プロダクトの概要
購入ガイド
クイックスタート
ユーザーガイド
- 概要
- ユーザー
- アクセスキー
- ユーザーグループ
- ロール
- アイデンティティプロバイダー
- ポリシー
- 権限境界
- トラブルシューティング
- セキュリティ分析レポートのダウンロード
CAM-Enabled Role
- Overview
- Compute
- Container
- Microservice
- Essential Storage Service
- Data Process and Analysis
- Data Migration
- Relational Database
- Enterprise Distributed DBMS
- NoSQL Database
- Database SaaS Tool
- Database SaaS Service
- Networking
- CDN and Acceleration
- Network Security
- Data Security
- Application Security
- Domains & Websites
- Big Data
- Middleware
- Interactive Video Services
- Real-Time Interaction
- Media On-Demand
- Media Process Services
- Media Process
- Cloud Real-time Rendering
- Game Services
- Cloud Resource Management
- Management and Audit Tools
- Developer Tools
- Monitor and Operation
- More
CAM-Enabled API
- Overview
- Compute
- Edge Computing
- Container
- Distributed cloud
- Microservice
- Serverless
- Essential Storage Service
- Data Process and Analysis
- Data Migration
- Relational Database
- Enterprise Distributed DBMS
- NoSQL Database
- Database SaaS Tool
- Networking
- CDN and Acceleration
- Network Security
- Endpoint Security
- Data Security
- Business Security
- Application Security
- Domains & Websites
- Office Collaboration
- Big Data
- Voice Technology
- Image Creation
- Tencent Big Model
- AI Platform Service
- Natural Language Processing
- Optical Character Recognition
- Middleware
- Communication
- Interactive Video Services
- Real-Time Interaction
- Stream Services
- Media On-Demand
- Media Process Services
- Media Process
- Cloud Real-time Rendering
- Game Services
- Education Sevices
- Medical Services
- Cloud Resource Management
- Management and Audit Tools
- Developer Tools
- Monitor and Operation
- More
実践のチュートリアル
- セキュリティの実践チュートリアル
- 複数アイデンティティ権限管理
- Tag下の一部操作権限を付与する
- 従業員間のリソース分離アクセスのサポート
- 企業マルチアカウント権限管理
- 従業員のTencent Cloud操作ログを閲覧する
- ABACによる従業員のリソースアクセス権限管理
- タグ認証時にタグキーのみマッチをサポート
商用事例
- MySQL関連ケース
- CLB 関連ケース
- CMQ関連ケース
- COS 関連ケース
- CVM関連ケース
- VPC 関連ケース
- VOD関連ケース
- その他のケース
よくあるご質問
用語一覧

OIDCロールSSOの概要

フォーカスモード

フォントサイズ

最終更新日: 2025-12-29 17:59:07

OIDC（OpenID Connect）はOAuth 2.0に基づく認証プロトコルであり、Tencent Cloud CAMはOIDCに基づくロールSSOをサポートします。
基本概念
概念
説明
OIDC
OIDC（OpenID Connect）はOAuth 2.0に基づく認証プロトコルです。OAuthは権限付与プロトコルであり、一方でOIDCはOAuthプロトコル上にアイデンティティ層を構築します。OAuthが提供する権限付与機能に加えて、また、クライアントがエンドユーザーの身元を検証できるようにし、およびOIDCプロトコルのAPI（HTTP RESTful形式）を通じてユーザーの基本情報を取得できます。
OIDCトークン（OIDC Token）
OIDCはアプリケーションに対してログインユーザーを代表するアイデンティティトークン、すなわちOIDCトークン（OIDC Token）を発行できます。
OIDCトークンはログインユーザーの基本情報を取得するために使用されます。
一時認証情報
STS（Security Token Service）は、Tencent Cloudが提供する一時的なアクセス権限管理サービスであり、STSを通じてカスタマイズ可能な有効期間とアクセス権限を持つ一時認証情報（STS Token）を取得できます。
発行者のURL
発行者URLは外部のIdPが提供し、OIDCトークンのissフィールド値に対応します。
発行者のURLはhttpsで始まる必要があり、標準URLフォーマットに準拠する必要がありますが、クエリパラメータ（?で識別）、フラグメント（#で識別）、およびログイン情報（@で識別）を含めることはできません。
フィンガープリント検証
発行者URLが悪意のあるハイジャックや改ざんを受けるのを防ぐため、外部IdPのHTTPS CA証明書から生成される検証用フィンガープリントを設定する必要があります。Tencent Cloudは自動的にこの検証用フィンガープリントを計算するお手伝いをしますが、ローカル環境で自身でも一度計算する（例：OpenSSLを使用したフィンガープリント計算）ことをお勧めします。Tencent Cloudが計算したフィンガープリントと比較し、異なる場合は発行者URLが攻撃を受けている可能性があるため、必ず再度確認の上、正しいフィンガープリントを入力してください。
クライアントID（Client ID）
ご利用のアプリケーションを外部IdPに登録する際、クライアントID（Client ID）が生成されます。
外部IdPにOIDCトークンの発行を申請する際は、このクライアントIDを使用する必要があります。発行されたOIDCトークンはaudフィールドを通じてこのクライアントIDを保持します。
OIDC身分プロバイダを作成する際にこのクライアントIDを設定します。その後、OIDCトークンを使用してSTSトークンと交換する際、Tencent CloudはOIDCトークンのaudフィールドに含まれるクライアントIDとOIDC身分プロバイダに設定されたクライアントIDが一致するかどうかを確認します。一致する場合にのみ、ロール引き受けが許可されます。
適用シーン
企業アプリケーションがTencent Cloudに頻繁にアクセスする必要がある場合、固定のアクセスキー（AccessKey）を使用し、かつセキュリティ対策が不十分であると、AccessKeyの漏洩によりセキュリティリスクが生じる可能性があります。この問題を解決するために、一部の企業では、アプリケーションを自社構築またはサードパーティのOIDC対応身分プロバイダ（例：Google G SuiteやOktaなど）に登録し、OIDC身分プロバイダの機能を利用してアプリケーションにOIDCトークン（OIDC Token）を生成させます。このような場合、Tencent Cloud CAMが提供するロールSSO機能を利用することで、企業アプリケーションは保有するOIDCトークンと引き換えにTencent Cloudの一時認証情報（STS Token）を取得し、安全にTencent Cloudリソースにアクセスできます。
さらに、一部の個人開発者や中小企業は、従業員が一部のウェブサイト（例：SNSサイト）に登録した身分を使用してTencent Cloudにログインすることを許可しています。これらのサイトがOIDCトークンの生成をサポートしている場合、Tencent Cloud CAMを使用してOIDCベースのシングルサインオンを実現できます。
基本プロセス
1. 外部IdPでアプリケーションを登録し、アプリケーションのクライアントID（Client ID）を取得します。
2. Tencent Cloud CAMでOIDC身分プロバイダを作成し、Tencent Cloudと外部IdPの信頼関係を設定します。具体的な操作については、OIDC身分プロバイダの作成を参照してください。
3. Tencent Cloud CAMでOIDC身分プロバイダのCAMロールを作成し、CAMロールに権限を付与します。具体的な操作については、OIDC身分プロバイダのCAMロールの作成を参照してください。
4. 外部IdPでOIDCトークン（OIDC Token）を発行します。
5. OIDCトークンを使用してSTSトークンと交換します。具体的な操作については、AssumeRoleWithWebIdentityを参照してください。
6. STS Tokenを使用してTencent Cloudリソースにアクセスします。
設定サンプル
Azure Active Directory による Tencent Cloud シングルサインオンガイド

ヘルプとサポート

この記事はお役に立ちましたか？

営業担当者にお問い合わせいただくかチケットを提出してサポートを求めることができます。

フィードバック

tencent cloud

Cloud Access Management

OIDCロールSSOの概要

基本概念

適用シーン

基本プロセス

設定サンプル

ヘルプとサポート

概念	説明
OIDC	OIDC（OpenID Connect）はOAuth 2.0に基づく認証プロトコルです。OAuthは権限付与プロトコルであり、一方でOIDCはOAuthプロトコル上にアイデンティティ層を構築します。OAuthが提供する権限付与機能に加えて、また、クライアントがエンドユーザーの身元を検証できるようにし、およびOIDCプロトコルのAPI（HTTP RESTful形式）を通じてユーザーの基本情報を取得できます。
OIDCトークン（OIDC Token）	OIDCはアプリケーションに対してログインユーザーを代表するアイデンティティトークン、すなわちOIDCトークン（OIDC Token）を発行できます。 OIDCトークンはログインユーザーの基本情報を取得するために使用されます。
一時認証情報	STS（Security Token Service）は、Tencent Cloudが提供する一時的なアクセス権限管理サービスであり、STSを通じてカスタマイズ可能な有効期間とアクセス権限を持つ一時認証情報（STS Token）を取得できます。
発行者のURL	発行者URLは外部のIdPが提供し、OIDCトークンのissフィールド値に対応します。発行者のURLはhttpsで始まる必要があり、標準URLフォーマットに準拠する必要がありますが、クエリパラメータ（?で識別）、フラグメント（#で識別）、およびログイン情報（@で識別）を含めることはできません。
フィンガープリント検証	発行者URLが悪意のあるハイジャックや改ざんを受けるのを防ぐため、外部IdPのHTTPS CA証明書から生成される検証用フィンガープリントを設定する必要があります。Tencent Cloudは自動的にこの検証用フィンガープリントを計算するお手伝いをしますが、ローカル環境で自身でも一度計算する（例：OpenSSLを使用したフィンガープリント計算）ことをお勧めします。Tencent Cloudが計算したフィンガープリントと比較し、異なる場合は発行者URLが攻撃を受けている可能性があるため、必ず再度確認の上、正しいフィンガープリントを入力してください。
クライアントID（Client ID）	ご利用のアプリケーションを外部IdPに登録する際、クライアントID（Client ID）が生成されます。外部IdPにOIDCトークンの発行を申請する際は、このクライアントIDを使用する必要があります。発行されたOIDCトークンはaudフィールドを通じてこのクライアントIDを保持します。 OIDC身分プロバイダを作成する際にこのクライアントIDを設定します。その後、OIDCトークンを使用してSTSトークンと交換する際、Tencent CloudはOIDCトークンのaudフィールドに含まれるクライアントIDとOIDC身分プロバイダに設定されたクライアントIDが一致するかどうかを確認します。一致する場合にのみ、ロール引き受けが許可されます。