信頼できるトークン発行者の構成設定 - AWS IAM Identity Center

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

信頼できるトークン発行者の構成設定

次のセクションでは、信頼できるトークン発行者をセットアップして使用するために必要な設定について説明します。

OIDC 検出エンドポイント URL (発行者 URL)

信頼できるトークン発行者を IAM Identity Center コンソールに追加するときは、OIDC検出エンドポイント を指定する必要がありますURL。これは一般的にURL、相対 URL、 で参照されます/.well-known/openid-configuration。IAM Identity Center コンソールURLでは、これは発行者 URLと呼ばれます。

注記

検出エンドポイントURLの は、 まで貼り付ける必要があります.well-known/openid-configuration.well-known/openid-configuration が に含まれている場合URL、信頼できるトークン発行者設定は機能しません。IAM Identity Center はこの を検証しないためURL、 が正しく形成URLされていない場合、信頼できるトークン発行者の設定は通知なしで失敗します。

OIDC 検出エンドポイントは、ポート 80 および 443 経由でのみ到達可能であるURL必要があります。

IAM Identity Center はこれを使用してURL、信頼できるトークン発行者に関する追加情報を取得します。例えば、IAMIdentity Center はこれを使用してURL、信頼できるトークン発行者が生成するトークンを検証するために必要な情報を取得します。信頼できるトークン発行者を IAM Identity Center に追加するときは、この を指定する必要がありますURL。を確認するにはURL、アプリケーションのトークンの生成に使用する OAuth 2.0 認可サーバープロバイダーのドキュメントを参照するか、プロバイダーに直接お問い合わせください。

属性マッピング

属性マッピングにより、IAMIdentity Center は、信頼できるトークン発行者が発行したトークンで表されるユーザーを IAM Identity Center の単一のユーザーに一致させることができます。信頼できるトークン発行者を IAM Identity Center に追加するときは、属性マッピングを指定する必要があります。この属性マッピングは、信頼できるトークン発行者が生成するトークンのクレームに使用されます。クレームの値は、 IAM Identity Center の検索に使用されます。検索では、指定された属性を使用して、IAMIdentity Center の単一のユーザーを取得します。このユーザーは、そのユーザーとして使用されます AWS。選択したクレームは、IAMIdentity Center ID ストアで使用可能な属性の固定リスト内の 1 つの属性にマッピングする必要があります。ユーザー名、E メール、外部 ID のいずれかの IAM Identity Center ID ストア属性を選択できます。IAM Identity Center で指定する属性の値は、ユーザーごとに一意である必要があります。

Aud クレーム

Aud クレームは、トークンの対象となる対象者 (受信者) を識別します。アクセスをリクエストするアプリケーションが IAM Identity Center にフェデレーションされていない ID プロバイダーを介して認証する場合、その ID プロバイダーを信頼できるトークン発行者として設定する必要があります。アクセスリクエストを受信するアプリケーション (受信側アプリケーション) は、信頼できるトークン発行者によって生成されたトークンを、IAMIdentity Center によって生成されたトークンと交換する必要があります。

信頼できるトークン発行者に登録されている受信側アプリケーションの aud クレーム値を取得する方法については、信頼できるトークン発行者のドキュメントを参照するか、信頼できるトークン発行者の管理者に支援を問い合わせてください。