2.0 SAML を設定し、 WorkSpaces プールディレクトリを作成する - Amazon WorkSpaces
ステップ 1: 要件を検討するステップ 2: 前提条件を完了させるステップ 3: で SAML ID プロバイダーを作成する IAMステップ 4: WorkSpace プールディレクトリを作成するステップ 5: 2.0 SAML フェデレーションIAMロールを作成するステップ 6: 2.0 ID SAML プロバイダーを設定するステップ 7: SAML認証レスポンスのアサーションを作成するステップ 8: フェデレーションのリレーステートを設定するステップ 9: WorkSpace プールディレクトリで SAML 2.0 との統合を有効にする

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

2.0 SAML を設定し、 WorkSpaces プールディレクトリを作成する

2.0 を使用して ID フェデレーションを設定することで、 WorkSpaces クライアントアプリケーションの登録と WorkSpaces プール WorkSpaces 内の SAML へのサインインを有効にできます。これを行うには、 を使用します。 AWS Identity and Access Management (IAM) ロールとリレーステートURLを使用して 2.0 ID SAML プロバイダー (IdP) を設定し、 に対して有効にします。 AWS。 これにより、フェデレーティッドユーザーは WorkSpace プールディレクトリにアクセスできるようになります。リレーステートは、 に正常にサインインした後にユーザーが転送される WorkSpaces ディレクトリエンドポイントです。 AWS.

トピック

ステップ 1: 要件を検討する

WorkSpaces プールディレクトリSAMLをセットアップするときは、次の要件が適用されます。

  • workspaces_DefaultRole IAM ロールは に存在する必要があります AWS アカウント。このロールは、 WorkSpaces 高速セットアップを使用する場合、または WorkSpace を使用して を以前に起動した場合に自動的に作成されます。 AWS Management Console。 特定の へのアクセス許可を Amazon WorkSpaces に付与します。 AWS ユーザーに代わって リソース。ロールが既に存在する場合は、Amazon が の必要なリソースにアクセスするために使用する マネージドポリシー WorkSpaces をアタッチ AmazonWorkSpacesPoolServiceAccessする必要がある場合があります。 AWS WorkSpaces プールの アカウント。詳細については、「workspaces_DefaultRole Role を作成する」および「AWS マネージドポリシー: AmazonWorkSpacesPoolServiceAccess」を参照してください。

  • で WorkSpaces プールSAMLの 2.0 認証を設定できます。 AWS リージョン 機能をサポートする 。詳細については、「AWS リージョン WorkSpaces プールの とアベイラビリティーゾーン」を参照してください。

  • で SAML2.0 認証を使用するには WorkSpaces、IdP はディープリンクターゲットリソースまたはリレーステートエンドポイント SSOで開始された未承諾 IdP をサポートする必要がありますURL。これ IdPs をサポートする の例には、ADFS、Azure AD、 Single Sign-On、Okta PingFederate、 などがあります PingOne。詳細については、IdP のユーザードキュメントを参照してください。

  • SAML 2.0 認証は、次の WorkSpaces クライアントでのみサポートされています。最新の WorkSpaces クライアントについては、「Amazon WorkSpaces Client Download」ページを参照してください。

    • Windows クライアントアプリケーションバージョン 5.20.0 以降

    • macOS クライアントバージョン 5.20.0 以降

    • Web Access

ステップ 2: 前提条件を完了させる

WorkSpaces プールディレクトリへの 2.0 SAML IdP 接続を設定する前に、次の前提条件を満たしてください。

  • との信頼関係を確立するように IdP を設定する AWS.

  • 「サードパーティーSAMLソリューションプロバイダーと の統合」を参照してください。 AWS の設定の詳細については、「」を参照してください。 AWS フェデレーション。関連する例には、 にアクセスIAMするための IdP と の統合が含まれます。 AWS Management Console.

  • IdP を使用して、組織を IdP として定義するフェデレーションメタデータドキュメントを生成し、ダウンロードします。この署名付きXMLドキュメントは、証明書利用者の信頼を確立するために使用されます。このファイルは、後でIAMコンソールからアクセスできる場所に保存します。

  • WorkSpaces コンソールを使用して WorkSpaces プールディレクトリを作成します。詳細については、「 WorkSpaces プールでの Active Directory の使用」を参照してください。

  • サポートされているディレクトリタイプを使用して IdP にサインインできるユーザーの WorkSpaces プールを作成します。詳細については、「 WorkSpaces プールを作成する」を参照してください。

ステップ 3: で SAML ID プロバイダーを作成する IAM

開始するには、 で SAML IdP を作成する必要がありますIAM。この IdP は、組織の IdP を から に定義します。AWS 組織内の IdP ソフトウェアによって生成されたメタデータドキュメントを使用した信頼関係。詳細については、「」のSAML「ID プロバイダーの作成と管理」を参照してください。 AWS Identity and Access Management ユーザーガイド。での の使用の詳細については、SAML IdPs 「」を参照してください。 AWS GovCloud (US) Regions、「」を参照してください。 AWS Identity and Access Management ()AWS GovCloud (US) ユーザーガイド

ステップ 4: WorkSpace プールディレクトリを作成する

WorkSpaces プールディレクトリを作成するには、次の手順を実行します。

  1. で WorkSpaces コンソールを開きますhttps://console.aws.amazon.com/workspaces/

  2. ナビゲーションペインでディレクトリを選択します。

  3. [Create directory] (ディレクトリの作成) を選択します。

  4. WorkSpace タイプ でプール を選択します。

  5. ページの「ユーザー ID ソース」セクションで、次の操作を行います。

    1. ユーザーアクセスURLテキストボックスにプレースホルダー値を入力します。例えば、テキストボックスplaceholderに と入力します。これは、IdP でアプリケーションの使用権限を設定した後で編集します。

    2. リレーステートパラメータ名テキストボックスは空白のままにします。これは、IdP でアプリケーションの使用権限を設定した後で編集します。

  6. ページのディレクトリ情報セクションに、ディレクトリの名前と説明を入力します。ディレクトリ名と説明は 128 文字未満にする必要があります。英数字と次の特殊文字を含めることができます: _ @ # % * + = : ? . / ! \ -。ディレクトリ名と説明は特殊文字で始めることはできません。

  7. ページのネットワークとセキュリティセクションで、次の操作を行います。

    1. アプリケーションに必要なネットワークリソースにアクセスできる サブネットVPCと 2 つのサブネットを選択します。耐障害性を高めるには、異なるアベイラビリティーゾーンで 2 つのサブネットを選択する必要があります。

    2. でネットワークリンクの作成 WorkSpaces を許可するセキュリティグループを選択しますVPC。セキュリティグループは、 から WorkSpaces へのフローを許可するネットワークトラフィックを制御しますVPC。例えば、セキュリティグループがすべてのインバウンドHTTPS接続を制限している場合、ウェブポータルにアクセスするユーザーは からHTTPSウェブサイトをロードできません WorkSpaces。

  8. Active Directory Config セクションはオプションです。ただし、 WorkSpaces プールで AD を使用する予定がある場合は、プールディレクトリの作成時に Active Directory (AD) WorkSpaces の詳細を指定する必要があります。 WorkSpaces プールディレクトリの作成後に、そのディレクトリの Active Directory Config を編集することはできません。 WorkSpaces プールディレクトリの AD の詳細を指定する方法の詳細については、「」を参照してください WorkSpaces プールディレクトリの Active Directory の詳細を指定する。そのトピックで説明されているプロセスが完了したら、このトピックに戻って WorkSpaces プールディレクトリの作成を完了する必要があります。

    WorkSpaces プールで AD を使用する予定がない場合は、Active Directory Config セクションをスキップできます。

  9. ページのストリーミングプロパティセクションで、次の操作を行います。

    • クリップボードのアクセス許可の動作を選択し、ローカル文字数制限 (オプション) にコピーを入力し、リモートセッション文字数制限 (オプション) に貼り付けます。

    • ローカルデバイスへの印刷を許可するか許可しないかを選択します。

    • 診断ログを許可するか許可しないかを選択します。

    • スマートカードサインインを許可するか許可しないかを選択します。この機能は、この手順の前半で AD 設定を有効にした場合にのみ適用されます。

  10. ページの ストレージ セクションで、ホームフォルダを有効にすることを選択できます。

  11. ページの IAMロール セクションで、すべてのデスクトップストリーミングインスタンスで使用できる IAMロールを選択します。新しいロールを作成するには、新しいIAMロールの作成 を選択します。

    アカウントから WorkSpace プールディレクトリに IAMロールを適用すると、 AWS API 手動で管理せずに WorkSpace プール WorkSpace 内の から リクエスト AWS 認証情報。詳細については、「 のIAMユーザーに許可を委任するロールの作成」を参照してください。 AWS Identity and Access Management ユーザーガイド

  12. [Create directory] (ディレクトリの作成) を選択します。

ステップ 5: 2.0 SAML フェデレーションIAMロールを作成する

IAM コンソールで 2.0 SAML フェデレーションIAMロールを作成するには、次の手順を実行します。

  1. でIAMコンソールを開きますhttps://console.aws.amazon.com/iam/

  2. ナビゲーションペインで [ロール] を選択します。

  3. [Create role] を選択します。

  4. 信頼されたエンティティタイプの SAML 2.0 フェデレーションを選択します。

  5. SAML 2.0 ベースのプロバイダーの場合は、 で作成した ID プロバイダーを選択しますIAM。詳細については、「 で SAML ID プロバイダーを作成するIAM」を参照してください。

  6. プログラムによるアクセスのみを許可する を選択します。

  7. 属性に SAML:aud を選択します。

  8. [] に「https://signin.aws.amazon.com/saml」と入力します。この値は、 の値を持つSAMLサブジェクトタイプアサーションを含むSAMLユーザーストリーミングリクエストへのロールアクセスを制限しますpersistent。SAML:sub_type が永続的である場合、IdP は特定のユーザーからのすべてのSAMLリクエストで NameID要素に同じ一意の値を送信します。詳細については、「 の SAMLベースのフェデレーションでユーザーを一意に識別する」を参照してください。 AWS Identity and Access Management ユーザーガイド

  9. [次へ] を選択して続行します。

  10. アクセス許可の追加ページで変更や選択を行わないでください。[次へ] を選択して続行します。

  11. ロールの名前と説明を入力します。

  12. [ロールの作成] を選択します。

  13. ロール ページで、作成する必要があるロールを選択します。

  14. [信頼関係] タブを選択します。

  15. [信頼ポリシーを編集] を選択します。

  16. 「信頼ポリシーの編集JSON」テキストボックスで、sts:TagSession アクションを信頼ポリシーに追加します。詳細については、「 でのセッションタグの受け渡し」を参照してください。AWS STSのAWS Identity and Access Management ユーザーガイド

    結果は次の例のようになります。

    信頼ポリシーの例。

  17. [ポリシーの更新] を選択します。

  18. [アクセス許可] タブを選択します。

  19. ページの「アクセス許可ポリシー」セクションで「アクセス許可を追加」を選択し、「インラインポリシーの作成」を選択します。

  20. ページのポリシーエディタセクションで、 を選択しますJSON

  21. ポリシーエディタのJSONテキストボックスに、次のポリシーを入力します。必ず以下を置き換えてください。

    • <region-code> のコードを含む AWS WorkSpace プールディレクトリを作成したリージョン。

    • <account-id> と AWS アカウント ID。

    • <directory-id> は、前に作成したディレクトリの ID で指定します。これは コンソールで WorkSpaces取得できます。

    のリソースの場合 AWS GovCloud (US) Regions、 には次の形式を使用しますARN: arn:aws-us-gov:workspaces:<region-code>:<account-id>:directory/<directory-id>

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "workspaces:Stream",
            "Resource": "arn:aws:workspaces:<region-code>:<account-id>:directory/<directory-id>",
            "Condition": {
                "StringEquals": {"workspaces:userId": "${saml:sub}"}
            }
        }
    ]
}

  22. [Next (次へ)] を選択します。

  23. ポリシーの名前を入力し、[Create policy] (ポリシーの作成) を選択します。

ステップ 6: 2.0 ID SAML プロバイダーを設定する

2.0 SAML IdP によっては、信頼するように IdP を手動で更新する必要がある場合があります。 AWS サービスプロバイダーとして。これを行うには、https://signin.aws.amazon.com/static/saml-metadata.xml にあるsaml-metadata.xmlファイルをダウンロードし、IdP にアップロードします。これにより、IdP のメタデータが更新されます。

一部の では IdPs、更新が既に設定されている可能性があります。既に設定されている場合は、このステップをスキップできます。更新が IdP でまだ設定されていない場合は、IdP が提供するドキュメントでメタデータを更新する方法を確認してください。一部のプロバイダーでは、URLXMLファイルの をダッシュボードに入力するオプションが提供されており、IdP がファイルを取得してインストールします。それ以外の場合は、 からファイルをダウンロードしURL、ダッシュボードにアップロードする必要があります。

重要

現時点では、IdP のユーザーに IdP で設定したアプリケーションへのアクセス WorkSpacesを許可することもできます IdP 。ディレクトリの WorkSpaces アプリケーションへのアクセスが許可されているユーザーには、 WorkSpace自動的に が作成されません。同様に、 が WorkSpace 作成されたユーザーは、 WorkSpaces アプリケーションへのアクセスを自動的に許可されません。2.0 認証 WorkSpace を使用して SAML に正常に接続するには、ユーザーが IdP によって承認され、 WorkSpace が作成されている必要があります。

ステップ 7: SAML認証レスポンスのアサーションを作成する

IdP が に送信する情報を設定する AWS を認証レスポンスのSAML属性として指定します。IdP によっては、これは既に設定されている可能性があります。既に設定されている場合は、このステップをスキップできます。まだ設定されていない場合は、以下を指定します。

  • SAML Subject NameID — サインインしているユーザーの一意の識別子。このフィールドの形式/値は変更しないでください。そうしないと、ホームフォルダ機能は期待どおりに動作しません。これは、ユーザーが別のユーザーとして扱われるためです。

    注記

    ドメインに参加している WorkSpaces プールの場合、ユーザーのNameID値は、 を使用するdomain\username形式sAMAccountName、 を使用するusername@domain.com形式userPrincipalName、または のみの形式で指定する必要がありますuserNamesAMAccountName 形式を使用している場合は、NetBIOS 名または完全修飾ドメイン名 () を使用してドメインを指定できますFQDN。Active Directory の一方向信頼シナリオには、 sAMAccountName形式が必要です。詳細については、「」を参照してください WorkSpaces プールでの Active Directory の使用userName を指定すると、ユーザーはプライマリドメインにログインします。

  • SAML サブジェクトタイプ (値を に設定persistent — IdP が特定のユーザーからのすべてのSAMLリクエストで NameID要素に対して同じ一意の値を送信するpersistentように 値を設定します。ステップ 5: 2.0 SAML フェデレーションIAMロールを作成する 「」セクションで説明されているようにpersistent、 が SAMLsub_typeに設定されているSAMLリクエストのみを許可する条件がIAMポリシーに含まれていることを確認してください。

  • Attribute Name 属性が https://aws.amazon.com/SAML/Attributes/Role に設定された 要素 — この要素には、ユーザーが IdP SAML によってマッピングされるIAMロールと IdP を一覧表示する 1 つ以上のAttributeValue要素が含まれています。ロールと IdP は、カンマで区切られた のペアとして指定されますARNs。予期される値の例は arn:aws:iam::<account-id>:role/<role-name>,arn:aws:iam::<account-id>:saml-provider/<provider-name> です。

  • Attribute Name 属性が https://aws.amazon.com/SAML/Attributes/ に設定されている 要素RoleSessionName — この要素には、 の識別子を提供する 1 つの AttributeValue 要素が含まれます。 AWS に対して発行される一時的な認証情報SSO。AttributeValue 要素の値は 2~64 文字で、英数字と次の特殊文字を含めることができます: _ . : / = + - @。スペースを含めることはできません。値は通常、E メールアドレスまたはユーザープリンシパル名 () ですUPN。ユーザーの表示名のように、スペースを含む値とすることはできません。

  • Attribute Name 属性が https://aws.amazon.com/SAML/Attributes/PrincipalTag:Email に設定されている 要素 — この要素には、ユーザーの E メールアドレスを提供する AttributeValue 要素が 1 つ含まれています。値は、 WorkSpaces ディレクトリで定義されている WorkSpaces ユーザーの E メールアドレスと一致する必要があります。タグ値には、文字、数字、スペース、および_ . : / = + - @文字の組み合わせを含めることができます。詳細については、「 IAMおよび でのタグ付けのルール」を参照してください。 AWS STS ()AWS Identity and Access Management ユーザーガイド

  • (オプション) Attribute Name 属性が https://aws.amazon.com/SAML/Attributes/PrincipalTag:UserPrincipalName — この要素には、サインインしているユーザーの Active Directory を提供する AttributeValue 要素が userPrincipalName 1 つ含まれています。値は 形式で指定する必要がありますusername@domain.com。このパラメータは、証明書ベースの認証で、エンドユーザー証明書のサブジェクト代替名として使用します。詳細については、「証明書ベースの認証」を参照してください。

  • (オプション) Attribute Name 属性が https://aws.amazon.com/SAML/Attributes/PrincipalTag:ObjectSid (オプション) に設定されている 要素 — この要素には、サインインしているユーザーの Active Directory セキュリティ識別子 (SID) を提供する AttributeValue要素が 1 つ含まれています。このパラメータを証明書ベースの認証で使用すると、Active Directory ユーザーへの強力なマッピングが可能になります。詳細については、「証明書ベースの認証」を参照してください。

  • (オプション) Attribute Name 属性が https://aws.amazon.com/SAML/Attributes/PrincipalTag:Domain に設定された 要素 — この要素には、Active Directory DNSの完全修飾ドメイン名 (FQDN) をユーザーがサインインできるようにする 1 つの AttributeValue 要素が含まれています。このパラメータは、ユーザーの Active Directory userPrincipalName に代替サフィックスが含まれている場合に、証明書ベースの認証で使用されます。値は 形式で指定しdomain.com、サブドメインを含める必要があります。

  • (オプション) Attribute Name 属性が https://aws.amazon.com/SAML/Attributes/ に設定されている 要素SessionDuration — この要素には、ユーザーのフェデレーティッドストリーミングセッションが、再認証が必要になる前にアクティブのままになる最大時間を指定する 1 つのAttributeValue要素が含まれています。デフォルト値は3600秒 (60 分) です。詳細については、「」のSAML SessionDurationAttribute「」を参照してください。 AWS Identity and Access Management ユーザーガイド

    注記

    SessionDuration はオプションの属性ですが、SAMLレスポンスに含めることをお勧めします。この属性を指定しない場合、セッション期間はデフォルト値の 3600秒 (60 分) に設定されます。 WorkSpaces デスクトップセッションは、セッション期間が終了すると切断されます。

これらの要素を設定する方法の詳細については、「」の「認証レスポンスのSAMLアサーションの設定」を参照してください。 AWS Identity and Access Management ユーザーガイド 。IdP の特定の設定要件に関する詳細は、IdP のドキュメントを参照してください。

ステップ 8: フェデレーションのリレーステートを設定する

IdP を使用して、 WorkSpaces プールディレクトリのリレーステート を指すようにフェデレーションのリレーステートを設定しますURL。による認証が成功した後 AWS、ユーザーは WorkSpaces プールディレクトリエンドポイントに誘導され、SAML認証レスポンスのリレー状態として定義されます。

リレーステートURL形式は次のとおりです。


https://relay-state-region-endpoint/sso-idp?registrationCode=registration-code

次の表に、 のリレーステートエンドポイントを示します。 AWS 2.0 WorkSpaces SAML 認証が利用可能なリージョン。 AWS WorkSpaces プール機能が使用できないリージョンは削除されました。

リージョン リレーステートのエンドポイント
米国東部 (バージニア北部) リージョン workspaces.euc-sso.us-east-1.aws.amazon.com
米国西部 (オレゴン) リージョン workspaces.euc-sso.us-west-2.aws.amazon.com
アジアパシフィック (ムンバイ) リージョン workspaces.euc-sso.ap-south-1.aws.amazon.com
アジアパシフィック (ソウル) リージョン workspaces.euc-sso.ap-northeast-2.aws.amazon.com
アジアパシフィック (シンガポール) リージョン workspaces.euc-sso.ap-southeast-1.aws.amazon.com
アジアパシフィック (シドニー) リージョン workspaces.euc-sso.ap-southeast-2.aws.amazon.com
アジアパシフィック (東京) リージョン workspaces.euc-sso.ap-northeast-1.aws.amazon.com
カナダ (中部) リージョン workspaces.euc-sso.ca-central-1.aws.amazon.com
欧州 (フランクフルト) リージョン workspaces.euc-sso.eu-central-1.aws.amazon.com
欧州 (アイルランド) リージョン workspaces.euc-sso.eu-west-1.aws.amazon.com
欧州 (ロンドン) リージョン workspaces.euc-sso.eu-west-2.aws.amazon.com
南米 (サンパウロ) リージョン workspaces.euc-sso.sa-east-1.aws.amazon.com
AWS GovCloud (米国西部) workspaces.euc-sso.us-gov-west-1amazonaws-us-gov..com
注記

での の使用の詳細については、SAML IdPs 「」を参照してください。 AWS GovCloud (US) Regions、「」の「Amazon WorkSpaces」を参照してください。 AWS GovCloud (米国) ユーザーガイド

AWS GovCloud (米国東部) workspaces.euc-sso.us-gov-east-1amazonaws-us-gov..com
注記

での の使用の詳細については、SAML IdPs 「」を参照してください。 AWS GovCloud (US) Regions、「」の「Amazon WorkSpaces」を参照してください。 AWS GovCloud (米国) ユーザーガイド

ステップ 9: WorkSpace プールディレクトリで SAML 2.0 との統合を有効にする

WorkSpaces プールディレクトリの 2.0 SAML 認証を有効にするには、次の手順を実行します。

  1. で WorkSpaces コンソールを開きますhttps://console.aws.amazon.com/workspaces/

  2. ナビゲーションペインでディレクトリを選択します。

  3. プールディレクトリタブを選択します。

  4. 編集するディレクトリの ID を選択します。

  5. ページの認証セクションで編集を選択します。

  6. 2.0 ID SAML プロバイダーの編集 を選択します

  7. 「」と呼ばれるSSOことがあるユーザーアクセス URLの場合URL、プレースホルダー値を IdP によってSSOURL提供された に置き換えます。

  8. IdP ディープリンクパラメータ名 には、IdP と設定したアプリケーションに適用されるパラメータを入力します。パラメータ名を省略RelayStateすると、デフォルト値は になります。

    次の表に、アプリケーションのさまざまな ID プロバイダーに固有のユーザーアクセスURLsとディープリンクパラメータ名を示します。

    ID プロバイダー パラメータ ユーザーアクセス URL
    ADFS RelayState https://<host>/adfs/ls/idpinitiatedsignon.aspx?RelayState=RPID=<relaying-party-uri>
    Azure AD RelayState https://myapps.microsoft.com/signin/<app-id>?tenantId=<tenant-id>
    Duo Single Sign-On RelayState https://<sub-domain>.sso.duosecurity.com/saml2/sp/<app-id>/sso
    Okta RelayState https://<sub-domain>.okta.com/app/<app-name>/<app-id>/sso/saml
    OneLogin RelayState https://<sub-domain>.onelogin.com/trust/saml2/http-post/sso/<app-id>
    JumpCloud RelayState https://sso.jumpcloud.com/saml2/<app-id>
    Auth0 RelayState https://<default-tenant-name>.us.auth0.com/samlp/<client-id>
    PingFederate TargetResource https://<host>/idp/startSSO.ping?PartnerSpId=<sp-id>
    PingOne エンタープライズ向け TargetResource https://sso.connect.pingidentity.com/sso/sp/initsso?saasid=<app-id>&idpid=<idp-id>

  9. [Save] を選択します。