プロダクトの概要

CAMの概要

製品機能

適用シーン

基本概念

使用制限

ユーザータイプ

購入ガイド

クイックスタート

管理者ユーザーを作成する

サブアカウントの作成と権限付与

サブアカウントのコンソールログイン

ユーザーガイド

概要

ユーザー

アクセスキー

ユーザーグループ

ロール

アイデンティティプロバイダー

ポリシー

権限境界

トラブルシューティング

セキュリティ分析レポートのダウンロード

CAM-Enabled Role

Overview

Compute

Container

Microservice

Essential Storage Service

Data Process and Analysis

Data Migration

Relational Database

Enterprise Distributed DBMS

NoSQL Database

Database SaaS Tool

Database SaaS Service

Networking

CDN and Acceleration

Network Security

Data Security

Application Security

Domains & Websites

Big Data

Middleware

Interactive Video Services

Real-Time Interaction

Media On-Demand

Media Process Services

Media Process

Cloud Real-time Rendering

Game Services

Cloud Resource Management

Management and Audit Tools

Developer Tools

Monitor and Operation

CAM-Enabled API

Overview

Compute

Edge Computing

Container

Distributed cloud

Microservice

Serverless

Essential Storage Service

Data Process and Analysis

Data Migration

Relational Database

Enterprise Distributed DBMS

NoSQL Database

Database SaaS Tool

Networking

CDN and Acceleration

Network Security

Endpoint Security

Data Security

Business Security

Application Security

Domains & Websites

Office Collaboration

Big Data

Voice Technology

Image Creation

Tencent Big Model

AI Platform Service

Natural Language Processing

Optical Character Recognition

Middleware

Communication

Interactive Video Services

Real-Time Interaction

Stream Services

Media On-Demand

Media Process Services

Media Process

Cloud Real-time Rendering

Game Services

Education Sevices

Medical Services

Cloud Resource Management

Management and Audit Tools

Developer Tools

Monitor and Operation

実践のチュートリアル

セキュリティの実践チュートリアル

複数アイデンティティ権限管理

Tag下の一部操作権限を付与する

従業員間のリソース分離アクセスのサポート

企業マルチアカウント権限管理

従業員のTencent Cloud操作ログを閲覧する

ABACによる従業員のリソースアクセス権限管理

タグ認証時にタグキーのみマッチをサポート

商用事例

MySQL関連ケース

CLB 関連ケース

CMQ関連ケース

COS 関連ケース

CVM関連ケース

VPC 関連ケース

VOD関連ケース

その他のケース

よくあるご質問

ロール関連問題

キー関連の問題

その他の問題

CAMユーザーと権限の問題

用語一覧

OIDCロールSSOの概要

PDF

フォーカスモード

フォントサイズ

最終更新日: 2025-12-29 17:59:07

OIDC（OpenID Connect）はOAuth 2.0に基づく認証プロトコルであり、Tencent Cloud CAMはOIDCに基づくロールSSOをサポートします。
基本概念
概念
説明
OIDC
OIDC（OpenID Connect）はOAuth 2.0に基づく認証プロトコルです。OAuthは権限付与プロトコルであり、一方でOIDCはOAuthプロトコル上にアイデンティティ層を構築します。OAuthが提供する権限付与機能に加えて、また、クライアントがエンドユーザーの身元を検証できるようにし、およびOIDCプロトコルのAPI（HTTP RESTful形式）を通じてユーザーの基本情報を取得できます。
OIDCトークン（OIDC Token）
OIDCはアプリケーションに対してログインユーザーを代表するアイデンティティトークン、すなわちOIDCトークン（OIDC Token）を発行できます。
OIDCトークンはログインユーザーの基本情報を取得するために使用されます。
一時認証情報
STS（Security Token Service）は、Tencent Cloudが提供する一時的なアクセス権限管理サービスであり、STSを通じてカスタマイズ可能な有効期間とアクセス権限を持つ一時認証情報（STS Token）を取得できます。
発行者のURL
発行者URLは外部のIdPが提供し、OIDCトークンのissフィールド値に対応します。
発行者のURLはhttpsで始まる必要があり、標準URLフォーマットに準拠する必要がありますが、クエリパラメータ（?で識別）、フラグメント（#で識別）、およびログイン情報（@で識別）を含めることはできません。
フィンガープリント検証
発行者URLが悪意のあるハイジャックや改ざんを受けるのを防ぐため、外部IdPのHTTPS CA証明書から生成される検証用フィンガープリントを設定する必要があります。Tencent Cloudは自動的にこの検証用フィンガープリントを計算するお手伝いをしますが、ローカル環境で自身でも一度計算する（例：OpenSSLを使用したフィンガープリント計算）ことをお勧めします。Tencent Cloudが計算したフィンガープリントと比較し、異なる場合は発行者URLが攻撃を受けている可能性があるため、必ず再度確認の上、正しいフィンガープリントを入力してください。
クライアントID（Client ID）
ご利用のアプリケーションを外部IdPに登録する際、クライアントID（Client ID）が生成されます。
外部IdPにOIDCトークンの発行を申請する際は、このクライアントIDを使用する必要があります。発行されたOIDCトークンはaudフィールドを通じてこのクライアントIDを保持します。
OIDC身分プロバイダを作成する際にこのクライアントIDを設定します。その後、OIDCトークンを使用してSTSトークンと交換する際、Tencent CloudはOIDCトークンのaudフィールドに含まれるクライアントIDとOIDC身分プロバイダに設定されたクライアントIDが一致するかどうかを確認します。一致する場合にのみ、ロール引き受けが許可されます。
適用シーン
企業アプリケーションがTencent Cloudに頻繁にアクセスする必要がある場合、固定のアクセスキー（AccessKey）を使用し、かつセキュリティ対策が不十分であると、AccessKeyの漏洩によりセキュリティリスクが生じる可能性があります。この問題を解決するために、一部の企業では、アプリケーションを自社構築またはサードパーティのOIDC対応身分プロバイダ（例：Google G SuiteやOktaなど）に登録し、OIDC身分プロバイダの機能を利用してアプリケーションにOIDCトークン（OIDC Token）を生成させます。このような場合、Tencent Cloud CAMが提供するロールSSO機能を利用することで、企業アプリケーションは保有するOIDCトークンと引き換えにTencent Cloudの一時認証情報（STS Token）を取得し、安全にTencent Cloudリソースにアクセスできます。
さらに、一部の個人開発者や中小企業は、従業員が一部のウェブサイト（例：SNSサイト）に登録した身分を使用してTencent Cloudにログインすることを許可しています。これらのサイトがOIDCトークンの生成をサポートしている場合、Tencent Cloud CAMを使用してOIDCベースのシングルサインオンを実現できます。
基本プロセス
1. 外部IdPでアプリケーションを登録し、アプリケーションのクライアントID（Client ID）を取得します。
2. Tencent Cloud CAMでOIDC身分プロバイダを作成し、Tencent Cloudと外部IdPの信頼関係を設定します。具体的な操作については、OIDC身分プロバイダの作成を参照してください。
3. Tencent Cloud CAMでOIDC身分プロバイダのCAMロールを作成し、CAMロールに権限を付与します。具体的な操作については、OIDC身分プロバイダのCAMロールの作成を参照してください。
4. 外部IdPでOIDCトークン（OIDC Token）を発行します。
5. OIDCトークンを使用してSTSトークンと交換します。具体的な操作については、AssumeRoleWithWebIdentityを参照してください。
6. STS Tokenを使用してTencent Cloudリソースにアクセスします。
設定サンプル
Azure Active Directory による Tencent Cloud シングルサインオンガイド

ヘルプとサポート

この記事はお役に立ちましたか？

営業担当者にお問い合わせいただくかチケットを提出してサポートを求めることができます。

フィードバック

tencent cloud

Cloud Access Management

OIDCロールSSOの概要

基本概念

適用シーン

基本プロセス

設定サンプル

ヘルプとサポート

概念	説明
OIDC	OIDC（OpenID Connect）はOAuth 2.0に基づく認証プロトコルです。OAuthは権限付与プロトコルであり、一方でOIDCはOAuthプロトコル上にアイデンティティ層を構築します。OAuthが提供する権限付与機能に加えて、また、クライアントがエンドユーザーの身元を検証できるようにし、およびOIDCプロトコルのAPI（HTTP RESTful形式）を通じてユーザーの基本情報を取得できます。
OIDCトークン（OIDC Token）	OIDCはアプリケーションに対してログインユーザーを代表するアイデンティティトークン、すなわちOIDCトークン（OIDC Token）を発行できます。 OIDCトークンはログインユーザーの基本情報を取得するために使用されます。
一時認証情報	STS（Security Token Service）は、Tencent Cloudが提供する一時的なアクセス権限管理サービスであり、STSを通じてカスタマイズ可能な有効期間とアクセス権限を持つ一時認証情報（STS Token）を取得できます。
発行者のURL	発行者URLは外部のIdPが提供し、OIDCトークンのissフィールド値に対応します。発行者のURLはhttpsで始まる必要があり、標準URLフォーマットに準拠する必要がありますが、クエリパラメータ（?で識別）、フラグメント（#で識別）、およびログイン情報（@で識別）を含めることはできません。
フィンガープリント検証	発行者URLが悪意のあるハイジャックや改ざんを受けるのを防ぐため、外部IdPのHTTPS CA証明書から生成される検証用フィンガープリントを設定する必要があります。Tencent Cloudは自動的にこの検証用フィンガープリントを計算するお手伝いをしますが、ローカル環境で自身でも一度計算する（例：OpenSSLを使用したフィンガープリント計算）ことをお勧めします。Tencent Cloudが計算したフィンガープリントと比較し、異なる場合は発行者URLが攻撃を受けている可能性があるため、必ず再度確認の上、正しいフィンガープリントを入力してください。
クライアントID（Client ID）	ご利用のアプリケーションを外部IdPに登録する際、クライアントID（Client ID）が生成されます。外部IdPにOIDCトークンの発行を申請する際は、このクライアントIDを使用する必要があります。発行されたOIDCトークンはaudフィールドを通じてこのクライアントIDを保持します。 OIDC身分プロバイダを作成する際にこのクライアントIDを設定します。その後、OIDCトークンを使用してSTSトークンと交換する際、Tencent CloudはOIDCトークンのaudフィールドに含まれるクライアントIDとOIDC身分プロバイダに設定されたクライアントIDが一致するかどうかを確認します。一致する場合にのみ、ロール引き受けが許可されます。