Verified Access のユーザー ID 信頼プロバイダー - AWS 検証済みアクセス
IAM アイデンティティセンターOIDC 信頼プロバイダー

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Verified Access のユーザー ID 信頼プロバイダー

AWS IAM Identity Center または OpenID Connect 互換のユーザーアイデンティティ信頼プロバイダーのいずれかを使用できます。

IAM Identity Center を信頼プロバイダーとして使用する

AWS Verified Access では、 をユーザー ID 信頼プロバイダー AWS IAM Identity Center として使用できます。

前提条件と考慮事項

  • IAM Identity Center インスタンスは AWS Organizations インスタンスである必要があります。スタンドアロン AWS アカウントの IAM Identity Center インスタンスは機能しません。

  • IAM Identity Center インスタンスは、Verified Access 信頼プロバイダーを作成するのと同じ AWS リージョンで有効にする必要があります。

  • Verified Access は、最大 1,000 のグループに割り当てられている IAM Identity Center のユーザーにアクセスを提供します。

さまざまなインスタンスタイプの詳細については、「 ユーザーガイド」のIAM「アイデンティティセンターの組織インスタンスとアカウントインスタンスの管理」を参照してください。 AWS IAM Identity Center

IAM Identity Center 信頼プロバイダーを作成する

AWS アカウントで IAM Identity Center を有効にしたら、次の手順を使用して、検証済みアクセスの信頼プロバイダーとして IAM Identity Center を設定できます。

IAM Identity Center 信頼プロバイダーを作成するには (AWS コンソール)

  1. で Amazon VPCコンソールを開きますhttps://console.aws.amazon.com/vpc/

  2. ナビゲーションペインで、「 Verified Access 信頼プロバイダー」を選択し、[ Verified Access 信頼プロバイダーの作成] を選択します。

  3. (オプション) [名前タグ] と [説明] に、信頼プロバイダーの名前と説明を入力します。

  4. [ポリシー参照名] には、後でポリシールールを利用するときに使用する識別子を入力します。

  5. [信頼プロバイダのタイプ] で、[ユーザー信頼プロバイダー] を選択します。

  6. ユーザー信頼プロバイダータイプ で、IAMアイデンティティセンター を選択します。

  7. (オプション) タグを追加するには、[新しいタグを追加] を選択し、そのタグのキーと値を入力します。

  8. [ Verified Access 信頼プロバイダーの作成] を選択します。

IAM Identity Center 信頼プロバイダーを作成するには (AWS CLI)

IAM Identity Center 信頼プロバイダーを削除する

信頼プロバイダーを削除する前に、信頼プロバイダーが添付されているインスタンスからすべてのエンドポイントとグループ設定を削除する必要があります。

IAM Identity Center 信頼プロバイダーを削除するには (AWS コンソール)

  1. で Amazon VPCコンソールを開きますhttps://console.aws.amazon.com/vpc/

  2. ナビゲーションペインで [ Verified Access 信頼プロバイダー] を選択し、[ Verified Access 信頼プロバイダー] で削除する信頼プロバイダーを選択します

  3. アクション」、「 Verified Access 信頼プロバイダの削除」の順に選択します。

  4. テキストボックスに「delete」と入力して削除を確定します。

  5. [削除] を選択します。

IAM Identity Center 信頼プロバイダーを削除するには (AWS CLI)

OpenID Connect 信頼プロバイダーを使用する

AWS Verified Access は、標準の OpenID Connect (OIDC) メソッドを使用する ID プロバイダーをサポートします。Verified Access では、OIDC互換性のあるプロバイダーをユーザーアイデンティティの信頼プロバイダーとして使用できます。ただし、潜在的なOIDCプロバイダーが多数存在するため、 AWS は Verified Access との各OIDC統合をテストできません。

Verified Access は、OIDCプロバイダーの から評価する信頼データを取得しますUserInfo Endpoint。この Scope パラメータは、検索するトラストデータのセットを決定するために使用されます。トラストデータを受信すると、Verified Access ポリシーがそのデータに対して評価されます。

注記

Verified Access は、Verified Access ポリシーを評価する際に、OIDCプロバイダーによってID token送信された からの信頼データを使用しません。UserInfo Endpoint からのトラストデータのみがポリシーに照らして評価されます。

OIDC 信頼プロバイダーを作成するための前提条件

信頼プロバイダーサービスから次の情報を直接収集する必要があります。

  • Issuer

  • 認可エンドポイント

  • トークンエンドポイント

  • UserInfo エンドポイント

  • クライアント ID

  • クライアントシークレット

  • スコープ

OIDC 信頼プロバイダーを作成する

信頼プロバイダーOIDCとして を作成するには、次の手順に従います。

OIDC 信頼プロバイダーを作成するには (AWS コンソール)

  1. で Amazon VPCコンソールを開きますhttps://console.aws.amazon.com/vpc/

  2. ナビゲーションペインで、「 Verified Access 信頼プロバイダー」を選択し、[ Verified Access 信頼プロバイダーの作成] を選択します。

  3. (オプション) [名前タグ] と [説明] に、信頼プロバイダーの名前と説明を入力します。

  4. [ポリシー参照名] には、後でポリシールールを利用するときに使用する識別子を入力します。

  5. [信頼プロバイダのタイプ] で、[ユーザー信頼プロバイダー] を選択します。

  6. ユーザー信頼プロバイダータイプ で、 OIDC (OpenID Connect) を選択します。

  7. 発行者 には、OIDC発行者の識別子を入力します。

  8. 認証エンドポイント には、認証エンドポイントURLの完全な を入力します。

  9. トークンエンドポイント の場合、トークンエンドポイントURLのフルを入力します。

  10. ユーザーエンドポイント には、ユーザーエンドポイントURLの完全な を入力します。

  11. クライアント ID OAuth の 2.0 クライアント識別子を入力します。

  12. クライアントシークレット OAuth の 2.0 クライアントシークレットを入力します。

  13. ID プロバイダーで定義されている対象範囲のスペースで区切られたリストを入力します。対象範囲には少なくとも「openid」対象範囲が必要です。

  14. (オプション) タグを追加するには、[新しいタグを追加] を選択し、そのタグのキーと値を入力します。

  15. [ Verified Access 信頼プロバイダーの作成] を選択します。

注記

OIDC プロバイダーの許可リストURIにリダイレクトを追加する必要があります。このためは、Verified Access エンドポイントの ApplicationDomain を使用します。これは、 AWS Management Console、Verified Access エンドポイントの詳細タブ、または AWS CLI を使用してエンドポイントを記述することで確認できます。OIDC プロバイダーの許可リストに https://ApplicationDomain/oauth2/idpresponse を追加します。

OIDC 信頼プロバイダーを作成するには (AWS CLI)

OIDC 信頼プロバイダーを変更する

信頼プロバイダーの作成後、その設定を更新できます。

OIDC 信頼プロバイダーを変更するには (AWS コンソール)

  1. で Amazon VPCコンソールを開きますhttps://console.aws.amazon.com/vpc/

  2. ナビゲーションペインで [ Verified Access 信頼プロバイダー] を選択し、[ Verified Access 信頼プロバイダー] で変更する信頼プロバイダーを選択します。

  3. [アクション]、[ Verified Access 信頼プロバイダの変更] の順に選択します。

  4. オプションを変更します。

  5. [ Verified Access 信頼プロバイダーの変更] を選択します。

OIDC 信頼プロバイダーを変更するには (AWS CLI)

OIDC 信頼プロバイダーを削除する

ユーザーの信頼プロバイダーを削除する前に、まず信頼プロバイダーが添付されているインスタンスからすべてのエンドポイントとグループ設定を削除する必要があります。

OIDC 信頼プロバイダーを削除するには (AWS コンソール)

  1. で Amazon VPCコンソールを開きますhttps://console.aws.amazon.com/vpc/

  2. ナビゲーションペインで [ Verified Access 信頼プロバイダー] を選択し、[ Verified Access 信頼プロバイダー] で削除する信頼プロバイダーを選択します

  3. アクション」、「 Verified Access 信頼プロバイダの削除」の順に選択します。

  4. テキストボックスに「delete」と入力して削除を確定します。

  5. [削除] を選択します。

OIDC 信頼プロバイダーを削除するには (AWS CLI)