アプリケーションへのシングルサインオンアクセスを設定する - AWS IAM Identity Center

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

アプリケーションへのシングルサインオンアクセスを設定する

IAM Identity Center は、 AWS マネージドアプリケーションとカスタマーマネージドアプリケーションの 2 種類のアプリケーションをサポートしています

AWS 管理対象アプリケーションは、関連するアプリケーションコンソール内から直接、またはアプリケーション API を通じて設定されます。

カスタマーマネージドアプリケーションは、IAM アイデンティティセンターコンソールに追加され、IAM アイデンティティセンターおよびサービスプロバイダーの両方で適切なメタデータを設定する必要があります。SAML 2.0 をサポートする、よく使用されるアプリケーションのカタログから選択することも、独自の SAML 2.0 アプリケーションまたは OAuth 2.0 アプリケーションをセットアップすることもできます。

アプリケーションへのシングルサインオンアクセスを設定するための設定手順は、アプリケーションの種類によって異なります。

AWS Amazon Managed Grafana や Amazon Monitron などのマネージドアプリケーションは IAM アイデンティティセンターと統合されており、認証やディレクトリサービスに使用できます。IAM Identity Center AWS と連携するようにマネージドアプリケーションを設定するには、該当するサービスのコンソールから直接アプリケーションを設定するか、アプリケーション API を使用する必要があります。

IAM アイデンティティセンターコンソールで、よく使用されるアプリケーションのカタログから SAML 2.0 アプリケーションを選択できます。IAM アイデンティティセンターとアプリケーションのサービスプロバイダーとの間で SAML 2.0 の信頼関係を設定するには、以下の手順を実行します。

アプリケーションカタログからアプリケーションをセットアップするには

  1. IAM Identity Center コンソール を開きます。

  2. [Applications] (アプリケーション) を選択します。

  3. [カスタマーマネージド] タブを選択します。

  4. [アプリケーションの追加] を選択します。

  5. [アプリケーションタイプを選択] ページの [セットアッププリファレンス] で、[カタログからアプリケーションを選択したい] を選択します。

  6. [アプリケーションカタログ] で、追加するアプリケーションの名前を検索ボックスに入力し始めます。

  7. 検索結果に表示されたら、一覧からアプリケーションの名前を選択し、[次へ] を選択します。

  8. [アプリケーションを設定] ページの [表示名] と [説明] フィールドには、アプリケーションに関連する詳細があらかじめ入力されています。この情報は編集することができます。

  9. IAM Identity Center」で、以下の作業を行います。

    1. IAM Identity Center SAML メタデータファイルの横にある [ダウンロード] を選択して、ID プロバイダーのメタデータをダウンロードします。

    2. [IAM Identity Center 証明書] の横にある [証明書のダウンロード] を選択して、ID プロバイダーの証明書をダウンロードします。

    注記

    後で、サービスプロバイダーのウェブサイトからアプリケーションを設定するときに、これらのファイルが必要になります。そのプロバイダーからの手順に従います。

  10. (オプション) [アプリケーションプロパティ] の下で、[アプリケーション開始 URL]、[リレー状態]、[セッション期間] を指定できます。詳細については、「IAM アイデンティティセンターコンソールのアプリケーションプロパティを設定する」を参照してください。

  11. [Application metadata] (アプリケーションメタデータ) で、以下のいずれかを行います。

    1. メタデータファイルがある場合は、[アプリケーション SAML メタデータファイルをアップロードする] を選択します。次に、[ファイルを選択] を選択してメタデータファイルを検索して選択します。

    2. メタデータファイルがない場合は、[メタデータ値を手動で入力する] を選択して、[アプリケーション ACS URL] および [アプリケーション SAML 対象者] の値を指定します。

  12. [送信] を選択します。追加したアプリケーションの詳細ページが表示されます。

IAM アイデンティティセンターとお客様の SAML 2.0 アプリケーションのサービスプロバイダーとの間で独自の SAML 2.0 の信頼関係を設定するには、以下の手順を実行します。この手順を開始する前に、信頼をより効率的に設定できるように、サービスプロバイダーの証明書とメタデータエクスチェンジファイルがあることを確認してください。

独自の SAML 2.0 アプリケーションを設定するには

  1. IAM Identity Center コンソール を開きます。

  2. [Applications] (アプリケーション) を選択します。

  3. [カスタマーマネージド] タブを選択します。

  4. [アプリケーションの追加] を選択します。

  5. [アプリケーションタイプを選択] ページの [セットアッププリファレンス] で、[セットアップしたいアプリケーションがある] を選択します。

  6. [アプリケーションタイプ] で、[SAML 2.0] を選択します。

  7. [次へ] を選択します。

  8. [アプリケーションの設定] ページの [アプリケーションの設定] で、MyApp のようにアプリケーションの [表示名] を入力します。[Description] を入力します。

  9. IAM Identity Center」で、以下の作業を行います。

    1. IAM Identity Center SAML メタデータファイルの横にある [ダウンロード] を選択して、ID プロバイダーのメタデータをダウンロードします。

    2. [IAM アイデンティティセンターの証明書] で、[ダウンロード] を選択して、ID プロバイダーの証明書をダウンロードします。

    注記

    後で、サービスプロバイダーのウェブサイトからカスタムアプリケーションを設定するときに、これらのファイルが必要になります。

  10. (オプション) [アプリケーションプロパティ] の下で、[アプリケーション開始 URL]、[リレー状態]、[セッション期間] も指定できます。詳細については、「IAM アイデンティティセンターコンソールのアプリケーションプロパティを設定する」を参照してください。

  11. [アプリケーションメタデータ] で [メタデータの値を手動で入力] を選択します。次に、[アプリケーション ACS URL] および [アプリケーション SAML 対象者] の値を指定します。

  12. [送信] を選択します。追加したアプリケーションの詳細ページが表示されます。

アプリケーションを設定すると、 AWS ユーザーは割り当てた権限に基づいてアクセスポータル内からアプリケーションにアクセスできます。

OAuth 2.0 をサポートするカスタマー管理アプリケーションがあり、 AWS ユーザーがそれらのアプリケーションからサービスにアクセスする必要がある場合、トラステッド ID プロパゲーションを使用できます。Trusted ID Propagation を使用すると、ユーザーはアプリケーションにサインインでき、そのアプリケーションはサービス内のデータにアクセスするためのリクエストでユーザーの ID を渡すことができます。 AWS 詳細については、「カスタマーマネージドアプリケーションによる信頼できる ID の伝播の使用」を参照してください。

サポートされているアプリケーションのタイプの詳細については、「アプリケーションへのアクセスの管理」を参照してください。