AWS Identity and Access Management
ユーザーガイド

OpenID Connect(OIDC)ID プロバイダーの作成

IAM OIDC ID プロバイダーOpenID Connect (OIDC) 標準 (例: Google または Salesforce) をサポートする ID プロバイダー (IdP) サービスを表す IAM のエンティティです。OIDC 互換 IdP と AWS アカウントの間で信頼性を確立するときに IAM OIDC ID プロバイダーを使用します。このプロバイダーは、AWS リソースへのアクセスを必要とするモバイルアプリやウェブアプリケーションを作成するときに、カスタムサインインコードの作成や独自のユーザー ID の管理をしない場合に役立ちます。このシナリオの詳細については、「ウェブ ID フェデレーションについて」を参照してください。

IAM OIDC ID プロバイダーは、AWS マネジメントコンソール、AWS Command Line Interface、Tools for Windows PowerShell、または IAM API を使用して作成および管理できます。

OIDC プロバイダーの作成と管理 (コンソール)

AWS マネジメントコンソール で IAM OIDC ID プロバイダーを作成および管理するには、次の手順に従います。

IAM OIDC ID プロバイダーを作成するには (コンソール)

  1. IAM OIDC ID プロバイダーを作成する前に、アプリケーションを IdP に登録してクライアント ID を受け取る必要があります。クライアント ID (対象者とも呼ばれます) は、アプリを IdP に登録したときに発行されるアプリの一意の識別子です。クライアント ID を取得する方法の詳細については、IdP のドキュメントを参照してください。

  2. https://console.aws.amazon.com/iam/ にある IAM コンソールを開きます。

  3. ナビゲーションペインで、[ID プロバイダー] を選択し、[プロバイダーの作成] をクリックします。

  4. [プロバイダーのタイプ] で [Choose a provider type] を選択してから、[OpenID Connect] を選択します。

  5. [プロバイダーの URL] には IdP の URL を入力します。URL は次の制限に準拠する必要があります。

    • URL では大文字と小文字は区別されます。

    • URL は https:// で始まる必要があります。

    • URL にはコロン (:) 文字を含むことはできません。このため、ポート番号を指定することはできません。これは、サーバーがデフォルトのポート 443 をリッスンする必要があることを意味します。

    • AWS アカウント内で、IAM の 各 OIDC ID プロバイダーは一意の URL を使用する必要があります。

  6. [対象者] には、IdP に登録して ステップ 1 で受け取ったアプリケーションのクライアント ID を入力します。このアプリケーションは AWS に対するリクエストを実行します。この IdP のクライアント ID (対象者) が他にも存在する場合は、後でプロバイダーの詳細ページで追加できます。[Next Step] を選択します。

  7. [サムプリント] を使用して、IdP のサーバー証明書を検証します。この方法については、「OpenID Connect ID プロバイダーのルート CA サムプリントの取得」を参照してください。[Create] を選択します。

  8. 画面の上部にある確認メッセージで、[Do this now] を選択して [Roles] タブに移動し、この ID プロバイダーのロールを作成します。OIDC ID プロバイダーのロールを作成する方法の詳細については、「サードパーティーの ID プロバイダー (フェデレーション) 用のロールの作成」を参照してください。AWS アカウントにアクセスするには、OIDC ID プロバイダーにロールが必要です。この手順をスキップし、後でロールを作成する場合は、[Close] を選択します。

IAM OIDC ID プロバイダーのサムプリントまたはクライアント ID (対象者) を追加または削除するには (コンソール)

  1. https://console.aws.amazon.com/iam/ にある IAM コンソールを開きます。

  2. ナビゲーションペインで、[ID プロバイダー] をクリックし、更新する IAM ID プロバイダーの名前を選択します。

  3. サムプリントまたは閲覧者を追加するには、[Add a Thumbprint] または [Add an Audience] を選択します。サムプリントまたは閲覧者を削除するには、削除する項目の横にある [削除] を選択します。

    注記

    IAM OIDC ID プロバイダーには少なくとも 1 つのサムプリントが必要であり、最大 5 つのサムプリントを指定できます。OIDC ID プロバイダーには少なくとも 1 名の閲覧者が必要であり、最大 100 名まで指定できます。

    完了したら、[変更の保存] を選択します。

IAM OIDC ID プロバイダーを削除するには (コンソール)

  1. https://console.aws.amazon.com/iam/ にある IAM コンソールを開きます。

  2. ナビゲーションペインで、[ID プロバイダー] を選択します。

  3. 削除する IAM ID プロバイダーの横にあるチェックボックスをオンにします。

  4. [プロバイダーの削除] を選択します。

IAM OIDC ID プロバイダーの作成と管理 (AWS CLI)

以下の AWS CLI コマンドを使用して IAM OIDC ID プロバイダーを作成および管理できます。

IAM OIDC ID プロバイダーを作成するには (AWS CLI)

  1. (オプション) AWS アカウントのすべての IAM OIDC ID プロバイダーを一覧表示するには、次のコマンドを実行します。

  2. 新しい IAM OIDC ID プロバイダーを作成するには、次のコマンドを実行します。

IAM の既存の OIDC ID プロバイダーのサーバー証明書のサムプリントのリストを更新するには (AWS CLI)

IAM の 既存の OIDC ID プロバイダーのクライアント ID を追加または削除するには (AWS CLI)

  1. (オプション) AWS アカウントのすべての IAM OIDC ID プロバイダーのリストを取得するには、次のコマンドを実行します。

  2. (オプション) IAM OIDC ID プロバイダーの詳細情報を取得するには、次のコマンドを実行します。

  3. IAM の 既存の OIDC ID プロバイダーに新しいクライアント ID を追加するには、次のコマンドを実行します。

  4. IAM の 既存の OIDC ID プロバイダーからクライアント ID を削除するには、次のコマンドを実行します。

IAM OIDC ID プロバイダーを削除するには (AWS CLI)

  1. (オプション) AWS アカウントのすべての IAM OIDC ID プロバイダーのリストを取得するには、次のコマンドを実行します。

  2. (オプション) IAM OIDC ID プロバイダーの詳細情報を取得するには、次のコマンドを実行します。

  3. IAM OIDC ID プロバイダーを削除するには、次のコマンドを実行します。

OIDC ID プロバイダーの作成と管理 (AWS API)

以下の IAM API コマンドを使用して OIDC プロバイダーを作成および管理できます。

IAM OIDC ID プロバイダーを作成するには (AWS API)

  1. (オプション) AWS アカウントのすべての IAM OIDC ID プロバイダーのリストを取得するには、次のオペレーションを呼び出します。

  2. 新しい IAM OIDC ID プロバイダーを作成するには、次のオペレーションを呼び出します。

IAM の既存の OIDC ID プロバイダーのサーバー証明書のサムプリントのリストを更新するには (AWS API)

  • IAM OIDC ID プロバイダーのサーバー証明書のサムプリントのリストを更新するには、次のオペレーションを呼び出します。

IAM の 既存の OIDC ID プロバイダーのクライアント ID を追加または削除するには (AWS API)

  1. (オプション) AWS アカウントのすべての IAM OIDC ID プロバイダーのリストを取得するには、次のオペレーションを呼び出します。

  2. (オプション) IAM OIDC ID プロバイダーの詳細情報を取得するには、次のオペレーションを呼び出します。

  3. IAM の 既存の OIDC ID プロバイダーに新しいクライアント ID を追加するには、次のオペレーションを呼び出します。

  4. IAM の 既存の OIDC ID プロバイダーからクライアント ID を削除するには、次のオペレーションを呼び出します。

IAM OIDC ID プロバイダーを削除するには (AWS API)

  1. (オプション) AWS アカウントのすべての IAM OIDC ID プロバイダーのリストを取得するには、次のオペレーションを呼び出します。

  2. (オプション) IAM OIDC ID プロバイダーの詳細情報を取得するには、次のオペレーションを呼び出します。

  3. IAM OIDC ID プロバイダーを削除するには、次のオペレーションを呼び出します。