AWS IAM Identity Center(旧 AWS Single Sign-On) のSAML認証の設定方法

※ AWS にて事前の設定が必要です。
※ 2022年7月にAWS IAM Identity CenterはAWS Single Sign-Onから名称が変更されました。設定手順はほぼ変わっておりませんが、本マニュアル内の名称及び画像がAWS SSOのものとなっており、画面遷移等が異なる場合がございますのでご了承ください。
※ 最新の設定手順は、Amazon からご提供されているマニュアルをご確認くださいますようお願いいたします。

 

トラスト・ログインの管理ページの設定

  1. トラスト・ログインにログインし、「管理ページ > アプリ」メニューを開き、画面右上の「アプリ登録」ボタンを押します。
    01.png

  2. 「企業アプリ登録」画面で検索し、「AWS Single Sign-On (SAML)」を選択します。
    02.png

  3. 「IDプロバイダーの情報」 の「メタデータをダウンロード」からメタデータをダウンロードします。
    03.png

ここで、AWS側の設定に移ります。
「登録」ボタンは押さず、別タブでAWS Single Sign-On Consoleを開いてください。

AWS の設定

  1. AWS Single Sign-On Consoleにサインインします。

  2. AWS SSOを有効にする」を選択します。※ ルートアカウントでないと有効化できません。
    04.png

  3. 正常に有効化されたことを確認します。
    05.png

  4. 「設定」から「アクション > アイデンティティソースを変更」を選択します。
    06.png

  5. 「外部IDプロバイダー」を選択します。
    07.png

  6. 「サービスプロバイダーのメタデータ」の「メタデータファイルのダウンロード」をからメタデータをダウンロードします。ダウンロードしたメタデータファイルは後ほどトラスト・ログインにアップロードします。
    08.png

  7. 「IdP SAML メタデータ」にトラスト・ログインからダウンロードしたメタデータをアップロードし「次へ」を押下します。

    09.png

  8. 「承諾」と入力し「アイデンティティソースを変更」を選択します。
    10.png

  9. メッセージが表示されたことを確認します。
    11.png

再びトラスト・ログインの管理ページに戻ります。

トラスト・ログインの管理ページの設定(続き)

  1. AWSで取得したメタデータファイルをアプリ登録画面の「メタデータを選択」からアップロードします。
    12.png

  2. 「登録」ボタンで保存します。

 

トラスト・ログインのユーザーの設定

① ユーザーがマイページで追加する場合

  1. 「マイページ」で「アプリ追加」ボタンを押します。
  2. 「アプリ登録」画面で「AWS Single Sign-On (SAML)」を選択し、画面右上の「次へ」ボタンを押します。
  3. 「表示名」を変更する場合は入力し、「登録」ボタンを押します。

②管理者がメンバーを追加する場合

  1. 「管理ページ > アプリ」メニューで「AWS Single Sign-On (SAML)」アプリを検索しクリックします。
  2. 「メンバー追加」をクリックし、メンバー一覧から追加するユーザーを選択し「登録」ボタンを押して追加します。

 

AWS のユーザー追加

  1. AWS側でユーザーを登録します。「ユーザー」から「ユーザー追加」を選択します。
    13.png

  2. トラスト・ログインでアプリに登録したユーザーの情報を入力し、「次へ」を押下します。
    14.png

  3. 今回は特に設定しないため、そのまま「次へ」を選択し進みます。
    15.png

  4. 「ユーザーを追加」を押下し、ユーザーが正常に追加されたことを確認します。
    16.png
    16-2.png

  5. 「アクセス許可セット」を開き、「許可セットを作成」を押下します。
    17.png

  6. 許可セットのタイプを「事前定義された許可セット」、下のAWSマネージドポリシーの一覧から「AdministratorAccess」を選択し「次へ」で進みます。
    18.png

  7. 任意の許可セット名を設定し「次へ」で進みます。
    19.png

  8. 内容を確認し「作成」を押下します。
    20.png

  9. アクセス許可セットが作成されたことを確認します。
    21.png

  10. AWSアカウント」を開き、アカウント名のリンクをクリックします。
    24.png

  11. 「ユーザーまたはグループを割り当て」を選択します。
    25.png

  12. 先ほど作成したユーザーにチェックを入れ、「Next」を押下します。
    26.png

  13. 先ほど作成したアクセス許可セットにチェックを入れ、「Next」を押下します。
    27.png

  14. 内容を確認し、「送信」を押下します。
    28.png

  15. 許可セットがアカウントに適用されたことを確認します。
    29.png

接続確認

  1. AWS SSOのダッシュボードからユーザーポータルのURLを探し、クリックします。
    30.png

  2. トラスト・ログインのサインインに遷移されるので、ログインを行います。
    30.png

  3. AWSの画面に遷移します。
    31.png

  4. AWS Account」をクリックするとアカウント名が表示され、さらに展開すると、割り当てたアクセス許可セットが表示されます。その右の「Management Console」を選択します。
    32.png

  5. AWSのマネージメントコンソールが表示されます。
    33.png

AWS IAM Identity Center(旧 AWS Single Sign-On) のSAML認証の設定方法

※ AWS にて事前の設定が必要です。
※ 2022年7月にAWS IAM Identity CenterはAWS Single Sign-Onから名称が変更されました。設定手順はほぼ変わっておりませんが、本マニュアル内の名称及び画像がAWS SSOのものとなっており、画面遷移等が異なる場合がございますのでご了承ください。
※ 最新の設定手順は、Amazon からご提供されているマニュアルをご確認くださいますようお願いいたします。

 

トラスト・ログインの管理ページの設定

  1. トラスト・ログインにログインし、「管理ページ > アプリ」メニューを開き、画面右上の「アプリ登録」ボタンを押します。
    01.png

  2. 「企業アプリ登録」画面で検索し、「AWS Single Sign-On (SAML)」を選択します。
    02.png

  3. 「IDプロバイダーの情報」 の「メタデータをダウンロード」からメタデータをダウンロードします。
    03.png

ここで、AWS側の設定に移ります。
「登録」ボタンは押さず、別タブでAWS Single Sign-On Consoleを開いてください。

AWS の設定

  1. AWS Single Sign-On Consoleにサインインします。

  2. AWS SSOを有効にする」を選択します。※ ルートアカウントでないと有効化できません。
    04.png

  3. 正常に有効化されたことを確認します。
    05.png

  4. 「設定」から「アクション > アイデンティティソースを変更」を選択します。
    06.png

  5. 「外部IDプロバイダー」を選択します。
    07.png

  6. 「サービスプロバイダーのメタデータ」の「メタデータファイルのダウンロード」をからメタデータをダウンロードします。ダウンロードしたメタデータファイルは後ほどトラスト・ログインにアップロードします。
    08.png

  7. 「IdP SAML メタデータ」にトラスト・ログインからダウンロードしたメタデータをアップロードし「次へ」を押下します。

    09.png

  8. 「承諾」と入力し「アイデンティティソースを変更」を選択します。
    10.png

  9. メッセージが表示されたことを確認します。
    11.png

再びトラスト・ログインの管理ページに戻ります。

トラスト・ログインの管理ページの設定(続き)

  1. AWSで取得したメタデータファイルをアプリ登録画面の「メタデータを選択」からアップロードします。
    12.png

  2. 「登録」ボタンで保存します。

 

トラスト・ログインのユーザーの設定

① ユーザーがマイページで追加する場合

  1. 「マイページ」で「アプリ追加」ボタンを押します。
  2. 「アプリ登録」画面で「AWS Single Sign-On (SAML)」を選択し、画面右上の「次へ」ボタンを押します。
  3. 「表示名」を変更する場合は入力し、「登録」ボタンを押します。

②管理者がメンバーを追加する場合

  1. 「管理ページ > アプリ」メニューで「AWS Single Sign-On (SAML)」アプリを検索しクリックします。
  2. 「メンバー追加」をクリックし、メンバー一覧から追加するユーザーを選択し「登録」ボタンを押して追加します。

 

AWS のユーザー追加

  1. AWS側でユーザーを登録します。「ユーザー」から「ユーザー追加」を選択します。
    13.png

  2. トラスト・ログインでアプリに登録したユーザーの情報を入力し、「次へ」を押下します。
    14.png

  3. 今回は特に設定しないため、そのまま「次へ」を選択し進みます。
    15.png

  4. 「ユーザーを追加」を押下し、ユーザーが正常に追加されたことを確認します。
    16.png
    16-2.png

  5. 「アクセス許可セット」を開き、「許可セットを作成」を押下します。
    17.png

  6. 許可セットのタイプを「事前定義された許可セット」、下のAWSマネージドポリシーの一覧から「AdministratorAccess」を選択し「次へ」で進みます。
    18.png

  7. 任意の許可セット名を設定し「次へ」で進みます。
    19.png

  8. 内容を確認し「作成」を押下します。
    20.png

  9. アクセス許可セットが作成されたことを確認します。
    21.png

  10. AWSアカウント」を開き、アカウント名のリンクをクリックします。
    24.png

  11. 「ユーザーまたはグループを割り当て」を選択します。
    25.png

  12. 先ほど作成したユーザーにチェックを入れ、「Next」を押下します。
    26.png

  13. 先ほど作成したアクセス許可セットにチェックを入れ、「Next」を押下します。
    27.png

  14. 内容を確認し、「送信」を押下します。
    28.png

  15. 許可セットがアカウントに適用されたことを確認します。
    29.png

接続確認

  1. AWS SSOのダッシュボードからユーザーポータルのURLを探し、クリックします。
    30.png

  2. トラスト・ログインのサインインに遷移されるので、ログインを行います。
    30.png

  3. AWSの画面に遷移します。
    31.png

  4. AWS Account」をクリックするとアカウント名が表示され、さらに展開すると、割り当てたアクセス許可セットが表示されます。その右の「Management Console」を選択します。
    32.png

  5. AWSのマネージメントコンソールが表示されます。
    33.png