信頼できるトークン発行者の設定 - AWS IAM Identity Center
管理者の役割と責任の調整信頼できるトークン発行者を設定するタスク信頼できるトークン発行者を IAM Identity Center コンソールに追加する方法IAM Identity Center コンソールで信頼されたトークン発行者設定を表示または編集する方法信頼できるトークン発行者を使用するアプリケーションのセットアッププロセスおよびリクエストフロー

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

信頼できるトークン発行者の設定

IAM Identity Center に外部で認証するアプリケーションの信頼できる ID 伝達を有効にするには、1 人以上の管理者が信頼できるトークン発行者を設定する必要があります。信頼できるトークン発行者は、リクエストを開始するアプリケーション (アプリケーションの要求) にトークンを発行する OAuth 2.0 認証サーバーです。トークンは、これらのアプリケーションがユーザーに代わって受信アプリケーション ( AWS サービス) へのリクエストを開始することを承認します。

管理者の役割と責任の調整

場合によっては、単独の管理者が、信頼できるトークン発行者の設定に必要なすべてのタスクを実行することもあります。複数の管理者がこれらのタスクを実行する場合は、緊密な調整が必要です。次の表は、複数の管理者が連携して信頼できるトークン発行者を設定し、それを使用するように AWS サービスを設定する方法を示しています。

注記

アプリケーションは Identity IAM Center と統合され、信頼できる ID 伝達をサポートする任意の AWS サービスにすることができます。

詳細については、「信頼できるトークン発行者を設定するタスク」を参照してください。

[Role] (ロール) これらのタスクを実行する コーディネートする
IAM Identity Center 管理者

信頼できるトークン発行者として外部 IdP を IAM Identity Center コンソールに追加します。

IAM Identity Center と外部 IdP 間の正しい属性マッピングの設定に役立ちます。

信頼できるトークン発行者が IAM Identity Center コンソールに追加されると、 AWS サービス管理者に通知します。

外部 IdP (信頼できるトークン発行者) 管理者

AWS サービス管理者
外部 IdP (信頼できるトークン発行者) 管理者

トークンを発行するように外部 IdP を設定します。

IAM Identity Center と外部 IdP 間の正しい属性マッピングの設定に役立ちます。

対象者名 (Aud 要求) を AWS サービス管理者に提供します。

IAM Identity Center 管理者

AWS サービス管理者
AWS サービス管理者

信頼できるトークン発行者の AWS サービスコンソールをチェックします。信頼できるトークン発行者は、IAMアイデンティティセンター管理者がIAMアイデンティティセンターコンソールに追加した後、 AWS サービスコンソールに表示されます。

信頼できるトークン発行者を使用するように AWS サービスを設定します。

IAM Identity Center 管理者

外部 IdP (信頼できるトークン発行者) 管理者

信頼できるトークン発行者を設定するタスク

信頼できるトークン発行者を設定するには、IAMIdentity Center 管理者、外部 IdP (信頼できるトークン発行者) 管理者、およびアプリケーション管理者が以下のタスクを完了する必要があります。

注記

アプリケーションは、IAMアイデンティティセンターと統合され、信頼できるアイデンティティの伝達をサポートする任意の AWS サービスにすることができます。

  1. 信頼できるトークン発行者を IAM Identity Center に追加する – IAM Identity Center 管理者は、IAMIdentity Center コンソールまたは を使用して、信頼できるトークン発行者を追加しますAPIs。この設定では、以下を指定する必要があります。

    • 信頼されたトークン発行者の名前。

    • OIDC 検出エンドポイント URL (IAMIdentity Center コンソールでは、これは発行者 URLURLと呼ばれます)。検出エンドポイントは、ポート 80 および 443 を介してのみ到達可能である必要があります。

    • ユーザー検索用の属性マッピング。この属性マッピングは、信頼できるトークン発行者が生成するトークンのクレームに使用されます。クレームの値は IAM Identity Center の検索に使用されます。検索では、指定された属性を使用して IAM Identity Center で 1 人のユーザーを取得します。

  2. AWS サービスを IAM Identity Center に接続する – AWS サービス管理者は、アプリケーションまたはアプリケーションの コンソールを使用してアプリケーションを IAM Identity Center に接続する必要がありますAPIs。

    信頼できるトークン発行者が IAM Identity Center コンソールに追加されると、 AWS サービスコンソールにも表示され、 AWS サービス管理者が選択できます。

  3. トークン交換の使用を設定する – AWS サービスコンソールで、 AWS サービス管理者は、信頼できるトークン発行者が発行したトークンを受け入れるように AWS サービスを設定します。これらのトークンは、IAMIdentity Center によって生成されたトークンと交換されます。これには、ステップ 1 で信頼されたトークン発行者の名前と、 AWS サービスに対応する Aud クレーム値を指定する必要があります。

    信頼できるトークン発行者は、発行するトークンに Aud クレーム値を入れて、そのトークンが AWS サービスによる使用を目的としていることを示します。この値を取得するには、信頼できるトークン発行者の管理者に問い合わせてください。

信頼できるトークン発行者を IAM Identity Center コンソールに追加する方法

複数の管理者を持つ組織では、このタスクは IAM Identity Center 管理者によって実行されます。IAM Identity Center 管理者の場合は、信頼できるトークン発行者として使用する外部 IdP を選択する必要があります。

信頼できるトークン発行者を IAM Identity Center コンソールに追加するには

  1. IAM Identity Center コンソール を開きます。

  2. [設定] を選択します。

  3. [設定] ページで、[認証] タブを選択します。

  4. [信頼できるトークン発行者] で [信頼できるトークン発行者を作成] を選択します。

  5. 信頼できるトークンを発行するための外部 IdP を設定する」ページの「信頼できるトークン発行者の詳細」で、次の操作を行います。

    • 発行者 URLの場合、信頼できる ID 伝達のためにトークンを発行する外部 IdP OIDCURLの検出を指定します。検出エンドポイントURLの は、 まで指定し、 なしで指定する必要があります.well-known/openid-configuration。外部 IdP の管理者は、この を提供できますURL。

      注記

      注: これはURL、信頼できる ID 伝達のために発行されたトークンの発行者 (iss) クレームの と一致するURL必要があります。

    • 信頼されたトークン発行者名 には、名前を入力して、この信頼されたトークン発行者を IAM Identity Center とアプリケーションコンソールで識別します。

  6. [マップ属性] で、次の操作を行います。

    • Identity Provider 属性 の場合、リストから属性を選択して Identity Center IAM ID ストアの属性にマッピングします。

    • IAM Identity Center 属性 で、属性マッピングに対応する属性を選択します。

  7. [タグ (オプション)] で [新しいタグを追加] を選択し、[キー] と任意で [値 (オプション)] の値を指定します。

    タグの詳細については、「タグ付け AWS IAM Identity Center リソース」を参照してください。

  8. [信頼できるトークン発行者を作成] を選択します。

  9. 信頼できるトークン発行者の作成が完了したら、アプリケーション管理者に連絡して信頼できるトークン発行者の名前を伝えて、管理者が信頼できるトークン発行者が該当するコンソールに表示されることを確認できるようにします。

  10. アプリケーション管理者は、該当するコンソールでこの信頼できるトークン発行者を選択する必要があります。これにより、信頼できる ID が伝播されるように構成されたアプリケーションからユーザーがアプリケーションにアクセスできるようになります。

IAM Identity Center コンソールで信頼されたトークン発行者設定を表示または編集する方法

信頼できるトークン発行者を IAM Identity Center コンソールに追加したら、関連する設定を表示および編集できます。

信頼できるトークン発行者の設定を編集する予定がある場合は、その信頼できるトークン発行者を使用するように設定されているアプリケーションにユーザーがアクセスできなくなる可能性があることに注意してください。ユーザーアクセスを妨げないように、設定を編集する前に、信頼できるトークン発行者を使用するように構成されているアプリケーションの管理者と連絡を取ることをお勧めします。

IAM Identity Center コンソールで信頼されたトークン発行者設定を表示または編集するには

  1. IAM Identity Center コンソール を開きます。

  2. [設定] を選択します。

  3. [設定] ページで、[認証] タブを選択します。

  4. [信頼できるトークン発行者] で、表示または編集する信頼できるトークン発行者を選択します。

  5. [Actions] (アクション) を選択して、[Edit] (編集) を選択します。

  6. [信頼できるトークンの発行者を編集] ページで、必要に応じて設定を表示または編集します。信頼できるトークンの発行者名、属性マッピング、およびタグを編集することができます。

  7. [Save changes] (変更の保存) をクリックします。

  8. [信頼できるトークン発行者を編集] ダイアログボックスに、変更を加えるかどうかを確認するメッセージが表示されます。[確認] を選択します。

信頼できるトークン発行者を使用するアプリケーションのセットアッププロセスおよびリクエストフロー

このセクションでは、信頼できるトークン発行者を使用して信頼できる ID の伝播を行うアプリケーションのセットアッププロセスとリクエストフローについて説明します。次の図は、このプロセスの概要を示しています。

信頼できる ID 伝達のために信頼できるトークン発行者を使用して、アプリケーションのプロセスフローとリクエストフローをセットアップする

次の手順で、このプロセスに関する追加情報を提供します。

  1. 信頼できるトークン発行者を使用するように IAM Identity Center と受信側 AWS マネージドアプリケーションをセットアップします。詳細については、信頼できるトークン発行者を設定するタスク を参照してください。

  2. リクエストフローは、ユーザーがリクエスト元のアプリケーションを開くと開始されます。

  3. リクエスト元のアプリケーションは、信頼されたトークン発行者からトークンをリクエストして、受信側の AWS マネージドアプリケーションへのリクエストを開始します。ユーザーがまだ認証されていない場合、このプロセスによって認証フローがトリガーされます。このトークンには次の情報が含まれます。

    • ユーザーのサブジェクト (Sub)。

    • IAM Identity Center が IAM Identity Center で対応するユーザーを検索するために使用する属性。

    • 信頼できるトークン発行者が受信側の AWS マネージドアプリケーションに関連付ける値を含む対象者 (Aud) クレーム。他のクレームが存在する場合、IAMIdentity Center では使用されません。

  4. リクエストするアプリケーション、または使用する AWS ドライバーはトークンを IAM Identity Center に渡し、トークンを IAM Identity Center によって生成されたトークンと交換するようにリクエストします。 AWS ドライバーを使用する場合は、このユースケースに合わせてドライバーを設定する必要があります。詳細については、関連する AWS マネージドアプリケーションのドキュメントを参照してください。

  5. IAM Identity Center は、OIDCDiscovery エンドポイントを使用して、トークンの信頼性を検証するために使用できるパブリックキーを取得します。IAM 次に、Identity Center は以下を実行します。

    • このトークンを検証します。

    • Identity Center ディレクトリを検索します。これを行うには、IAMIdentity Center はトークンで指定されたマッピングされた属性を使用します。

    • ユーザーが受信側のアプリケーションにアクセスする権限を持っていることを確認します。 AWS マネージドアプリケーションがユーザーとグループへの割り当てを要求するように設定されている場合、ユーザーはアプリケーションへの直接またはグループベースの割り当てが必要です。そうでない場合は、リクエストは拒否されます。 AWS マネージドアプリケーションがユーザーとグループの割り当てを必要としないように設定されている場合、処理は続行されます。

      注記

      AWS サービスには、ユーザーとグループに割り当てが必要かどうかを決定するデフォルト設定があります。これらのアプリケーションを信頼できる ID の伝播と組み合わせて使用する予定の場合は、これらのアプリケーションの [割り当ては必須です] 設定を変更しないことをお勧めします。特定のアプリケーションリソースへのユーザーアクセスを許可するきめ細かいアクセス許可を設定した場合でも、[割り当ては必須です] 設定を変更すると、これらのリソースへのユーザーアクセスが中断されるなど、予期しない動作が発生する可能性があります。

    • リクエストするアプリケーションが、受信側 AWS マネージドアプリケーションの有効なスコープを使用するように設定されていることを確認します。

  6. 前の検証ステップが成功すると、IAMIdentity Center は新しいトークンを作成します。新しいトークンは、IAMIdentity Center の対応するユーザーの ID、受信 AWS マネージドアプリケーションのオーディエンス (Aud)、受信 AWS マネージドアプリケーションにリクエストを行うときにリクエストするアプリケーションが使用できるスコープを含む不透明 (暗号化) トークンです。

  7. リクエストするアプリケーション、または使用するドライバーは、リソースリクエストを受信アプリケーションに開始し、IAMIdentity Center が生成したトークンを受信アプリケーションに渡します。

  8. 受信アプリケーションは IAM Identity Center を呼び出して、トークンにエンコードされたユーザーとスコープの ID を取得します。Identity Center ディレクトリからユーザー属性またはユーザーのグループメンバーシップを取得するようにリクエストする場合もあります。

  9. 受信側のアプリケーションは、その認可設定を使用して、リクエストされたアプリケーションリソースへのアクセスがユーザーに許可されているかどうかを判断します。

  10. リクエストされたアプリケーションリソースへのアクセスがユーザーに許可されている場合、受信側のアプリケーションはそのリクエストに応答します。

  11. ユーザーの ID、ユーザーに代わって実行されるアクション、および受信アプリケーションログと CloudTrailイベントに記録されたその他のイベント。この情報を記録する具体的な方法は、アプリケーションによって異なります。