すべてのプロダクト
Search

このプロダクト

    Resource Access Management:OIDC IdPの管理

    ドキュメントセンター

    Resource Access Management:OIDC IdPの管理

    最終更新日:Oct 31, 2024

    このトピックでは、OpenID Connect (OIDC) IDプロバイダー (IdP) を管理する方法について説明します。 OIDCベースのシングルサインオン (SSO) を実装する前に、リソースアクセス管理 (RAM) コンソールでOIDC IdPを作成する必要があります。

    OIDC IdPの作成

    1. RAM管理者としてRAMコンソールにログインします。

    2. 左側のナビゲーションウィンドウで、統合 > SSOを選択します。

    3. [ロールベースSSO] タブで、[OIDC] タブをクリックします。 次に、[IdPの追加] をクリックします。

    4. IdPの作成ページで、次のパラメーターを設定します。

      パラメーター

      説明

      IdP名

      名前はAlibaba Cloudアカウント内で一意である必要があります。

      発行者URL

      外部IdPによって提供される発行者のURL。 発行者のURLはhttpsで始まり、有効なURLである必要があります。 URLには、疑問符 (?) に続くクエリパラメーター、アットマーク (@) で識別されるログオン情報、または番号記号 (#) で識別されるフラグメントを含めることはできません。

      指紋

      外部IdPのHTTPS証明書に基づいて生成されるフィンガープリント。 指紋を使用して、発行者のURLがハイジャックされたり改ざんされたりするのを防ぐことができます。

      発行者URLに有効な値を指定したら、[指紋の取得] をクリックします。 Alibaba Cloudはフィンガープリントを計算します。 コンピューターで指紋を計算することをお勧めします。 たとえば、OpenSSLを使用してフィンガープリントを計算できます。 次に、計算結果とAlibaba Cloudが提供する計算結果を比較できます。 OpenSSLの詳細については、OpenSSLの公式Webサイトをご覧ください。 計算結果が異なる場合、発行者のURLが攻撃された可能性があります。 有効な指紋を入力してください。

      説明

      IdPの証明書をローテーションする場合は、新しい証明書のフィンガープリントを生成し、ローテーションの前にRAMコンソールで作成したOIDC IdPにフィンガープリントを追加することをお勧めします。 少なくとも1日後、証明書をローテーションします。 Security Token Service (STS) トークンを取得した後、以前のフィンガープリントを削除できます。

      クライアントID

      アプリケーションを外部IdPに登録するときに生成されるID。 外部IdPからOIDCトークンを申請するときは、クライアントIDを使用する必要があります。 クライアントIDは、発行されるOIDCトークンのaudフィールドで指定されます。 OIDC IdPを作成するときは、クライアントIDを設定する必要があります。 OIDCトークンを使用してSTSトークンを取得する場合、Alibaba Cloudは、audフィールドで指定されたクライアントIDがOIDC IdPで設定したクライアントIDと同じであるかどうかを確認します。 クライアントIDが同じである場合にのみ、RAMロールを引き受けることができます。

      複数のクライアントがAlibaba Cloudリソースにアクセスする必要がある場合は、複数のクライアントIDを設定できます。 最大20のクライアントIDを設定できます。

      最も早い発行時間

      OIDCトークンの制限時間。 OIDCトークンが期限より前に発行された場合、OIDCトークンを使用してSTSトークンを取得することはできません。

      デフォルト値: 12時間。 有効な値: 1 ~ 168時間。

      補足

      OIDC IdPの説明。

    5. OKをクリックします。

    OIDC IdPに関する情報を表示する

    1. RAM管理者としてRAMコンソールにログインします。

    2. 左側のナビゲーションウィンドウで、統合 > SSOを選択します。

    3. [ロールベースSSO] タブで、[OIDC] タブをクリックします。 次に、情報を表示するOIDC IdPの名前をクリックします。

    4. 表示されるページのIdPの詳細セクションで、IdP名IdPタイプ作成日時更新日時備考ARN、およびURLを確認します。

    OIDC IdPに関する情報の変更

    1. RAM管理者としてRAMコンソールにログインします。

    2. 左側のナビゲーションウィンドウで、統合 > SSOを選択します。

    3. [ロールベースSSO] タブで、[OIDC] タブをクリックします。 次に、情報を表示するOIDC IdPの名前をクリックします。

    4. 表示されるページの [IdPの詳細] セクションで、[備考] の右側にある [編集] をクリックして、OIDC IdPの説明を変更します。

    5. [クライアントID] セクションで、[追加] または [削除] をクリックして、クライアントIDを追加または削除します。

      説明

      最大20のクライアントIDを追加できます。 少なくとも1つのクライアントIDを保持する必要があります。

    6. 指紋セクションで、追加または削除をクリックして指紋を追加または削除します。

      説明

      最大5つの指紋を追加できます。 少なくとも1つの指紋を保持する必要があります。

    OIDC IdPの削除

    警告

    IdPを削除すると、業務システムとRAMの間にロールベースSSOを実装できなくなります。

    1. RAM管理者としてRAMコンソールにログインします。

    2. 左側のナビゲーションウィンドウで、統合 > SSOを選択します。

    3. [ロールベースSSO] タブで、[OIDC] タブをクリックします。 次に、削除するOIDC IdPを見つけ、[操作] 列の [削除] をクリックします。

    4. IdPを削除するメッセージで、OKをクリックします。