標準認証タイプを設定する - Amazon WorkSpaces Secure Browser
ステップ 1: WorkSpaces Secure Browser で ID プロバイダーの設定を開始するステップ 2: 独自の IdP で ID プロバイダーを設定するステップ 3: Secure Browser での ID WorkSpaces プロバイダーの設定を完了する特定の に関するガイダンス IdPs

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

標準認証タイプを設定する

Standard (デフォルト) の場合、サードパーティーの SAML 2.0 ID プロバイダー (Okta や Ping など) をポータルと直接フェデレートします。

標準 ID タイプは、SAML 2.0 準拠の IdP を使用した (SP 開始) および identity-provider-initiated (IdP 開始) サインインフローをサポート service-provider-initiatedできます。

ステップ 1: WorkSpaces Secure Browser で ID プロバイダーの設定を開始する

ID プロバイダーを設定するには、次のステップを実行します。

  1. 作成ウィザードの [ID プロバイダーを設定] ページで、[スタンダード] を選択します。

  2. 「標準 IdP で続行」を選択します

  3. SP メタデータファイルをダウンロードし、個々のメタデータ値のタブを開いたままにします。

    • SP メタデータファイルが利用可能な場合は、メタデータファイルのダウンロードを選択してサービスプロバイダー (SP) メタデータドキュメントをダウンロードし、次のステップでサービスプロバイダーメタデータファイルを IdP にアップロードします。これを行わないと、ユーザーはサインインできなくなります。

    • プロバイダーが SP メタデータファイルをアップロードしない場合は、メタデータ値を手動で入力します。

  4. 「SAML サインインタイプを選択」で、SP 開始と IdP 開始の SAML アサーション または SP 開始の SAML アサーションのみ を選択します。

    • SP 開始および IdP 開始の SAML アサーションにより、ポータルは両方のタイプのサインインフローをサポートできます。IdP が開始するフローをサポートするポータルでは、ポータル URL にアクセスしてユーザーがセッションを起動することなく、サービス ID フェデレーションエンドポイントに SAML アサーションを提示できます。

      • これを選択すると、ポータルは未承諾の IdP 開始 SAML アサーションを受け入れることができます。

      • このオプションでは、SAML 2.0 ID プロバイダーでデフォルトのリレーステートを設定する必要があります。ポータルのリレーステートパラメータは、IdP が開始した SAML サインインの下のコンソールにあります。または、 の SP メタデータファイルからコピーできます<md:IdPInitRelayState>

      • 注記

        • リレー状態の形式は次のとおりです: redirect_uri=https%3A%2F%2Fportal-id.workspaces-web.com%2Fsso&response_type=code&client_id=1example23456789&identity_provider=Example-Identity-Provider

        • SP メタデータファイルから値をコピーして貼り付ける場合は、必ず &amp; を に変更してください&&amp;は XML エスケープ文字です。

    • SP 開始のサインインフローのみをサポートするには、ポータルに対してのみ SP 開始の SAML アサーションを選択します。このオプションは、IdP 開始サインインフローからの未承諾 SAML アサーションを拒否します。

    注記

    一部のサードパーティー IdPs では、SP 主導のフローを利用して IdP 主導の認証エクスペリエンスを提供できるカスタム SAML アプリケーションを作成できます。例については、「Okta ブックマークアプリケーションを追加する」を参照してください。

  5. このプロバイダー への SAML リクエストの署名を有効にするかどうかを選択します。SP 主導認証により、IdP は認証リクエストがポータルから送信されたことを検証できるため、他のサードパーティーリクエストを受け入れることができなくなります。

    1. 署名証明書をダウンロードし、IdP にアップロードします。同じ署名証明書を 1 回のログアウトに使用できます。

    2. IdP で署名付きリクエストを有効にします。名前は、IdP によって異なる場合があります。

      注記

      RSA-SHA256 は、サポートされている唯一のリクエストおよびデフォルトのリクエスト署名アルゴリズムです。

  6. 暗号化された SAML アサーションを要求する を有効にするかどうかを選択します。これにより、IdP から送信される SAML アサーションを暗号化できます。これにより、IdP と WorkSpaces Secure Browser 間の SAML アサーションでデータが傍受されるのを防ぐことができます。

    注記

    暗号化証明書は、このステップでは利用できません。ポータルの起動後に作成されます。ポータルを起動したら、暗号化証明書をダウンロードして IdP にアップロードします。次に、IdP でアサーション暗号化を有効にします (名前は IdP によって異なる場合があります。

  7. シングルログアウト を有効にするかどうかを選択します。シングルログアウトを使用すると、エンドユーザーは IdP セッションと WorkSpaces Secure Browser セッションの両方を 1 回のアクションでサインアウトできます。

    1. WorkSpaces Secure Browser から署名証明書をダウンロードし、IdP にアップロードします。これは、前のステップでリクエスト署名に使用したものと同じ署名証明書です。

    2. シングルログアウトを使用するには、SAML 2.0 ID プロバイダーでシングルログアウト URL を設定する必要があります。ポータルのシングルログアウト URL は、 コンソールのサービスプロバイダー (SP) の詳細 - 個々のメタデータ値 を表示するか、 の SP メタデータファイルから確認できます<md:SingleLogoutService>

    3. IdP でシングルログアウトを有効にします。名前は、IdP によって異なる場合があります。

ステップ 2: 独自の IdP で ID プロバイダーを設定する

ブラウザで新しいタブが開きます。次に、IdP で以下のステップを実行します。

  1. ポータルメタデータを SAML IdP に追加します。

    前のステップでダウンロードした SP メタデータドキュメントを IdP にアップロードするか、メタデータ値をコピーして IdP の正しいフィールドに貼り付けます。一部のプロバイダーはファイルのアップロードを許可していません。

    このプロセスの詳細は、プロバイダーによって異なる場合があります。ポータルの詳細を IdP 設定に追加する方法については、特定の に関するガイダンス IdPs「」でプロバイダーのドキュメントを参照してください。

  2. SAML アサーションの NameID を確認します。

    SAML IdP が SAML アサーションの NameID にユーザーの E メールフィールドに入力していることを確認します。NameID とユーザー E メールは、ポータルで SAML フェデレーティッドユーザーを一意に識別するために使用されます。永続的な SAML 名 ID 形式を使用します。

  3. オプション: IdP 開始認証のリレーステートを設定します。

    前のステップで SP 開始および IdP 開始の SAML アサーションを受け入れるを選択した場合は、 のステップ 2 のステップに従って、IdP アプリケーションのデフォルトのリレーステートステップ 1: WorkSpaces Secure Browser で ID プロバイダーの設定を開始するを設定します。

  4. オプション: リクエスト署名を設定します。前のステップでこのプロバイダーへの SAML リクエストに署名を選択した場合は、 のステップ 3 のステップに従って署名証明書を IdP ステップ 1: WorkSpaces Secure Browser で ID プロバイダーの設定を開始するにアップロードし、リクエスト署名を有効にします。Okta IdPs などの一部の では、リクエスト署名 を使用するには、NameIDが「永続的」タイプに属する必要がある場合があります。上記の手順に従って、SAML アサーションの NameID を確認してください。

  5. オプション: アサーション暗号化 を設定します。このプロバイダー から暗号化された SAML アサーションを要求する を選択した場合は、ポータルの作成が完了するまで待ってから、以下の「メタデータのアップロード」のステップ 4 に従って暗号化証明書を IdP にアップロードし、アサーション暗号化を有効にします。

  6. オプション: シングルログアウト を設定します。シングルログアウト を選択した場合は、 のステップ 5 の手順に従って署名証明書を IdP ステップ 1: WorkSpaces Secure Browser で ID プロバイダーの設定を開始するにアップロードし、シングルログアウト URL を入力し、シングルログアウト を有効にします。

  7. WorkSpaces Secure Browser を使用するためのアクセスを IdP のユーザーに付与します。

  8. IdP からメタデータ交換ファイルをダウンロードします。このメタデータは、次のステップで WorkSpaces Secure Browser にアップロードします。

ステップ 3: Secure Browser での ID WorkSpaces プロバイダーの設定を完了する

WorkSpaces Secure Browser コンソールに戻ります。作成ウィザードの ID プロバイダーの設定ページの IdP メタデータ で、メタデータファイルをアップロードするか、IdP からメタデータ URL を入力します。ポータルは、IdP からのこのメタデータを使用して信頼を確立します。

  1. メタデータファイルをアップロードするには、IdP メタデータドキュメント で、ファイルの選択 を選択します。前のステップでダウンロードした XML 形式のメタデータファイルを IdP からアップロードします。

  2. メタデータ URL を使用するには、前のステップで設定した IdP に移動し、そのメタデータ URL を取得します。 WorkSpaces Secure Browser コンソールに戻り、IdP メタデータ URL の下に、IdP から取得したメタデータ URL を入力します。

  3. 終了したら、[Next ] (次へ) を選択します。

  4. このプロバイダーから暗号化された SAML アサーションを要求するオプションを有効にしたポータルの場合は、ポータル IdP の詳細セクションから暗号化証明書をダウンロードし、IdP にアップロードする必要があります。その後、そこで オプションを有効にできます。

    注記

    WorkSpaces Secure Browser では、IdP の設定内の SAML アサーションで件名または NameID をマッピングして設定する必要があります。IdP はこれらのマッピングを自動的に作成できます。これらのマッピングが正しく設定されていないと、ユーザーはウェブポータルにサインインしてセッションを開始できません。

    WorkSpaces Secure Browser では、SAML レスポンスに次のクレームが存在する必要があります。コンソールまたは CLI を使用して、ポータルのサービスプロバイダーの詳細またはメタデータドキュメントから <SP エンティティ ID> および <SP ACS URL> を確認できます。

    • SP エンティティ ID をレスポンスのターゲットとして設定するAudience値を持つAudienceRestrictionクレーム。例:

      <saml:AudienceRestriction>
    <saml:Audience><Your SP Entity ID></saml:Audience>
</saml:AudienceRestriction>

    • 元の SAML リクエスト ID の値 InResponseTo を含む Response クレーム。例:

      <samlp:Response ... InResponseTo="<originalSAMLrequestId>">

    • SP ACS URL Recipientの値と、元の SAML リクエスト ID に一致するInResponseTo値を持つSubjectConfirmationDataクレーム。例:

      <saml:SubjectConfirmation>
    <saml:SubjectConfirmationData ... 
        Recipient="<Your SP ACS URL>"
        InResponseTo="<originalSAMLrequestId>"
        />
</saml:SubjectConfirmation>

    WorkSpaces Secure Browser は、リクエストパラメータと SAML アサーションを検証します。IdP が開始する SAML アサーションの場合、リクエストの詳細は HTTP POST リクエストの本文でRelayStateパラメータとしてフォーマットする必要があります。リクエスト本文には、SAMLResponseパラメータとして SAML アサーションも含める必要があります。前のステップに従った場合は、これらの両方が存在する必要があります。

    以下は、IdP が開始する SAML プロバイダーのPOST本文の例です。

    SAMLResponse=<Base64-encoded SAML assertion>&RelayState=<RelayState>

特定の に関するガイダンス IdPs

ポータルの SAML フェデレーションを正しく設定するには、一般的に使用される のドキュメントについて、以下のリンクを参照してください IdPs。

IdP SAML アプリケーションのセットアップ ユーザー管理 IdP 開始認証 リクエスト署名 アサーション暗号化 シングルログアウト
Okta SAML アプリケーション統合を作成する ユーザー管理 Application Integration Wizard SAML フィールドリファレンス Application Integration Wizard SAML フィールドリファレンス Application Integration Wizard SAML フィールドリファレンス Application Integration Wizard SAML フィールドリファレンス
Entra 独自のアプリケーションを作成する クイックスタート: ユーザーアカウントを作成して割り当てる エンタープライズアプリケーションのシングルサインオンを有効にする SAML リクエスト署名の検証 Microsoft Entra SAML トークン暗号化を設定する シングルサインアウト SAML プロトコル
Ping SAML アプリケーションを追加する [ユーザー] IdP 開始 SSO の有効化 Enterprise PingOne の認証リクエストサインインの設定 PingOne for Enterprise は暗号化をサポートしていますか? SAML 2.0 シングルログアウト
1 回のログイン SAML カスタムコネクタ (アドバンスト) (4266907) ユーザー OneLogin を手動で に追加する SAML カスタムコネクタ (アドバンスト) (4266907) SAML カスタムコネクタ (アドバンスト) (4266907) SAML カスタムコネクタ (アドバンスト) (4266907) SAML カスタムコネクタ (アドバンスト) (4266907)
IAM アイデンティティセンター 独自の SAML 2.0 アプリケーションをセットアップする 独自の SAML 2.0 アプリケーションをセットアップする 独自の SAML 2.0 アプリケーションをセットアップする 該当なし 該当なし 該当なし