メニュー
AWS Identity and Access Management
ユーザーガイド

OpenID Connect(OIDC)ID プロバイダーの作成

OIDC ID プロバイダーOpenID Connect (OIDC)標準をサポートする ID プロバイダー(IdP)サービスを記述する IAM のエンティティです。OIDC 互換 IdP(Google、Salesforce など)と AWS アカウント間の信頼を確立するときに、OIDC ID プロバイダーを使用します。OIDC プロバイダーは、AWS リソースへのアクセスを必要とするモバイルアプリやウェブアプリケーションを作成するときに、カスタムサインインコードを作成したり、独自のユーザー ID を管理したりしたくない場合に役立ちます。このシナリオの詳細については、「ウェブ ID フェデレーションについて」を参照してください。

OIDC ID プロバイダーは、AWS マネジメントコンソール、AWS Command Line Interface、Tools for Windows PowerShell、または IAM API を使用して作成および管理できます。

OIDC プロバイダーの作成と管理(AWS マネジメントコンソール)

AWS マネジメントコンソールで OIDC プロバイダを作成および管理するには、次の手順に従います。

OIDC ID プロバイダーを作成するには

  1. IAM で OIDC ID プロバイダーを作成する前に、アプリケーションを IdP に登録してクライアント ID を受け取る必要があります。クライアント ID(閲覧者とも呼ばれます)は、アプリケーションを IdP に登録したときに発行されるアプリケーションの一意の識別子です。クライアント ID を取得する方法の詳細については、IdP のドキュメントを参照してください。

  2. https://console.aws.amazon.com/iam/ にある IAM コンソールを開きます。

  3. ナビゲーションペインで、[Identity Providers] をクリックし、[Create Provider] をクリックします。

  4. [Provider Type] で [Choose a provider type] をクリックしてから、[OpenID Connect] を選択します。

  5. [Provider URL] には IdP の URL を入力します。 URL は次の制限に準拠する必要があります。

    • URL では大文字と小文字は区別されます。

    • URL は「https://」から始まる必要があります。

    • URL にはコロン (:) 文字を含むことはできません。このため、ポート番号を指定することはできません。これは、サーバーがデフォルトのポート 443 をリッスンする必要があることを意味します。

    • AWS アカウント内で、各 OIDC ID プロバイダーは一意の URL を使用する必要があります。

  6. [Audience] には、IdP に登録して ステップ 1 で受け取ったアプリケーションのクライアント ID を入力します。このアプリケーションは AWS に対するリクエストを実行します。この IdP のクライアント ID (閲覧者)が他にも存在する場合は、後でプロバイダーの詳細ページで追加できます。[Next Step] をクリックします。

  7. [Thumbprint] を使用して、IdP のサーバー証明書を検証します。この方法については、「OpenID Connect ID プロバイダーのサムプリントの取得」を参照してください。[Create] をクリックします。

  8. 画面の上部にある確認メッセージで、[Do this now] をクリックして [Roles] タブに移動し、この ID プロバイダーのロールを作成します。OIDC ID プロバイダーのロールを作成する方法の詳細については、「サードパーティの ID プロバイダー(フェデレーション)用のロールの作成」を参照してください。AWS アカウントにアクセスするには、OIDC ID プロバイダーにロールが必要です。この手順をスキップし、後でロールを作成する場合は、[Close] をクリックします。

OIDC ID プロバイダーのサムプリントまたはクライアント ID(閲覧者)を追加または削除するには

  1. https://console.aws.amazon.com/iam/ にある IAM コンソールを開きます。

  2. ナビゲーションペインで、[Identity Providers] をクリックし、更新する ID プロバイダーの名前をクリックします。

  3. サムプリントまたは閲覧者を追加するには、[Add a Thumbprint] または [Add an Audience] をクリックします。サムプリントまたは閲覧者を削除するには、削除する項目の横にある [Remove] をクリックします。

    注記

    OIDC ID プロバイダーには少なくとも 1 つのサムプリントが必要であり、最大 5 つ指定できます。OIDC ID プロバイダーには少なくとも 1 つの閲覧者が必要であり、最大 100 まで指定できます。

    終了したら、[Save Changes] をクリックします。

OIDC ID プロバイダーを削除するには

  1. https://console.aws.amazon.com/iam/ にある IAM コンソールを開きます。

  2. ナビゲーションペインで、[Identity Providers] をクリックします。

  3. 削除する ID プロバイダーの横にあるチェックボックスをオンにします。

  4. [Delete Providers] をクリックします。

OIDC ID プロバイダーの作成と管理(AWS CLI、Tools for Windows PowerShell、および IAM API)

OIDC プロバイダーを作成して管理するには、以下のコマンドを使用します。

新しい OIDC プロバイダーを作成する場合

既存の OIDC プロバイダーに新しいクライアント ID を追加する場合

既存の OIDC プロバイダーからクライアント ID を削除する場合

既存の OIDC プロバイダーのサーバー証明書のサムプリントのリストを更新する場合

AWS アカウントのすべての OIDC プロバイダーのリストを取得するには

OIDC プロバイダーの詳細情報を取得する場合

OIDC プロバイダーを削除するには