※ AWSにトラスト・ログイン(旧 SKUID)と同じメールアドレスでアカウントを作成しておく必要があります。
※AWSのサービスによって、SAML認証の独自仕様が必要な場合があります。詳細はAWS各サービスマニュアルをご参照ください。
※ 最新の設定手順は、AWSからご提供されているマニュアルをご確認くださいますようお願いいたします。
トラスト・ログインの管理ページの設定
- トラスト・ログインにログインし、「管理ページ > アプリ」メニューを開き、画面右上の「アプリ登録」ボタンを押します。
- 「企業アプリ登録」画面で検索し、「AWS IAM (SAML)」を選択します。
- 「IDプロバイダーの情報」 の「メタデータをダウンロード」よりメタデータをダウンロードします。
ここで、AWS側の設定に移ります。
「登録」ボタンは押さず、別ウィンドウでAWSマネジメントコンソールを開いてください。
AWS の設定
- サービスの検索から「IAM」で検索しIAM管理画面を開きます。
- 【IDプロバイダーの作成】
参照: IAM SAML ID プロバイダーの作成
左メニューの「IDプロバイダー」を開き、「プロバイダの作成」をクリックします。 - 「プロバイダーのタイプを選択する」のプルダウンから「SAML」を選択し、右下の「次のステップ」で進みます。
- 「プロバイダ名」を入力し、「メタデータドキュメント」にトラスト・ログインからダウンロードしたメタデータをアップロードします。
(「プロバイダ名」は任意で構いません。ここでは例としてTrustLoginとしています。)
右下の「次のステップ」で進みます。 - 右下の「作成」を押下します。
- 作成したプロバイダを選択して開きます。
- 「プロバイダのARN」を控えておきます。
- 【ロールの作成】
参照:SAML 2.0 フェデレーション用のロールの作成 (コンソール)
左メニューの「ロール」を開き、「ロールの作成」をクリックします。 - 「SAML2.0 フェデレーション」を選択し、下に表示される各項目を以下の通り設定します。
SAML プロバイダー
先ほど作成したプロバイダーを選択する。 属性 SAML:aud
値 https://signin.aws.amazon.com/saml
「次のステップ:アクセス権限」で進みます。 - 利用するサービスに応じてポリシーを選択し、「次のステップ:タグ」で進みます。
- そのまま「次のステップ:確認」で進みます。
- 「ロール名」(任意の名称)を入力し、「ロールの作成」を押下します。
- 作成したロールを選択して開きます。
- 「ロールARN」を控えておきます。
再び、トラスト・ログインの設定ページに戻ります。
トラスト・ログインの管理ページの設定(続き)
- 「サービスプロバイダーの設定」の「SAML属性の設定」の以下赤枠の箇所に、AWSから控えておいた「ロールのARN」と「プロバイダのARN」を「,」で区切った「ロールのARN,プロバイダのARN」の形式で入力します。
「SP認証成功後の移行URL」は空白のままで構いません。 - 「登録」ボタンで保存します。
トラスト・ログインのユーザーの設定
① ユーザーがマイページで追加する場合
- 「マイページ」で「アプリ追加」ボタンを押します。
- 「アプリ登録」画面で「AWS IAM (SAML)」を選択し、画面右上の「次へ」ボタンを押します。
- 「表示名」を変更する場合は入力し、「登録」ボタンを押します。
②管理者がメンバーを追加する場合
- 「管理ページ > アプリ」メニューで「AWS IAM (SAML)」アプリを検索しクリックします。
- 「メンバー追加」をクリックし、メンバー一覧から追加するユーザーを選択し「登録」ボタンを押して追加します。