライアント ID

      外部 IdP にアプリケーションを登録するときに、アプリケーションに対して生成される ID。外部 IdP から OIDC トークンを申請する場合、クライアント ID を使用する必要があります。クライアント ID は、発行された OIDC トークンの aud フィールドで指定されます。OIDC IdP を作成するときは、クライアント ID を設定する必要があります。OIDC トークンを使用して STS トークンを取得する場合、Alibaba Cloud は aud フィールドで指定されたクライアント ID が OIDC IdP で設定したクライアント ID と同じかどうかを確認します。クライアント ID が同じ場合にのみ、RAM ロールをアシュームできます。

      複数のクライアントが Alibaba Cloud リソースにアクセスする必要がある場合は、複数のクライアント ID を設定できます。最大 20 個のクライアント ID を設定できます。

      許可される最も早い発行時間

      OIDC トークンの時間制限。OIDC トークンがこの時間制限より前に発行された場合、OIDC トークンを使用して STS トークンを取得することはできません。

      デフォルト値:12 時間。有効な値:1 ~ 168 時間。

      備考

      OIDC IdP の説明。

    5. [OK] をクリックします。

    OIDC IdP に関する情報の表示

    1. RAM 管理者として [RAM コンソール] にログインします。

    2. 左側のナビゲーションウィンドウで、[統合] > [SSO] を選択します。

    3. [ロールベース SSO] タブで、[OIDC] タブをクリックします。次に、情報を表示する OIDC IdP の名前をクリックします。

    4. 表示されるページの [IdP の詳細] セクションで、[IdP 名][IdP タイプ][作成日時][更新日時][備考][ARN]、および [URL] を表示します。

    OIDC IdP に関する情報の変更

    1. RAM 管理者として [RAM コンソール] にログインします。

    2. 左側のナビゲーションウィンドウで、[統合] > [SSO] を選択します。

    3. [ロールベース SSO] タブで、[OIDC] タブをクリックします。次に、情報を表示する OIDC IdP の名前をクリックします。

    4. 表示されるページの [IdP の詳細] セクションで、[編集][備考] の右側にある をクリックして、OIDC IdP の説明を変更します。

    5. クライアント ID セクションで、[追加] または [削除] をクリックして、クライアント ID を追加または削除します。

      説明

      最大 20 個のクライアント ID を追加できます。少なくとも 1 つのクライアント ID を保持する必要があります。

    6. [フィンガープリント] セクションで、[追加] または [削除] をクリックして、フィンガープリントを追加または削除します。

      説明

      最大 5 つのフィンガープリントを追加できます。少なくとも 1 つのフィンガープリントを保持する必要があります。

    OIDC IdP の削除

    警告

    IdP を削除すると、業務システムと RAM 間でロールベース SSO を実装できなくなります。

    1. RAM 管理者として [RAM コンソール] にログインします。

    2. 左側のナビゲーションウィンドウで、[統合] > [SSO] を選択します。

    3. [ロールベース SSO] タブで、[OIDC] タブをクリックします。次に、削除する OIDC IdP を見つけて、削除[アクション] 列の をクリックします。

    4. [IdP の削除] メッセージで、[OK] をクリックします。