AWS Identity and Access Management
ユーザーガイド

SAML ID プロバイダーの作成

SAML 2.0 ID プロバイダーは、SAML 2.0 (Security Assertion Markup Language 2.0) 基準をサポートする ID プロバイダー (IdP) を記述する IAM のエンティティです。SAML 互換 IdP 間 (Shibboleth や Active Directory フェデレーションサービスと AWS など) の信頼を確立し、組織内のユーザーが AWS リソースにアクセスできるようにする場合は、SAML ID プロバイダーを使用します。IAM の SAML プロバイダーは IAM 信頼ポリシーでプリンシパルとして使用されます。

このシナリオの詳細については、「SAML 2.0 ベースのフェデレーションについて」を参照してください。

SAML ID プロバイダーの作成と管理は、AWS マネジメントコンソール で行うか、AWS CLI、Tools for Windows PowerShell、または AWS API コールを使用して行うことができます。

SAML プロバイダーを作成した後、IAM ロールを作成する必要があります。ロールは AWS のアイデンティティであり、それ自体には (ユーザーのような) 認証情報がありません。しかし、この例で、ロールが動的に割り当てられるフェデレーティッドユーザーは、組織の ID プロバイダー (IdP) から認証されます。このロールで、組織の IdP が AWS にアクセスするための一時的なセキュリティ認証情報をリクエストできるようにします。ロールに割り当てられているポリシーは、フェデレーティッドユーザーが AWS で実行できることを決定します。SAML フェデレーション用のロールを作成するには、「サードパーティーの ID プロバイダー (フェデレーション) 用のロールの作成」を参照してください。

ロールを作成した後、最後に AWS およびフェデレーティッドユーザーが使用するロールに関する情報で IdP を設定し、SAML の信頼を完了します。これを、IdP と AWS 間の証明書利用者の設定といいます。証明書利用者の信頼を設定するには、「証明書利用者の信頼およびクレームの追加によって SAML 2.0 IdP を設定する」を参照してください。

SAML ID プロバイダーの作成と管理 (コンソール)

AWS マネジメントコンソール​を使用して、SAML ID プロバイダーの作成および削除を行うことができます。

SAML ID プロバイダーを作成するには (コンソール)

  1. SAML ID プロバイダーを作成する前に、IdP から SAML メタデータドキュメントを取得する必要があります。このドキュメントには、発行者名、失効情報、およびキーが含まれており、これらを使用して IdP から受け取った SAML 認証レスポンス (アサーション) を検証できます。メタデータドキュメントを生成するには、組織の IdP として使用されている ID 管理ソフトウェアを使用します。必要な SAML メタデータドキュメントの生成方法を含め、使用可能な多くの IdP を AWS と連携するように設定するステップについては、「サードパーティの SAML ソリューションプロバイダーと AWS の統合」を参照してください。

    重要

    メタデータファイルはバイトオーダーマーク (BOM) なしで UTF-8 形式でエンコードする必要があります。また、SAML メタデータドキュメントの一部として含まれている x.509 証明書では、少なくとも 1024 ビットのキーサイズを使用する必要があります。キーサイズがこれより小さい場合、IdP の作成は「メタデータを解析できない」エラーで失敗します。BOM を削除するには、Notepad++ などのテキスト編集ツールを使用して UTF-8 としてファイルをエンコードできます。

  2. AWS マネジメントコンソール にサインインし、IAM コンソール(https://console.aws.amazon.com/iam/)を開きます。

  3. ナビゲーションペインで、[ID プロバイダー]、[プロバイダの作成] の順にクリックします。

  4. [プロバイダーのタイプ] では、[プロバイダーのタイプを選択する]、[SAML] の順にクリックします。

  5. ID プロバイダーの名前を入力します。

  6. [メタデータドキュメント] では、[ファイルの選択] をクリックし、「ステップ 1」でダウンロードした SAML メタデータドキュメントを指定して、[Open (開く)] をクリックします。[Next Step] をクリックします。

  7. 入力した情報を確認して、[作成] をクリックします。

SAML プロバイダーを削除するには (コンソール)

  1. AWS マネジメントコンソール にサインインし、IAM コンソール(https://console.aws.amazon.com/iam/)を開きます。

  2. ナビゲーションペインで、[ID プロバイダー] をクリックします。

  3. 削除する ID プロバイダーの横にあるチェックボックスをオンにします。

  4. [プロバイダの削除] をクリックします。

SAML プロバイダーの作成と管理 (AWS CLI)

AWS CLI を使用して SAML プロバイダーを作成および管理できます。

ID プロバイダーを作成してメタデータドキュメントをアップロードするには (AWS CLI)

SAML ID プロバイダーの新規メタデータドキュメントをアップロードするには (AWS CLI)

SAML ID プロバイダーを削除するには (AWS CLI)

  1. (オプション) すべての IdP に関する ARN、作成日、失効などの情報を表示するには、次のコマンドを実行します。

  2. (オプション) 特定のプロバイダーに関する ARN、作成日、失効などの情報を表示するには、次のコマンドを実行します。

  3. IdP を削除するには、次のコマンドを実行します。

SAML プロバイダーの作成と管理 (AWS API)

AWS API を使用して SAML プロバイダーを作成および管理できます。

ID プロバイダーを作成してメタデータドキュメントをアップロードするには (AWS API)

SAML ID プロバイダーの新規メタデータドキュメントをアップロードするには (AWS API)

SAML ID プロバイダーを削除するには (AWS API)

  1. (オプション) すべての IdP に関する ARN、作成日、失効などの情報を表示するには、次のオペレーションを呼び出します。

  2. (オプション) 特定のプロバイダーに関する ARN、作成日、失効などの情報を表示するには、次のオペレーションを呼び出します。

  3. IdP を削除するには、次のオペレーションを呼び出します。