プロダクトの概要

CAMの概要

製品機能

適用シーン

基本概念

使用制限

ユーザータイプ

購入ガイド

クイックスタート

管理者ユーザーを作成する

サブアカウントの作成と権限付与

サブアカウントのコンソールログイン

ユーザーガイド

概要

ユーザー

アクセスキー

ユーザーグループ

ロール

アイデンティティプロバイダー

ポリシー

権限境界

トラブルシューティング

セキュリティ分析レポートのダウンロード

CAM-Enabled Role

Overview

Compute

Container

Microservice

Essential Storage Service

Data Process and Analysis

Data Migration

Relational Database

Enterprise Distributed DBMS

NoSQL Database

Database SaaS Tool

Database SaaS Service

Networking

CDN and Acceleration

Network Security

Data Security

Application Security

Domains & Websites

Big Data

Middleware

Interactive Video Services

Real-Time Interaction

Media On-Demand

Media Process Services

Media Process

Cloud Real-time Rendering

Game Services

Cloud Resource Management

Management and Audit Tools

Developer Tools

Monitor and Operation

CAM-Enabled API

Overview

Compute

Edge Computing

Container

Distributed cloud

Microservice

Serverless

Essential Storage Service

Data Process and Analysis

Data Migration

Relational Database

Enterprise Distributed DBMS

NoSQL Database

Database SaaS Tool

Networking

CDN and Acceleration

Network Security

Endpoint Security

Data Security

Business Security

Application Security

Domains & Websites

Office Collaboration

Big Data

Voice Technology

Image Creation

Tencent Big Model

AI Platform Service

Natural Language Processing

Optical Character Recognition

Middleware

Communication

Interactive Video Services

Real-Time Interaction

Stream Services

Media On-Demand

Media Process Services

Media Process

Cloud Real-time Rendering

Game Services

Education Sevices

Medical Services

Cloud Resource Management

Management and Audit Tools

Developer Tools

Monitor and Operation

実践のチュートリアル

セキュリティの実践チュートリアル

複数アイデンティティ権限管理

Tag下の一部操作権限を付与する

従業員間のリソース分離アクセスのサポート

企業マルチアカウント権限管理

従業員のTencent Cloud操作ログを閲覧する

ABACによる従業員のリソースアクセス権限管理

タグ認証時にタグキーのみマッチをサポート

商用事例

MySQL関連ケース

CLB 関連ケース

CMQ関連ケース

COS 関連ケース

CVM関連ケース

VPC 関連ケース

VOD関連ケース

その他のケース

よくあるご質問

ロール関連問題

キー関連の問題

その他の問題

CAMユーザーと権限の問題

用語一覧

SSO 概要

PDF

フォーカスモード

フォントサイズ

最終更新日: 2025-12-29 17:59:07

Tencent Cloudは、SAML 2.0とOIDCに基づくSSO（Single Sign On、シングルサインオン）をサポートしています。IdP認証を通過した外部ユーザーは、お客様のTencent Cloudリソースに直接アクセスできます。Tencent Cloudは現在、2種類のSSOログイン方式をサポートしています：ユーザーSSO、ロールSSOがあります。
SSO基本概念
概念
説明
身分プロバイダ（IdP）
外部身分プロバイダに関するメタデータを含むエンティティであり、身分プロバイダは身分管理サービスを提供できます。
企業オンプレミス IdP：Microsoft Active Directory Federation Service (ADFS)、シボレスなどがあります。
クラウドIdP：Azure AD、Google Workspace、Okta、OneLoginなどがあります。
サービスプロバイダ（SP）
IdPの身分管理機能を利用して、ユーザーに具体的なサービスを提供するアプリケーションであり、SPはIdPが提供するユーザー情報を使用します。一部の非SAMLプロトコルの身分システム（例：OpenID Connect）でも、サービスプロバイダをIdPの依拠当事者と呼びます。
セキュリティアサーションマークアップ言語(SAML 2.0)
エンタープライズレベルのユーザー認証を実現する標準プロトコルであり、SPとIdP間のコミュニケーションを実現する技術方式の一つです。SAML 2.0は現在、エンタープライズレベルのSSOを実現するデファクトスタンダードとなっています。
SAMLアサーション（SAML assertion）
SAMLプロトコルにおいて認証リクエストと認証レスポンスを記述するために使用される核心要素です。例えば：ユーザーの具体的な属性は認証レスポンスのアサーションに含まれています。
信頼（Trust）
SPとIdPの間で構築される相互信頼機構は、通常、公開鍵と秘密鍵によって実現されます。SPは、信頼できる方法でIdPのSAMLメタデータを取得し、メタデータにはIdPがSAMLアサーションを発行するための署名検証用の公開鍵が含まれています。SPは公開鍵を使用してアサーションの完全性を検証します。
OIDC
OIDC（OpenID Connect）はOAuth 2.0に基づく認証プロトコルです。
OAuthは権限付与プロトコルであり、一方でOIDCはOAuthプロトコル上にアイデンティティ層を構築します。OAuthが提供する権限付与機能に加えて、また、クライアントがエンドユーザーの身元を検証できるようにし、およびOIDCプロトコルのAPI（HTTP RESTful形式）を通じてユーザーの基本情報を取得できます。
OIDCトークン
OIDCはアプリケーションに対してログインユーザーを代表するアイデンティティトークン、すなわちOIDCトークン（OIDC Token）を発行できます。OIDCトークンはログインユーザーの基本情報を取得するために使用されます。
クライアントID
外部IdPにアプリケーションを登録する際、クライアントID（Client ID）が生成されます。外部IdPからOIDCトークンの発行を申請する場合、このクライアントIDを使用する必要があり、発行されたOIDCトークンはaudフィールドを通じてこのクライアントIDを保持します。OIDC身分プロバイダを作成する際にこのクライアントIDを設定します。その後、OIDCトークンを使用してSTSトークンと交換する場合、Tencent CloudはOIDCトークンのaudフィールドに含まれるクライアントIDとOIDC身分プロバイダに設定されたクライアントIDが一致するかどうかを検証します。一致する場合にのみ、ロール引き受けが許可されます。
フィンガープリント検証
発行者URLが悪意のあるハイジャックや改ざんを受けるのを防ぐため、外部IdPのHTTPS CA証明書から生成される検証用フィンガープリントを設定する必要があります。Tencent Cloudは自動的にこの検証用フィンガープリントを計算するお手伝いをしますが、ローカル環境で自身でも一度計算する（例：OpenSSLを使用したフィンガープリント計算）ことをお勧めします。Tencent Cloudが計算したフィンガープリントと比較し、異なる場合は発行者URLが攻撃を受けている可能性があるため、必ず再度確認の上、正しいフィンガープリントを入力してください。
身分プロバイダ URL
OpenID Connect身分プロバイダ識別子。
身分プロバイダが提供するOpenID Connectメタデータドキュメント内の「issuer」フィールドの値に対応します。
マッピングフィールド
OpenID Connect身分プロバイダにおいてTencent Cloud CAMサブユーザー名とマッピングされるフィールドです。
身分プロバイダが提供するOpenID Connectメタデータドキュメントの"claims_supported"の値から選択可能で、この例ではnameフィールドを使用してCAMのusernameとマッピングします。
署名公開鍵
OpenID Connect身分プロバイダのIDトークン署名を検証するための公開鍵です。
身分プロバイダが提供するOpenID Connectメタデータ文書内の「jwks_uri」フィールドのリンク先の内容（ブラウザでリンクを開いて内容を取得）に対応します。
お客様のアカウントセキュリティのため、署名公開鍵を定期的にローテーションすることをお勧めします。
SSO方式
Tencent Cloudは以下の2種類のSSO方式を提供します：
ユーザー SSO
Tencent Cloudは、IdPが発行するSAMLアサーションを通じて企業ユーザーとTencent Cloud CAMユーザーの対応関係を確認します。企業はローカルIdPで従業員情報を管理でき、企業従業員は指定されたリンクからTencent Cloudにログインし、ログイン後は当該CAMユーザーを使用してTencent Cloudリソースにアクセスします。詳細については、ユーザーSSO概要を参照してください。
ロール SSO
Tencent Cloudは、IdPが発行するSAMLアサーションまたはOIDCトークンを通じて企業ユーザーとTencent Cloud CAMユーザーの対応関係を確認します。企業ユーザーログイン後、当該CAMユーザーを使用してTencent Cloudにアクセスし、SAML 2.0およびOIDCに基づく2種類のロールSSOをサポートします：
SAML ロール SSO：Tencent Cloudは、IdPが発行するSAMLアサーションを通じて、企業ユーザーがTencent Cloud上で使用できるCAMロールを確認します。企業ユーザーログイン後、SAMLアサーションで指定されたCAMロールを使用してTencent Cloudリソースにアクセスします。詳細については、SAML ロール SSO 概要を参照してください。
OIDC ロール SSO：企業ユーザーは、IdPが発行するOIDCトークン（OIDC Token）を使用してTencent Cloud APIを呼び出し、指定されたロールを引き受けてロールの一時的な認証情報（STS Token）と交換します。その後、STS Tokenを使用してTencent Cloudリソースに安全にアクセスします。詳細については、OIDC ロール SSO 概要を参照してください。
SSO方式の比較
SSO方式
SP開始のSSO
IdP主導のSSO
サブユーザーアカウントとパスワードによるログイン
IdPと複数のTencent Cloudアカウントを一回の設定で連携
複数のIdP
ユーザー SSO
対応
対応
非対応
非対応
非対応
ロール SSO
非対応
対応
対応
対応
対応
﻿

ヘルプとサポート

この記事はお役に立ちましたか？

営業担当者にお問い合わせいただくかチケットを提出してサポートを求めることができます。

フィードバック

tencent cloud

Cloud Access Management

SSO 概要

SSO基本概念

SSO方式

ユーザー SSO

ロール SSO

SSO方式の比較

ヘルプとサポート

概念	説明
身分プロバイダ（IdP）	外部身分プロバイダに関するメタデータを含むエンティティであり、身分プロバイダは身分管理サービスを提供できます。企業オンプレミス IdP：Microsoft Active Directory Federation Service (ADFS)、シボレスなどがあります。クラウドIdP：Azure AD、Google Workspace、Okta、OneLoginなどがあります。
サービスプロバイダ（SP）	IdPの身分管理機能を利用して、ユーザーに具体的なサービスを提供するアプリケーションであり、SPはIdPが提供するユーザー情報を使用します。一部の非SAMLプロトコルの身分システム（例：OpenID Connect）でも、サービスプロバイダをIdPの依拠当事者と呼びます。
セキュリティアサーションマークアップ言語(SAML 2.0)	エンタープライズレベルのユーザー認証を実現する標準プロトコルであり、SPとIdP間のコミュニケーションを実現する技術方式の一つです。SAML 2.0は現在、エンタープライズレベルのSSOを実現するデファクトスタンダードとなっています。
SAMLアサーション（SAML assertion）	SAMLプロトコルにおいて認証リクエストと認証レスポンスを記述するために使用される核心要素です。例えば：ユーザーの具体的な属性は認証レスポンスのアサーションに含まれています。
信頼（Trust）	SPとIdPの間で構築される相互信頼機構は、通常、公開鍵と秘密鍵によって実現されます。SPは、信頼できる方法でIdPのSAMLメタデータを取得し、メタデータにはIdPがSAMLアサーションを発行するための署名検証用の公開鍵が含まれています。SPは公開鍵を使用してアサーションの完全性を検証します。
OIDC	OIDC（OpenID Connect）はOAuth 2.0に基づく認証プロトコルです。 OAuthは権限付与プロトコルであり、一方でOIDCはOAuthプロトコル上にアイデンティティ層を構築します。OAuthが提供する権限付与機能に加えて、また、クライアントがエンドユーザーの身元を検証できるようにし、およびOIDCプロトコルのAPI（HTTP RESTful形式）を通じてユーザーの基本情報を取得できます。
OIDCトークン	OIDCはアプリケーションに対してログインユーザーを代表するアイデンティティトークン、すなわちOIDCトークン（OIDC Token）を発行できます。OIDCトークンはログインユーザーの基本情報を取得するために使用されます。
クライアントID	外部IdPにアプリケーションを登録する際、クライアントID（Client ID）が生成されます。外部IdPからOIDCトークンの発行を申請する場合、このクライアントIDを使用する必要があり、発行されたOIDCトークンはaudフィールドを通じてこのクライアントIDを保持します。OIDC身分プロバイダを作成する際にこのクライアントIDを設定します。その後、OIDCトークンを使用してSTSトークンと交換する場合、Tencent CloudはOIDCトークンのaudフィールドに含まれるクライアントIDとOIDC身分プロバイダに設定されたクライアントIDが一致するかどうかを検証します。一致する場合にのみ、ロール引き受けが許可されます。
フィンガープリント検証	発行者URLが悪意のあるハイジャックや改ざんを受けるのを防ぐため、外部IdPのHTTPS CA証明書から生成される検証用フィンガープリントを設定する必要があります。Tencent Cloudは自動的にこの検証用フィンガープリントを計算するお手伝いをしますが、ローカル環境で自身でも一度計算する（例：OpenSSLを使用したフィンガープリント計算）ことをお勧めします。Tencent Cloudが計算したフィンガープリントと比較し、異なる場合は発行者URLが攻撃を受けている可能性があるため、必ず再度確認の上、正しいフィンガープリントを入力してください。
身分プロバイダ URL	OpenID Connect身分プロバイダ識別子。身分プロバイダが提供するOpenID Connectメタデータドキュメント内の「issuer」フィールドの値に対応します。
マッピングフィールド	OpenID Connect身分プロバイダにおいてTencent Cloud CAMサブユーザー名とマッピングされるフィールドです。身分プロバイダが提供するOpenID Connectメタデータドキュメントの"claims_supported"の値から選択可能で、この例ではnameフィールドを使用してCAMのusernameとマッピングします。
署名公開鍵	OpenID Connect身分プロバイダのIDトークン署名を検証するための公開鍵です。身分プロバイダが提供するOpenID Connectメタデータ文書内の「jwks_uri」フィールドのリンク先の内容（ブラウザでリンクを開いて内容を取得）に対応します。お客様のアカウントセキュリティのため、署名公開鍵を定期的にローテーションすることをお勧めします。

SSO方式	SP開始のSSO	IdP主導のSSO	サブユーザーアカウントとパスワードによるログイン	IdPと複数のTencent Cloudアカウントを一回の設定で連携	複数のIdP
ユーザー SSO	対応	対応	非対応	非対応	非対応
ロール SSO	非対応	対応	対応	対応	対応