2.0 SAML を設定し、 WorkSpaces プールディレクトリを作成する - Amazon WorkSpaces
ステップ 1: 要件を考慮するステップ 2: 前提条件を完了させるステップ 3: で SAML ID プロバイダーを作成する IAMステップ 4: WorkSpace プールディレクトリを作成するステップ 5: 2.0 SAML フェデレーションIAMロールを作成するステップ 6: 2.0 ID SAML プロバイダーを設定するステップ 7: SAML認証レスポンスのアサーションを作成するステップ 8: フェデレーションのリレーステートを設定するステップ 9: WorkSpace プールディレクトリで SAML 2.0 との統合を有効にするトラブルシューティング

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

2.0 SAML を設定し、 WorkSpaces プールディレクトリを作成する

2.0 を使用して ID フェデレーションを設定することで、 WorkSpaces クライアントアプリケーションの登録と WorkSpaces プール WorkSpaces 内の SAML へのサインインを有効にできます。これを行うには、 AWS Identity and Access Management (IAM) ロールとリレーステートURLを使用して 2.0 ID SAML プロバイダー (IdP) を設定し、有効にします AWS。これにより、フェデレーティッドユーザーに WorkSpace プールディレクトリへのアクセスが許可されます。リレーステートは、正常にサインインした後にユーザーが転送される WorkSpaces ディレクトリエンドポイントです AWS。

重要

WorkSpaces プールは IP ベースの 2.0 SAML 設定をサポートしていません。

トピック

ステップ 1: 要件を考慮する

WorkSpaces Pools ディレクトリSAMLに を設定する場合、次の要件が適用されます。

  • workspaces_DefaultRole IAM ロールは AWS アカウントに存在する必要があります。このロールは、 WorkSpaces 高速セットアップを使用するか、 WorkSpace を使用して を以前に起動したときに自動的に作成されます AWS Management Console。これは、ユーザーに代わって特定の AWS リソースにアクセスする許可を Amazon WorkSpaces に付与します。ロールが既に存在する場合は、管理ポリシーをアタッチする必要がある場合があります。 AmazonWorkSpacesPoolServiceAccessこれは、Amazon が WorkSpaces プールの AWS アカウント内の必要なリソースにアクセス WorkSpaces するために使用します。詳細については、workspaces_DefaultRole Role を作成するおよびAWS 管理ポリシー: AmazonWorkSpacesPoolServiceAccessを参照してください。

  • 機能 AWS リージョン をサポートする で WorkSpaces プールの SAML 2.0 認証を設定できます。詳細については、「AWS リージョン WorkSpaces プールの および アベイラビリティーゾーン」を参照してください。

  • で SAML2.0 認証を使用するには WorkSpaces、IdP はディープリンクターゲットリソースまたはリレーステートエンドポイント SSOで開始された未承諾 IdP をサポートする必要がありますURL。これ IdPs をサポートする の例には、ADFS、Azure AD、"" Single Sign-On、Okta PingFederate、 などがあります PingOne。詳細については、IdP のユーザードキュメントを参照してください。

  • SAML 2.0 認証は、次の WorkSpaces クライアントでのみサポートされています。最新の WorkSpaces クライアントについては、Amazon WorkSpaces Client Download ページを参照してください。

    • Windows クライアントアプリケーション、バージョン 5.20.0 以降

    • macOS クライアント、バージョン 5.20.0 以降

    • Web Access

ステップ 2: 前提条件を完了させる

WorkSpaces プールディレクトリへの SAML 2.0 IdP 接続を設定する前に、次の前提条件を完了してください。

  • AWSとの信頼関係を確立するために IdP を設定します。

  • AWS フェデレーションの設定の詳細については、「サードパーティーSAMLソリューションプロバイダーと の統合 AWS」を参照してください。関連する例には、 にアクセスIAMするための IdP と の統合が含まれます AWS Management Console。

  • IdP を使用して、組織を IdP として定義するフェデレーションメタデータドキュメントを生成し、ダウンロードします。この署名付きXMLドキュメントは、証明書利用者の信頼を確立するために使用されます。このファイルを、後でIAMコンソールからアクセスできる場所に保存します。

  • WorkSpaces コンソールを使用して WorkSpaces プールディレクトリを作成します。詳細については、「 WorkSpaces プールでの Active Directory の使用」を参照してください。

  • サポートされているディレクトリタイプを使用して IdP にサインインできるユーザーの WorkSpaces プールを作成します。詳細については、「 WorkSpaces プールを作成する」を参照してください。

ステップ 3: で SAML ID プロバイダーを作成する IAM

開始するには、 で SAML IdP を作成する必要がありますIAM。この IdP は、組織内の IdP ソフトウェアによって生成されたメタデータドキュメントを使用して、組織の IdP とAWS 信頼の関係を定義します。詳細については、「 AWS Identity and Access Management ユーザーガイド」のSAML「ID プロバイダーの作成と管理」を参照してください。SAML IdPs での の使用の詳細については AWS GovCloud (US) Regions、 AWS GovCloud (US) ユーザーガイドAWS Identity and Access Managementの「」を参照してください。

ステップ 4: WorkSpace プールディレクトリを作成する

WorkSpaces プールディレクトリを作成するには、次の手順を実行します。

  1. で WorkSpaces コンソールを開きますhttps://console.aws.amazon.com/workspaces/

  2. ナビゲーションペインで [ディレクトリ] を選択します。

  3. [Create directory] (ディレクトリの作成) を選択します。

  4. WorkSpace タイプ で、プール を選択します。

  5. ページの [ユーザー ID ソース] セクションで以下の操作を行います。

    1. ユーザーアクセスURLテキストボックスにプレースホルダー値を入力します。例えば、テキストボックスに placeholder と入力します。これは、IdP でアプリケーション使用権限を設定した後に編集します。

    2. [リレー状態パラメータ名] テキストボックスは空白のままにします。これは、IdP でアプリケーション使用権限を設定した後に編集します。

  6. ページの [ディレクトリ情報] セクションで、ディレクトリの名前と説明を入力します。ディレクトリ名と説明は 128 文字未満で、英数字と _ @ # % * + = : ? . / ! \ - の特殊文字を含めることができます。ディレクトリ名と説明を特殊文字で始めることはできません。

  7. ページの[ネットワークとセキュリティ] セクションで以下の操作を行います。

    1. アプリケーションに必要なネットワークリソースにアクセスできる VPCと 2 つのサブネットを選択します。耐障害性を高めるために、異なるアベイラビリティーゾーンで 2 つのサブネットを選択する必要があります。

    2. でネットワークリンクの作成を WorkSpaces に許可するセキュリティグループを選択しますVPC。セキュリティグループは、 から WorkSpaces へのフローを許可するネットワークトラフィックを制御しますVPC。例えば、セキュリティグループがすべてのインバウンドHTTPS接続を制限している場合、ウェブポータルにアクセスするユーザーは からHTTPSウェブサイトをロードできません WorkSpaces。

  8. [Active Directory 設定] セクションはオプションです。ただし、 WorkSpaces プールで AD を使用する予定がある場合は、プールディレクトリの作成時に Active Directory (AD) WorkSpaces の詳細を指定する必要があります。 WorkSpaces プールディレクトリの作成後に Active Directory Config を編集することはできません。 WorkSpaces プールディレクトリの AD の詳細を指定する方法の詳細については、「」を参照してください WorkSpaces プールディレクトリの Active Directory の詳細を指定する。そのトピックで説明されているプロセスを完了したら、このトピックに戻り、 WorkSpaces プールディレクトリの作成を完了する必要があります。

    WorkSpaces プールで AD を使用する予定がない場合は、Active Directory Config セクションをスキップできます。

  9. [ストリーミングプロパティ] セクションで以下の操作を行います。

    • クリップボードのアクセス許可の動作を選択し、[ローカル文字数制限にコピー] (オプション) と [リモートセッションへの貼り付けの文字数制限] (オプション) に入力します。

    • ローカルデバイスへの出力を許可するかしないかを選択します。

    • 診断ログを許可するかしないかを選択します。

    • スマートカードサインインを許可するかしないかを選択します。この機能は、この手順の前半で AD 設定を有効にした場合にのみ適用されます。

  10. ページの [ストレージ] セクションで、ホームフォルダを有効にするよう選択できます。

  11. ページのIAMロールセクションで、すべてのデスクトップストリーミングインスタンスで使用できる IAMロールを選択します。新しいロールを作成するには、新しいIAMロールの作成を選択します。

    アカウントから WorkSpace プールディレクトリに IAMロールを適用すると、 AWS 認証情報を手動で管理しなくても、 WorkSpace プール WorkSpace 内の からリクエストを行うことができます AWS API。詳細については、「 AWS Identity and Access Management ユーザーガイド」のIAM「 ユーザーにアクセス許可を委任するロールの作成」を参照してください。

  12. [Create directory] (ディレクトリの作成) を選択します。

ステップ 5: 2.0 SAML フェデレーションIAMロールを作成する

IAM コンソールで 2.0 SAML フェデレーションIAMロールを作成するには、次の手順を実行します。

  1. https://console.aws.amazon.com/iam/ で IAM コンソールを開きます。

  2. ナビゲーションペインで [ロール] を選択します。

  3. [Create role] を選択します。

  4. 信頼されたエンティティタイプの SAML 2.0 フェデレーションを選択します。

  5. 2.0 SAML ベースのプロバイダーの場合は、「」で作成した ID プロバイダーを選択しますIAM。詳細については、「 で SAML ID プロバイダーを作成するIAM」を参照してください。

  6. 許可されるアクセスとして [プログラムによるアクセスのみを許可する] を選択します。

  7. 属性に SAML:sub_type を選択します。

  8. [値] に「https://signin.aws.amazon.com/saml」と入力します。この値は、 の値を持つSAMLサブジェクトタイプアサーションを含むSAMLユーザーストリーミングリクエストへのロールアクセスを制限しますpersistent。SAML:sub_type が永続的である場合、IdP は特定のユーザーからのすべてのSAMLリクエストで NameID要素に同じ一意の値を送信します。詳細については、「 AWS Identity and Access Management ユーザーガイド」のSAML「 ベースのフェデレーションでユーザーを一意に識別する」を参照してください。

  9. [次へ] を選択して続行します。

  10. [許可を追加] ページでは変更や選択を行いません。[次へ] を選択して続行します。

  11. ロールの名前と説明を入力します。

  12. [ロールの作成] を選択します。

  13. [ロール] ページで、作成したロールを選択します。

  14. [信頼関係] タブを選択します。

  15. [信頼ポリシーを編集] を選択します。

  16. 信頼ポリシーの編集JSONテキストボックスで、sts:TagSession アクションを信頼ポリシーに追加します。詳細については、「AWS Identity and Access Management ユーザーガイド」の「AWS STSでセッションタグを渡す」を参照してください。

    結果は次の例のようになります。

    信頼ポリシーの例。

  17. [ポリシーの更新] を選択します。

  18. [アクセス許可] タブを選択します。

  19. ページの [許可ポリシー] セクションで、[許可を追加] を選択し、[インラインポリシーを作成] を選択します。

  20. ページのポリシーエディタセクションで、 を選択しますJSON

  21. ポリシーエディタのJSONテキストボックスに、次のポリシーを入力します。必ず以下を置き換えてください。

    • <region-code> を、 WorkSpace プールディレクトリを作成した AWS リージョンのコードに置き換えます。

    • <account-id> を AWS アカウント ID に置き換えます。

    • <directory-id> を、前に作成したディレクトリの ID に置き換えます。これは コンソールで WorkSpaces取得できます。

    のリソースでは AWS GovCloud (US) Regions、 に次の形式を使用しますARN: arn:aws-us-gov:workspaces:<region-code>:<account-id>:directory/<directory-id>

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "workspaces:Stream",
            "Resource": "arn:aws:workspaces:<region-code>:<account-id>:directory/<directory-id>",
            "Condition": {
                "StringEquals": {"workspaces:userId": "${saml:sub}"}
            }
        }
    ]
}

  22. [Next (次へ)] を選択します。

  23. ポリシーの名前を入力し、[Create policy] (ポリシーの作成) を選択します。

ステップ 6: 2.0 ID SAML プロバイダーを設定する

2.0 SAML IdP によっては、サービスプロバイダー AWS として信頼するように IdP を手動で更新する必要がある場合があります。これを行うには、https://signin.aws.amazon.com/static/saml-metadata.xml にある saml-metadata.xml ファイルをダウンロードし、IdP にアップロードします。これによって、IdP のメタデータが更新されます。

場合によっては IdPs、更新がすでに設定されている可能性があります。すでに設定されている場合は、この手順を省略できます。IdP でこの更新がまだ設定されていない場合には、IdP から提供されるドキュメントでメタデータを更新する方法に関する情報を確認します。一部のプロバイダーでは、ダッシュボードにURLXMLファイルの を入力するオプションがあり、IdP がファイルを取得してインストールします。それ以外の場合は、 からファイルをダウンロードしURL、ダッシュボードにアップロードする必要があります。

重要

現時点では、IdP で設定したアプリケーションへのアクセス WorkSpacesを IdP のユーザーに許可することもできます。ディレクトリの WorkSpaces アプリケーションへのアクセスが許可されているユーザーには、 WorkSpace自動的に が作成されません。同様に、 が WorkSpace 作成されたユーザーには、 WorkSpaces アプリケーションへのアクセスは自動的に許可されません。SAML 2.0 認証 WorkSpace を使用して に正常に接続するには、ユーザーが IdP によって承認され、 WorkSpace が作成されている必要があります。

ステップ 7: SAML認証レスポンスのアサーションを作成する

IdP が認証レスポンスのSAML属性 AWS として に送信する情報を設定します。IdP よっては、これはすでに設定されている場合があります。すでに設定されている場合は、この手順を省略できます。まだ設定されていない場合は、以下を指定します

  • SAML Subject NameID — サインインしているユーザーの一意の識別子。このフィールドの形式/値は変更しないでください。変更すると、ユーザーが別のユーザーとして扱われ、ホームフォルダが正常に機能しません。

    注記

    ドメイン結合 WorkSpaces プールの場合、ユーザーのNameID値は、 を使用する domain\username形式sAMAccountName、 を使用する username@domain.com形式userPrincipalName、または のみの形式で指定する必要がありますuserNamesAMAccountName 形式を使用している場合は、NetBIOS 名または完全修飾ドメイン名 () を使用してドメインを指定できますFQDN。Active Directory の一方向の信頼には、sAMAccountName 形式が必要です。詳細については、「 WorkSpaces プールでの Active Directory の使用」を参照してください。userName だけを指定すると、ユーザーはプライマリドメインにログインすることになります。

  • SAML サブジェクトタイプ ( 値を に設定persistent — IdP が特定のユーザーからのすべてのSAMLリクエストで NameID要素に同じ一意の値を送信するpersistentように 値を設定します。ステップ 5: 2.0 SAML フェデレーションIAMロールを作成する 「」セクションで説明されているようにpersistent、 が SAMLsub_typeに設定されているSAMLリクエストのみを許可する条件がIAMポリシーに含まれていることを確認してください。

  • Attribute Name 属性が https://aws.amazon.com/SAML/Attributes/Role に設定された 要素 — この要素には、ユーザーが IdP によってマッピングされるIAMロールと SAML IdP を一覧表示する 1 つ以上のAttributeValue要素が含まれます。ロールと IdP は、 のカンマ区切りのペアとして指定されますARNs。予期される値の例は arn:aws:iam::<account-id>:role/<role-name>,arn:aws:iam::<account-id>:saml-provider/<provider-name> です。

  • Attribute Name 属性が https://aws.amazon.com/SAML/Attributes/ に設定された 要素RoleSessionName — この要素には、 に発行される AWS 一時的な認証情報の識別子を提供する AttributeValue要素が 1 つ含まれていますSSO。AttributeValue 要素の値は 2~64 文字とし、英数字と _ . : / = + - @ の特殊文字を含めることができます。スペースを含めることはできません。値は通常、E メールアドレスまたはユーザープリンシパル名 () ですUPN。ユーザーの表示名のように、スペースを含む値とすることはできません。

  • Attribute Name 属性が https://aws.amazon.com/SAML/Attributes/PrincipalTag:Email に設定された 要素 — この要素には、ユーザーの E メールアドレスを提供する AttributeValue 要素が 1 つ含まれています。値は、 WorkSpaces ディレクトリで定義されている WorkSpaces ユーザーの E メールアドレスと一致する必要があります。タグ値には、文字、数字、スペース、および特殊文字 (_ . : / = + - @) の組み合わせを含めることができます。詳細については、「 AWS Identity and Access Management ユーザーガイド」の「 IAMおよび でのタグ付けのルール AWS STS」を参照してください。

  • (オプション) Attribute Name 属性が https://aws.amazon.com/SAML/Attributes/PrincipalTag:UserPrincipalName — この要素には、サインインしているuserPrincipalNameユーザーの Active Directory を提供する 1 つの AttributeValue 要素が含まれています。値は username@domain.com の形式で指定する必要があります。このパラメータは、証明書ベースの認証で、エンドユーザー証明書のサブジェクト代替名として使用します。詳細については、「証明書ベースの認証と WorkSpaces 個人」を参照してください。

  • (オプション) Attribute Name 属性が https://aws.amazon.com/SAML/Attributes/PrincipalTag:ObjectSid (オプション) に設定された 要素 — この要素には、サインインしているユーザーの Active Directory セキュリティ識別子 (SID) を提供する 1 つの AttributeValue 要素が含まれます。このパラメータを証明書ベースの認証で使用すると、Active Directory ユーザーへの強力なマッピングが可能になります。詳細については、「証明書ベースの認証と WorkSpaces 個人」を参照してください。

  • (オプション) Attribute Name 属性が https://aws.amazon.com/SAML/Attributes/PrincipalTag:Domain に設定されている 要素 — この要素には、サインインするユーザーに Active Directory のDNS完全修飾ドメイン名 (FQDN) を提供する 1 つの AttributeValue 要素が含まれています。このパラメータは、ユーザーの Active Directory userPrincipalName に代替サフィックスが含まれている場合に、証明書ベースの認証で使用されます。値にはサブドメインを含め、domain.com の形式で指定する必要があります。

  • (オプション) Attribute Name 属性が https://aws.amazon.com/SAML/Attributes/ に設定されている 要素SessionDuration — この要素には、再認証が必要になる前にユーザーのフェデレーティッドストリーミングセッションをアクティブのままにできる最大時間を指定する 1 つの AttributeValue 要素が含まれています。デフォルト値は 3600 秒 (60 分) です。詳細については、「 AWS Identity and Access Management ユーザーガイドSAML SessionDurationAttribute」の「」を参照してください。

    注記

    SessionDuration はオプションの属性ですが、SAMLレスポンスに含めることをお勧めします。この属性を指定しない場合、セッション期間はデフォルト値の 3600秒 (60 分) に設定されます。 WorkSpaces デスクトップセッションは、セッション期間が終了すると切断されます。

これらの要素を設定する方法の詳細については、「 AWS Identity and Access Management ユーザーガイド」の「認証レスポンスのSAMLアサーションの設定」を参照してください。IdP の特定の設定要件に関する詳細は、IdP のドキュメントを参照してください。

ステップ 8: フェデレーションのリレーステートを設定する

IdP を使用して、 WorkSpaces プールディレクトリのリレーステート を指すようにフェデレーションのリレーステートを設定しますURL。による認証に成功すると AWS、ユーザーは WorkSpaces プールディレクトリエンドポイントに誘導されます。このエンドポイントは、SAML認証レスポンスでリレーステートとして定義されます。

リレーステートURL形式は次のとおりです。


https://relay-state-region-endpoint/sso-idp?registrationCode=registration-code

次の表に、2.0 WorkSpaces SAML 認証が利用可能な AWS リージョンのリレーステートエンドポイントを示します。 WorkSpaces プール機能が利用できない AWS リージョンは削除されました。

リージョン リレーステートのエンドポイント
米国東部 (バージニア北部) リージョン workspaces.euc-sso.us-east-1.aws.amazon.com
米国西部 (オレゴン) リージョン workspaces.euc-sso.us-west-2.aws.amazon.com
アジアパシフィック (ムンバイ) リージョン workspaces.euc-sso.ap-south-1.aws.amazon.com
アジアパシフィック (ソウル) リージョン workspaces.euc-sso.ap-northeast-2.aws.amazon.com
アジアパシフィック (シンガポール) リージョン workspaces.euc-sso.ap-southeast-1.aws.amazon.com
アジアパシフィック (シドニー) リージョン workspaces.euc-sso.ap-southeast-2.aws.amazon.com
アジアパシフィック (東京) リージョン workspaces.euc-sso.ap-northeast-1.aws.amazon.com
カナダ (中部) リージョン workspaces.euc-sso.ca-central-1.aws.amazon.com
欧州 (フランクフルト) リージョン workspaces.euc-sso.eu-central-1.aws.amazon.com
欧州 (アイルランド) リージョン workspaces.euc-sso.eu-west-1.aws.amazon.com
欧州 (ロンドン) リージョン workspaces.euc-sso.eu-west-2.aws.amazon.com
南米 (サンパウロ) リージョン workspaces.euc-sso.sa-east-1.aws.amazon.com
AWS GovCloud (米国西部) workspaces.euc-sso.us-gov-west-1amazonaws-us-gov..com
注記

SAML IdPs での の使用の詳細については AWS GovCloud (US) Regions、 AWS GovCloud (米国) ユーザーガイド「Amazon WorkSpaces」を参照してください。
AWS GovCloud (米国東部) workspaces.euc-sso.us-gov-east-1amazonaws-us-gov..com
注記

SAML IdPs での の使用の詳細については AWS GovCloud (US) Regions、 AWS GovCloud (米国) ユーザーガイド「Amazon WorkSpaces」を参照してください。

ステップ 9: WorkSpace プールディレクトリで SAML 2.0 との統合を有効にする

WorkSpaces プールディレクトリSAMLの 2.0 認証を有効にするには、次の手順を実行します。

  1. で WorkSpaces コンソールを開きますhttps://console.aws.amazon.com/workspaces/

  2. ナビゲーションペインで [ディレクトリ] を選択します。

  3. [Pools ディレクトリ] タブを選択します。

  4. 編集するディレクトリの ID を選択します。

  5. ページの [認証] セクションで [編集] を選択します。

  6. 編集 SAML 2.0 ID プロバイダーを選択します。

  7. 「」ともSSO呼ばれるユーザーアクセス URLの場合URL、プレースホルダー値を IdP からSSOURL提供された に置き換えます。

  8. [IdP ディープリンクパラメータ名] に、設定した IdP とアプリケーションに該当するパラメータを入力します。パラメータ名を省略した場合、デフォルト値は RelayState です。

    次の表は、アプリケーションのさまざまな ID プロバイダーに固有のユーザーアクセスURLsとディープリンクパラメータ名の一覧です。

    ID プロバイダー パラメータ ユーザーアクセス URL
    ADFS RelayState https://<host>/adfs/ls/idpinitiatedsignon.aspx?RelayState=RPID=<relaying-party-uri>
    Azure AD RelayState https://myapps.microsoft.com/signin/<app-id>?tenantId=<tenant-id>
    Duo Single Sign-On RelayState https://<sub-domain>.sso.duosecurity.com/saml2/sp/<app-id>/sso
    Okta RelayState https://<sub-domain>.okta.com/app/<app-name>/<app-id>/sso/saml
    OneLogin RelayState https://<sub-domain>.onelogin.com/trust/saml2/http-post/sso/<app-id>
    JumpCloud RelayState https://sso.jumpcloud.com/saml2/<app-id>
    Auth0 RelayState https://<default-tenant-name>.us.auth0.com/samlp/<client-id>
    PingFederate TargetResource https://<host>/idp/startSSO.ping?PartnerSpId=<sp-id>
    PingOne エンタープライズ向け TargetResource https://sso.connect.pingidentity.com/sso/sp/initsso?saasid=<app-id>&idpid=<idp-id>

  9. [Save] を選択します。

重要

ユーザーから 2.0 SAML を取り消しても、セッションは直接切断されません。タイムアウトが発動した後にのみユーザーが削除されます。また、 TerminateWorkspacesPoolSession を使用して終了することもできますAPI。

トラブルシューティング

以下の情報は、 WorkSpaces プールに関する特定の問題のトラブルシューティングに役立ちます。

SAML 認証の完了後に WorkSpaces Pools クライアントで「ログインできません」というメッセージが表示される

SAML クレームPrincipalTag:EmailnameIDと は、Active Directory で設定されたユーザー名と E メールと一致する必要があります。一部の IdP では、特定の属性を調整した後、更新、更新、再デプロイが必要になる場合があります。調整を行ってもSAMLキャプチャに反映されない場合は、変更を有効にするために必要な特定のステップについて、IdP のドキュメントまたはサポートプログラムを参照してください。