メニュー
AWS Identity and Access Management
ユーザーガイド

証明書利用者の信頼およびクレームの追加によって SAML 2.0 IdP を設定する

IAM で SAML プロバイダーおよび SAML アクセスのロールを作成する場合、ID プロバイダー(IdP)の詳細とそのユーザーが許可されているアクションについて、AWS に通知することになります。次のステップでは、IdP に対し、サービスプロバイダーとしての AWS について通知します。これは、IdP と AWS の関係に対する証明書利用者の信頼の追加と呼ばれます。証明書利用者の信頼を追加するための正確なプロセスは、使用する IdP によって異なります。詳細については、使用している ID 管理ソフトウェアのドキュメントを参照してください。

多くの IdP が URL の指定を許可しています。IdP はこの URL から、証明書利用者の情報と証明書が含まれる XML ドキュメントを読み取ることができます。AWS については、https://signin.aws.amazon.com/static/saml-metadata.xml を使用できます。

URL を直接指定できない場合は、XML ドキュメントを前述の URL からダウンロードし、ダウンロードした XML ドキュメントを IdP ソフトウェアにインポートします。

また、IdP で、AWS を証明書利用者として指定する適切なクレームルールを作成する必要があります。IdP が AWS エンドポイントに対して SAML レスポンスを送信する場合、これには 1 つ以上のクレームを持つ SAML アサーションが含まれます。クレームとは、ユーザーとそのグループに関する情報です。クレームルールはその情報を SAML 属性にマッピングします。これにより、AWS が IAM ポリシー内でフェデレーションユーザーの権限を確認するのに必要な属性が、IdP からの SAML 認証レスポンスに確実に含まれます。詳細については、次のトピックを参照してください。