IAM SAML ID プロバイダーの作成 - AWS Identity and Access Management

IAM SAML ID プロバイダーの作成

IAM SAML 2.0 ID プロバイダーは、SAML 2.0 (Security Assertion Markup Language 2.0) 基準をサポートする外部 ID プロバイダー (IdP) を記述する IAM のエンティティです。SAML 互換 IdP 間 (Shibboleth か Active Directory フェデレーションサービスと AWS など) の信頼を確立し、組織内のユーザーが AWS リソースにアクセスできるようにする場合は、IAM ID プロバイダーを使用します。IAM の SAML プロバイダーは IAM 信頼ポリシーでプリンシパルとして使用されます。

このシナリオの詳細については、「SAML 2.0 ベースのフェデレーションについて」を参照してください。

IAM ID プロバイダーの作成と管理は、AWS Management Console、AWS CLI、Tools for Windows PowerShell、または AWS API コールを使用して行うことができます。

SAML プロバイダーを作成した後、IAM ロールを作成する必要があります。ロールは AWS のアイデンティティであり、それ自体には (ユーザーのような) 認証情報がありません。しかし、この例で、ロールが動的に割り当てられるフェデレーティッドユーザーは、組織の IdP から認証されます。このロールで、組織の IdP が AWS にアクセスするための一時的なセキュリティ認証情報をリクエストできるようにします。ロールに割り当てられているポリシーは、フェデレーティッドユーザーが AWS で実行できることを決定します。SAML フェデレーション用のロールを作成するには、「サードパーティー ID プロバイダー (フェデレーション) 用のロールの作成」を参照してください。

ロールを作成した後、最後に AWS およびフェデレーティッドユーザーが使用するロールに関する情報で IdP を設定し、SAML の信頼を完了します。これを、IdP と AWS 間の証明書利用者の設定といいます。証明書利用者の信頼を設定するには、「証明書利用者の信頼およびクレームの追加によって SAML 2.0 IdP を設定する」を参照してください。

IAM ID プロバイダーの作成と管理 (コンソール)

IAM SAML ID プロバイダーを作成および削除するには、AWS Management Console を使用します。

IAM SAML ID プロバイダーを作成するには (コンソール)

  1. SAML ID プロバイダーを作成する前に、IdP から取得した IAM SAML メタデータドキュメントが必要です。このドキュメントには発行者の名前、失効情報、およびキーが含まれており、これらを使用して、IdP から受け取った SAML 認証レスポンス (アサーション) を検証できます。メタデータドキュメントを生成するには、組織の IdP として使用されている ID 管理ソフトウェアを使用します。必要な SAML メタデータドキュメントの生成方法を含め、使用可能な多くの IdP を AWS と連携するように設定するステップについては、「サードパーティーの SAML ソリューションプロバイダーと AWS の統合」を参照してください。

    重要

    メタデータファイルはバイトオーダーマーク (BOM) なしで UTF-8 形式でエンコードする必要があります。また、SAML メタデータドキュメントの一部として含まれている X.509 証明書では、少なくとも 1024 ビットのキーサイズを使用する必要があります。キーサイズがこれより小さい場合、IdP の作成は「メタデータを解析できない」エラーで失敗します。BOM を削除するには、Notepad++ などのテキスト編集ツールを使用して UTF-8 としてファイルをエンコードできます。

  2. AWS Management Console にサインインし、IAM コンソール(https://console.aws.amazon.com/iam/)を開きます。

  3. ナビゲーションペインで、[Identity providers] (ID プロバイダー) を選択し、[Add provider] (プロバイダーを追加) を選択します。

  4. [Configure provider] (プロバイダーの設定) で、[SAML] を選択します。

  5. ID プロバイダーの名前を入力します。

  6. [Metadata document] (メタデータドキュメント) で、[Choose file] (ファイルを選択) を選択し、ステップ 1 でダウンロードした SAML メタデータドキュメントを指定します。

  7. (オプション) [タグの追加] では、キーと値のペアを追加して IdP の特定と整理を行うことができます。タグを使用して、AWS リソースへのアクセスを制御することもできます。SAML ID プロバイダーのタグ付けの詳細については、「IAM SAML ID プロバイダーのタグ付け」を参照してください。

    [Add tag] を選択します。タグキーと値のペアごとに値を入力します。

  8. 入力した情報を確認します。完了したら、[Add provider] (プロバイダーを追加) を選択します。

  9. ID プロバイダーに IAM ロールを割り当てて、ID プロバイダーによって管理される外部ユーザー ID にアカウント内の AWS リソースへのアクセス許可を与えます。ID フェデレーション用のロールの作成の詳細については、「サードパーティー ID プロバイダー (フェデレーション) 用のロールの作成」をご参照ください。

SAML プロバイダーを削除するには (コンソール)

  1. AWS Management Console にサインインし、IAM コンソール(https://console.aws.amazon.com/iam/)を開きます。

  2. ナビゲーションペインで、[Identity providers (ID プロバイダー)] を選択します。

  3. 削除する ID プロバイダーの横にあるラジオボタンをオンにします。

  4. [削除] を選択します。新しいウィンドウが開きます。

  5. フィールドに単語 delete を入力して、プロバイダーを削除することを確認します。その後、[Delete] (削除) を選択します。

IAM SAML ID プロバイダーの作成と管理 (AWS CLI)

AWS CLI を使用して SAML プロバイダーを作成および管理できます。

IAM ID プロバイダーを作成する前に、IdP から取得した SAML メタデータドキュメントが必要です。このドキュメントには発行者の名前、失効情報、およびキーが含まれており、これらを使用して、IdP から受け取った SAML 認証レスポンス (アサーション) を検証できます。メタデータドキュメントを生成するには、組織の IdP として使用されている ID 管理ソフトウェアを使用します。必要な SAML メタデータドキュメントの生成方法を含め、使用可能な多くの IdP を AWS と連携するように設定するステップについては、「サードパーティーの SAML ソリューションプロバイダーと AWS の統合」を参照してください。

重要

メタデータファイルはバイトオーダーマーク (BOM) なしで UTF-8 形式でエンコードする必要があります。また、SAML メタデータドキュメントの一部として含まれている X.509 証明書では、少なくとも 1024 ビットのキーサイズを使用する必要があります。キーサイズがこれより小さい場合、IdP の作成は「メタデータを解析できない」エラーで失敗します。BOM を削除するには、Notepad++ などのテキスト編集ツールを使用して UTF-8 としてファイルをエンコードできます。

IAM ID プロバイダーを作成してメタデータドキュメントをアップロードするには (AWS CLI)

IAM ID プロバイダーの新規メタデータドキュメントをアップロードするには (AWS CLI)

既存の IAM ID プロバイダー (AWS CLI) にタグを付けるには

既存の IAM ID プロバイダー (AWS CLI) のタグを一覧表示するには

既存の IAM ID プロバイダー (AWS CLI) のタグを削除するには

既存の IAM ID プロバイダー (AWS CLI) にタグを付けるには

既存の IAM ID プロバイダー (AWS CLI) のタグを一覧表示するには

既存の IAM ID プロバイダー (AWS CLI) のタグを削除するには

IAM SAML ID プロバイダーを削除するには (AWS CLI)

  1. (オプション) すべてのプロバイダーに関する ARN、作成日、失効などの情報を表示するには、次のコマンドを実行します。

  2. (オプション) 特定のプロバイダーに関する ARN、作成日、失効などの情報を表示するには、次のコマンドを実行します。

  3. IAM ID プロバイダーを削除するには、次のコマンドを実行します。

IAM SAML ID プロバイダーの作成と管理 (AWS API)

AWS API を使用して SAML プロバイダーを作成および管理できます。

IAM ID プロバイダーを作成する前に、IdP から取得した SAML メタデータドキュメントが必要です。このドキュメントには発行者の名前、失効情報、およびキーが含まれており、これらを使用して、IdP から受け取った SAML 認証レスポンス (アサーション) を検証できます。メタデータドキュメントを生成するには、組織の IdP として使用されている ID 管理ソフトウェアを使用します。必要な SAML メタデータドキュメントの生成方法を含め、使用可能な多くの IdP を AWS と連携するように設定するステップについては、「サードパーティーの SAML ソリューションプロバイダーと AWS の統合」を参照してください。

重要

メタデータファイルはバイトオーダーマーク (BOM) なしで UTF-8 形式でエンコードする必要があります。また、SAML メタデータドキュメントの一部として含まれている X.509 証明書では、少なくとも 1024 ビットのキーサイズを使用する必要があります。キーサイズがこれより小さい場合、IdP の作成は「メタデータを解析できない」エラーで失敗します。BOM を削除するには、Notepad++ などのテキスト編集ツールを使用して UTF-8 としてファイルをエンコードできます。

IAM ID プロバイダーを作成してメタデータドキュメントをアップロードするには (AWS API)

IAM ID プロバイダーの新規メタデータドキュメントをアップロードするには (AWS API)

既存の IAM ID プロバイダーにタグを付けるには (AWS API)

既存の IAM ID プロバイダーのタグを一覧表示するには (AWS API)

既存の IAM ID プロバイダーのタグを削除するには (AWS API)

既存の IAM ID プロバイダーにタグを付けるには (AWS API)

既存の IAM ID プロバイダーのタグを一覧表示するには (AWS API)

既存の IAM ID プロバイダーのタグを削除するには (AWS API)

IAM ID プロバイダーを削除するには (AWS API)

  1. (オプション) すべての IdP に関する ARN、作成日、失効などの情報を表示するには、次のオペレーションを呼び出します。

  2. (オプション) 特定のプロバイダーに関する ARN、作成日、失効などの情報を表示するには、次のオペレーションを呼び出します。

  3. IdP を削除するには、次のオペレーションを呼び出します。