ユーザー ID 信頼プロバイダー

AWS IAM Identity Center あるいは、OpenID Connect 互換のユーザー ID 信頼プロバイダーのどちらを使用するかを選択できます。

IAM アイデンティティセンターを信頼プロバイダーとして使用

AWS Verified Access では、ユーザー ID 信頼プロバイダーとしてAWS IAM Identity Centerを使用できます。

前提条件と考慮事項

IAM アイデンティティセンターのインスタンスは AWS Organizations インスタンスでなければなりません。スタンドアロンの AWS アカウントの IAM アイデンティティセンターインスタンスは機能しません。
IAM アイデンティティセンターインスタンスは、Verified Access 信頼プロバイダーを作成する AWS リージョンと同じリージョンで有効にする必要があります。

さまざまなインスタンスタイプの詳細については、AWS IAM Identity Center ユーザーガイドの「IAM アイデンティティセンターの組織とアカウントインスタンスの管理」を参照してください。

IAM アイデンティティセンター信頼プロバイダーの作成

AWS アカウントで IAM アイデンティティセンターが有効になると、以下の手順に従って IAM アイデンティティセンターを Verified Access の信頼プロバイダーとして設定できます。

IAM アイデンティティセンターの信頼プロバイダーを作成するには (AWSコンソール)

Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。
ナビゲーションペインで、「 Verified Access 信頼プロバイダー」を選択し、[ Verified Access 信頼プロバイダーの作成] を選択します。
(オプション) [名前タグ] と [説明] に、信頼プロバイダーの名前と説明を入力します。
[ポリシー参照名] には、後でポリシールールを利用するときに使用する識別子を入力します。
[信頼プロバイダのタイプ] で、[ユーザー信頼プロバイダー] を選択します。
[ユーザー信頼プロバイダのタイプ] で [IAM アイデンティティセンター] を選択します。
(オプション) タグを追加するには、[新しいタグを追加] を選択し、そのタグのキーと値を入力します。
[ Verified Access 信頼プロバイダーの作成] を選択します。

IAM アイデンティティセンターの信頼プロバイダー (AWSCLI) を作成するには

create-verified-access-trust-provider (AWS CLI)

IAM アイデンティティセンターの信頼プロバイダーの削除

信頼プロバイダーを削除する前に、信頼プロバイダーが添付されているインスタンスからすべてのエンドポイントとグループ設定を削除する必要があります。

IAM アイデンティティセンターの信頼プロバイダーを削除するには（AWS コンソール）

Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。
ナビゲーションペインで [ Verified Access 信頼プロバイダー] を選択し、[ Verified Access 信頼プロバイダー] で削除する信頼プロバイダーを選択します。
「アクション」、「 Verified Access 信頼プロバイダの削除」の順に選択します。
テキストボックスに「delete」と入力して削除を確定します。
[Delete] (削除) を選択します。

IAM アイデンティティセンターの信頼プロバイダーを削除するには（AWS CLI）

delete-verified-access-trust-provider (AWS CLI)

OpenID Connect 信頼プロバイダーの使用

AWS Verified Access は、標準の OpenID Connect（OIDC）メソッドを使用する ID プロバイダーをサポートします。Vefiried Access では、OIDC 互換プロバイダーをユーザー ID 信頼プロバイダーとして使用できます。ただし、可能性のある OIDC プロバイダーは多岐にわたるため、AWS では Verified Access と各 OIDC との統合をテストすることはできません。

Verified Access は、評価対象のトラストデータを OIDC プロバイダーの UserInfo Endpoint から取得します。この Scope パラメータは、検索するトラストデータのセットを決定するために使用されます。トラストデータを受信すると、Verified Access ポリシーがそのデータに対して評価されます。

注記

Verified Access は、Verified Access ポリシーを評価する際に OIDC プロバイダーにより送信された ID token からのトラストデータを使用しません。UserInfo Endpoint からのトラストデータのみがポリシーに照らして評価されます。

OIDC 信頼プロバイダーを作成するための前提条件

信頼プロバイダーサービスから次の情報を直接収集する必要があります。

Issuer
認可エンドポイント
トークンエンドポイント
UserInfo エンドポイント
クライアント ID
クライアントシークレット
スコープ

OIDC 信頼プロバイダーの作成

以下の手順に従って、信頼プロバイダーとして OIDC を作成します。

OIDC 信頼プロバイダーを作成するには (AWS コンソール)

Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。
ナビゲーションペインで、「 Verified Access 信頼プロバイダー」を選択し、[ Verified Access 信頼プロバイダーの作成] を選択します。
(オプション) [名前タグ] と [説明] に、信頼プロバイダーの名前と説明を入力します。
[ポリシー参照名] には、後でポリシールールを利用するときに使用する識別子を入力します。
[信頼プロバイダのタイプ] で、[ユーザー信頼プロバイダー] を選択します。
[ユーザ信頼プロバイダのタイプ] で、[OIDC (OpenID Connect)] を選択します。
[Issuer] には、OIDC 発行者の ID を入力します。
[認証エンドポイント] には、認証エンドポイントの完全な URL を入力します。
[トークンエンドポイント] には、トークンエンドポイントの完全な URL を入力します。
[ユーザーエンドポイント] には、ユーザーエンドポイントの完全な URL を入力します。
[クライアント ID ]に、OAuth 2.0 クライアント ID を入力します。
[クライアントシークレット] に OAuth 2.0 クライアントシークレットを入力します。
ID プロバイダーで定義されている対象範囲のスペースで区切られたリストを入力します。対象範囲には少なくとも「openid」対象範囲が必要です。
(オプション) タグを追加するには、[新しいタグを追加] を選択し、そのタグのキーと値を入力します。
[ Verified Access 信頼プロバイダーの作成] を選択します。

注記

OIDC プロバイダーの許可リストにリダイレクト URI を追加する必要があります。このためは、Verified Access エンドポイントの ApplicationDomain を使用します。これは、Verified Access エンドポイントの [詳細] タブにあるAWS Management Console、または、エンドポイントを説明する AWS CLI を使用して確認できます。OIDC プロバイダーの許可リストに以下を追加してください。https://ApplicationDomain/oauth2/idpresponse

OIDC 信頼プロバイダーを作成するには（AWS CLI）

create-verified-access-trust-provider (AWS CLI)

OIDC 信頼プロバイダーの変更

信頼プロバイダーの作成後、その設定を更新できます。

OIDC 信頼プロバイダーを変更するには (AWS コンソール)

Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。
ナビゲーションペインで [ Verified Access 信頼プロバイダー] を選択し、[ Verified Access 信頼プロバイダー] で変更する信頼プロバイダーを選択します。
[アクション]、[ Verified Access 信頼プロバイダの変更] の順に選択します。
オプションを変更します。
[ Verified Access 信頼プロバイダーの変更] を選択します。

OIDC 信頼プロバイダー (AWSCLI) を変更するには

modify-verified-access-trust-provider (AWS CLI)

OIDC 信頼プロバイダーの削除

ユーザーの信頼プロバイダーを削除する前に、まず信頼プロバイダーが添付されているインスタンスからすべてのエンドポイントとグループ設定を削除する必要があります。

OIDC 信頼プロバイダーを削除するには（AWSコンソール)

Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。
ナビゲーションペインで [ Verified Access 信頼プロバイダー] を選択し、[ Verified Access 信頼プロバイダー] で削除する信頼プロバイダーを選択します。
「アクション」、「 Verified Access 信頼プロバイダの削除」の順に選択します。
テキストボックスに「delete」と入力して削除を確定します。
[Delete] (削除) を選択します。

OIDC 信頼プロバイダーを削除するには (AWS CLI)

delete-verified-access-trust-provider (AWS CLI)

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

信頼プロバイダー

デバイスベース

ユーザー ID 信頼プロバイダー

目次

IAM アイデンティティセンターを信頼プロバイダーとして使用

前提条件と考慮事項

IAM アイデンティティセンター信頼プロバイダーの作成

IAM アイデンティティセンターの信頼プロバイダーを作成するには (AWSコンソール)

IAM アイデンティティセンターの信頼プロバイダー (AWSCLI) を作成するには

IAM アイデンティティセンターの信頼プロバイダーの削除

IAM アイデンティティセンターの信頼プロバイダーを削除するには（AWS コンソール）

IAM アイデンティティセンターの信頼プロバイダーを削除するには（AWS CLI）

OpenID Connect 信頼プロバイダーの使用

注記

目次

OIDC 信頼プロバイダーを作成するための前提条件

OIDC 信頼プロバイダーの作成

OIDC 信頼プロバイダーを作成するには (AWS コンソール)

注記

OIDC 信頼プロバイダーを作成するには（AWS CLI）

OIDC 信頼プロバイダーの変更

OIDC 信頼プロバイダーを変更するには (AWS コンソール)

OIDC 信頼プロバイダー (AWSCLI) を変更するには

OIDC 信頼プロバイダーの削除

OIDC 信頼プロバイダーを削除するには（AWSコンソール)

OIDC 信頼プロバイダーを削除するには (AWS CLI)

ユーザー ID 信頼プロバイダー

目次

IAM アイデンティティセンター を信頼プロバイダーとして使用

前提条件と考慮事項

IAM アイデンティティセンター信頼プロバイダーの作成

IAM アイデンティティセンターの信頼プロバイダーを作成するには (AWSコンソール)

IAM アイデンティティセンターの信頼プロバイダー (AWSCLI) を作成するには

IAM アイデンティティセンターの信頼プロバイダーの削除

IAM アイデンティティセンターの信頼プロバイダーを削除するには（AWS コンソール）

IAM アイデンティティセンターの信頼プロバイダーを削除するには（AWS CLI）

OpenID Connect 信頼プロバイダーの使用

注記

目次

OIDC 信頼プロバイダーを作成するための前提条件

OIDC 信頼プロバイダーの作成

OIDC 信頼プロバイダーを作成するには (AWS コンソール)

注記

OIDC 信頼プロバイダーを作成するには（AWS CLI）

OIDC 信頼プロバイダーの変更

OIDC 信頼プロバイダーを変更するには (AWS コンソール)

OIDC 信頼プロバイダー (AWSCLI) を変更するには

OIDC 信頼プロバイダーの削除

OIDC 信頼プロバイダーを削除するには（AWSコンソール)

OIDC 信頼プロバイダーを削除するには (AWS CLI)

IAM アイデンティティセンターを信頼プロバイダーとして使用