メニュー
AWS Identity and Access Management
ユーザーガイド

SAML ID プロバイダーの作成

SAML 2.0 ID プロバイダーは、SAML 2.0 (Security Assertion Markup Language 2.0) 基準をサポートする ID プロバイダー (IdP) を記述する IAM のエンティティです。SAML 互換 IdP 間 (Shibboleth や Active Directory フェデレーションサービスと AWS など) の信頼を確立し、組織内のユーザーが AWS リソースにアクセスできるようにする場合は、SAML ID プロバイダーを使用します。IAM の SAML プロバイダーは IAM 信頼ポリシーでプリンシパルとして使用されます。

このシナリオの詳細については、「SAML 2.0 ベースのフェデレーションについて」を参照してください。

SAML ID プロバイダーの作成と管理は、AWS マネジメントコンソール で行うか、AWS CLI、Tools for Windows PowerShell、または AWS API 呼び出しを使用して行うことができます。

SAML プロバイダーを作成した後、IAM ロールを作成する必要があります。ロールは AWS の ID であり、それ自体は(ユーザーのような)認証情報を持ちませんが、ここでは、組織の ID プロバイダー (IdP) によって認証されたフェデレーションユーザーに動的に割り当てられます。このロールで、組織の IdP が AWS にアクセスするための一時的なセキュリティ認証情報をリクエストできるようにします。ロールに割り当てられているポリシーは、フェデレーションユーザーが AWS で実行できることを決定します。SAML フェデレーション用のロールを作成するには、「サードパーティの ID プロバイダー(フェデレーション)用のロールの作成」を参照してください。

ロールを作成した後、最後に AWS およびフェデレーションユーザーが使用するロールに関する情報で IdP を設定し、SAML の信頼を完了します。これを、IdP と AWS 間の証明書利用者の設定といいます。証明書利用者の信頼を設定するには、「証明書利用者の信頼およびクレームの追加によって SAML 2.0 IdP を設定する」を参照してください。

SAML ID プロバイダーの作成と管理(AWS マネジメントコンソール)

AWS マネジメントコンソール​を使用して、SAML ID プロバイダーの作成および削除を行うことができます。

SAML ID プロバイダーを作成するには

  1. SAML ID プロバイダーを作成するには、IdP から取得した SAML メタデータドキュメントが必要です。この SAML メタデータドキュメントには、発行者の名前、失効情報、およびキーが含まれており、これらを使用して、IdP から受け取った SAML 認証応答(アサーション)を検証できます。メタデータドキュメントを生成するには、組織の IdP として使用されている ID 管理ソフトウェアを使用します。必要な SAML メタデータドキュメントの生成方法を含め、使用可能な多くの IdP を AWS と連携するように設定するステップについては、「サードパーティの SAML ソリューションプロバイダーと AWS の統合」を参照してください。

    重要

    メタデータファイルはバイトオーダーマーク (BOM) なしで UTF-8 形式でエンコードする必要があります。また、SAML メタデータドキュメントの一部として含まれている x.509 証明書では、少なくとも 1024 ビットのキーサイズを使用する必要があります。キーサイズがこれより小さい場合、IdP の作成は「メタデータを解析できない」エラーで失敗します。BOM を削除するには、Notepad++ などのテキスト編集ツールを使用して UTF-8 としてファイルをエンコードできます。

  2. AWS マネジメントコンソール にサインインし、IAM コンソール(https://console.aws.amazon.com/iam/)を開きます。

  3. ナビゲーションペインで、[Identity Providers] をクリックし、[Create Provider] をクリックします。

  4. [Provider Type] では、[Choose a provider type] をクリックし、[SAML] をクリックします。

  5. ID プロバイダーの名前を入力します。

  6. [Metadata Document] では、[Choose File] をクリックし、「ステップ 1」でダウンロードした SAML メタデータドキュメントを指定して、[Open] をクリックします。[Next Step] をクリックします。

  7. 入力した情報を確認して、[Create] をクリックします。

SAML プロバイダーを削除するには

  1. AWS マネジメントコンソール にサインインし、IAM コンソール(https://console.aws.amazon.com/iam/)を開きます。

  2. ナビゲーションペインで、[Identity Providers] をクリックします。

  3. 削除する ID プロバイダーの横にあるチェックボックスをオンにします。

  4. [Delete Providers] をクリックします。

SAML プロバイダーの管理(AWS CLI、Tools for Windows PowerShell および AWS API)

SAML プロバイダーを作成して管理するには、以下のコマンドを使用します。

ID プロバイダーを作成し、メタデータドキュメントをアップロードするには

IdP 用の新しいメタデータドキュメントをアップロードするには

ARN、作成日、失効情報など、特定のプロバイダーに関する情報を取得するには

ARN、作成日、失効情報など、すべての IdP の情報を表示するには

IdP を削除するには