アプリケーションへのシングルサインオンアクセスを設定する - AWS IAM Identity Center

アプリケーションへのシングルサインオンアクセスを設定する

IAM アイデンティティセンターは、AWS マネージドアプリケーションとカスタマーマネージドアプリケーションの 2 種類のアプリケーションをサポートします。

AWS マネージドアプリケーションは、関連するアプリケーションコンソール内から直接設定するか、アプリケーション API を通じて設定します。

カスタマーマネージドアプリケーションは、IAM アイデンティティセンターコンソールに追加され、IAM アイデンティティセンターおよびサービスプロバイダーの両方で適切なメタデータを設定する必要があります。SAML 2.0 をサポートする、よく使用されるアプリケーションのカタログから選択することも、独自の SAML 2.0 アプリケーションまたは OAuth 2.0 アプリケーションをセットアップすることもできます。

アプリケーションへのシングルサインオンアクセスを設定するための設定手順は、アプリケーションの種類によって異なります。

Amazon Managed Grafana、Amazon Monitron などの AWS マネージドアプリケーションは、IAM Identity Center と統合されています。IAM アイデンティティセンターと連携するように AWS マネージドアプリケーションを設定するには、該当するサービスのコンソールから直接アプリケーションを設定するか、アプリケーション API を使用する必要があります。

IAM アイデンティティセンターコンソールで、よく使用されるアプリケーションのカタログから SAML 2.0 アプリケーションを選択できます。IAM アイデンティティセンターとアプリケーションのサービスプロバイダーとの間で SAML 2.0 の信頼関係を設定するには、以下の手順を実行します。

アプリケーションカタログからアプリケーションをセットアップするには

  1. IAM Identity Center コンソール を開きます。

  2. [Applications] (アプリケーション) を選択します。

  3. [カスタマーマネージド] タブを選択します。

  4. [アプリケーションの追加] を選択します。

  5. [アプリケーションタイプを選択] ページの [セットアッププリファレンス] で、[カタログからアプリケーションを選択したい] を選択します。

  6. [アプリケーションカタログ] で、追加するアプリケーションの名前を検索ボックスに入力し始めます。

  7. 検索結果に表示されたら、一覧からアプリケーションの名前を選択し、[次へ] を選択します。

  8. [アプリケーションを設定] ページの [表示名] と [説明] フィールドには、アプリケーションに関連する詳細があらかじめ入力されています。この情報は編集することができます。

  9. IAM Identity Center」で、以下の作業を行います。

    1. IAM Identity Center SAML メタデータファイルの横にある [ダウンロード] を選択して、ID プロバイダーのメタデータをダウンロードします。

    2. [IAM Identity Center 証明書] の横にある [証明書のダウンロード] を選択して、ID プロバイダーの証明書をダウンロードします。

    注記

    後で、サービスプロバイダーのウェブサイトからアプリケーションを設定するときに、これらのファイルが必要になります。そのプロバイダーからの手順に従います。

  10. (オプション) [アプリケーションプロパティ] の下で、[アプリケーション開始 URL]、[リレー状態]、[セッション期間] を指定できます。詳細については、「IAM Identity Center コンソールのアプリケーションプロパティを理解する」を参照してください。

  11. [Application metadata] (アプリケーションメタデータ) で、以下のいずれかを行います。

    1. メタデータファイルがある場合は、[アプリケーション SAML メタデータファイルをアップロードする] を選択します。次に、[ファイルを選択] を選択してメタデータファイルを検索して選択します。

    2. メタデータファイルがない場合は、[メタデータ値を手動で入力する] を選択して、[アプリケーション ACS URL] および [アプリケーション SAML 対象者] の値を指定します。

  12. [送信] を選択します。追加したアプリケーションの詳細ページが表示されます。

IAM アイデンティティセンターとお客様の SAML 2.0 アプリケーションのサービスプロバイダーとの間で独自の SAML 2.0 の信頼関係を設定するには、以下の手順を実行します。この手順を開始する前に、信頼をより効率的に設定できるように、サービスプロバイダーの証明書とメタデータエクスチェンジファイルがあることを確認してください。

独自の SAML 2.0 アプリケーションを設定するには

  1. IAM Identity Center コンソール を開きます。

  2. [Applications] (アプリケーション) を選択します。

  3. [カスタマーマネージド] タブを選択します。

  4. [アプリケーションの追加] を選択します。

  5. [アプリケーションタイプを選択] ページの [セットアッププリファレンス] で、[セットアップしたいアプリケーションがある] を選択します。

  6. [アプリケーションタイプ] で、[SAML 2.0] を選択します。

  7. [Next] を選択します。

  8. [アプリケーションの設定] ページの [アプリケーションの設定] で、MyApp のようにアプリケーションの [表示名] を入力します。[Description] を入力します。

  9. IAM Identity Center」で、以下の作業を行います。

    1. IAM Identity Center SAML メタデータファイルの横にある [ダウンロード] を選択して、ID プロバイダーのメタデータをダウンロードします。

    2. [IAM アイデンティティセンターの証明書] で、[ダウンロード] を選択して、ID プロバイダーの証明書をダウンロードします。

    注記

    後で、サービスプロバイダーのウェブサイトからカスタムアプリケーションを設定するときに、これらのファイルが必要になります。

  10. (オプション) [アプリケーションプロパティ] の下で、[アプリケーション開始 URL]、[リレー状態]、[セッション期間] も指定できます。詳細については、「IAM Identity Center コンソールのアプリケーションプロパティを理解する」を参照してください。

  11. [アプリケーションメタデータ][メタデータの値を手動で入力] を選択します。次に、[アプリケーション ACS URL] および [アプリケーション SAML 対象者] の値を指定します。

  12. [送信] を選択します。追加したアプリケーションの詳細ページが表示されます。

アプリケーションの設定が完了したら、ユーザーは割り当てたアクセス許可に基づき、AWS アクセスポータルからアプリケーションにアクセスできます。

OAuth 2.0 をサポートするカスタマーマネージドアプリケーションがあり、ユーザーがこれらのアプリケーションから AWS サービスにアクセスする必要がある場合、信頼できる ID の伝播を使用できます。信頼できる ID の伝播を使用すると、ユーザーはアプリケーションにサインインでき、そのアプリケーションは AWS サービス内のデータにアクセスするためのリクエストでユーザーの ID を渡すことができます。詳細については、「カスタマーマネージドアプリケーションによる信頼できる ID の伝播の使用」を参照してください。

サポートされているアプリケーションのタイプの詳細については、「アプリケーションアクセス」を参照してください。