翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# サードパーティーの SAML 2.0 アイデンティティプロバイダーを使用した属性ベースのアプリケーションの使用権限
<a name="application-entitlements-saml"></a>

アプリケーションエンタイトルメントは、WorkSpaces アプリケーションスタック内の特定のアプリケーションへのアクセスを制御します。これは、サードパーティーの SAML 2.0 アイデンティティプロバイダーからの SAML 2.0 属性アサーションを使用して動作します。ユーザー ID が WorkSpaces Applications 2.0 SAML アプリケーションにフェデレーションされると、アサーションは値と一致します。使用権限が true で、属性の名前と値が一致する場合、スタック内の 1 つ以上のアプリケーションに対するユーザーアイデンティティへのアクセス権が付与されます。

以下のシナリオでは、サードパーティーの SAML 2.0 アイデンティティプロバイダーを使用する属性ベースのアプリケーションの使用権限は適用されません。つまり、次のような場合、使用権限は無視されます。
+ WorkSpaces Applications ユーザープール認証。詳細については、「[Amazon WorkSpaces アプリケーションユーザープール](user-pool.md)」を参照してください。
+ WorkSpaces アプリケーションストリーミング URL 認証。詳細については、「[ストリーミング URL](use-client-start-streaming-session-streaming-URL.md)」を参照してください。
+ WorkSpaces アプリケーションフリートがデスクトップ**ストリームビュー用に設定されている場合のデスクトップ**アプリケーション。詳細については、「[Amazon WorkSpaces アプリケーションフリートとスタックを作成する](set-up-stacks-fleets.md)」を参照してください。
+ 動的アプリケーションフレームワークを使用するスタック。動的アプリケーションフレームワークは、個別のアプリケーションの使用権限機能を提供します。詳細については、「[動的アプリケーションフレームワークを使用した動的アプリケーションプロバイダーからのアプリケーションの使用権限の適用](dynamic-app-framework.md)」を参照してください。
+ ユーザーが WorkSpaces アプリケーションカタログにフェデレーションする場合、アプリケーションの使用権限には、ユーザーに権限があるアプリケーションのみが表示されます。アプリケーションは WorkSpaces アプリケーションセッション内での実行を制限されません。例えば、デスクトップストリームビュー用に設定されたフリートでは、ユーザーはデスクトップから直接アプリケーションを起動できます。

## アプリケーションの使用権限の作成
<a name="manage-application-entitlements"></a>

アプリケーションの使用権限を作成する前に、以下を実行する必要があります。
+ ニーズに合った 1 つ以上のアプリケーション (常時オンまたはオンデマンドフリート) または割り当てられたアプリケーション (Elastic フリート) を含むイメージを使用して WorkSpaces アプリケーションフリートとスタックを作成します。詳細については、「[Amazon WorkSpaces アプリケーションフリートとスタックを作成する](set-up-stacks-fleets.md)」を参照してください。
+ サードパーティーの SAML 2.0 アイデンティティプロバイダーを使用して、スタックへのユーザーアクセスを提供します。詳細については、「[Amazon WorkSpaces アプリケーションと SAML 2.0 の統合](external-identity-providers.md)」を参照してください。以前にセットアップした既存の SAML 2.0 アイデンティティプロバイダーを使用している場合は、「[ステップ 2: SAML 2.0 フェデレーション IAM ロールを作成する](external-identity-providers-setting-up-saml.md#external-identity-providers-grantperms)」のIAM ロールの信頼ポリシーに sts:TagSession 許可を追加する手順を参照してください。詳細については、「[AWS STSでのセッションタグの受け渡し](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_session-tags.html)」を参照してください。この許可は、アプリケーションの使用権限を使用するために必要です。

**アプリケーション使用権限を作成するには**

1. [WorkSpaces アプリケーションコンソールを開きます](managing-image-builders-connect-console.md)。

1. 左のナビゲーションペインで、**[Stacks]** (スタック) を選択し、アプリケーションの使用権限を管理するスタックを選択します。

1. **[Application Entitlements]** (アプリケーションの使用権限) ダイアログボックスで、**[Create]** (作成) を選択します。

1. 使用権限の**[Name]** (名前) と**[Description]** (説明) を入力します。

1. 使用権限の属性名と値を定義します。

   属性をマッピングする場合は、https://aws.amazon.com/SAML/Attributes/PrincipalTag:\$1TagKey\$1 の形式で属性を指定します。\$1TagKey\$1 は次の属性のいずれかです。
   + ロール
   + department
   + 組織
   + グループ
   + title
   + costCenter
   + userType

   定義した属性は、スタック内のアプリケーションが WorkSpaces アプリケーションセッションにフェデレーションするときにユーザーに権限を付与するために使用されます。使用権限は、フェデレーション中に作成された SAML アサーションのキーバリュー名と、属性名を一致させることによって機能します。詳細については、「[SAML PrincipalTag 属性](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_providers_create_saml_assertions.html#saml_role-session-tags.html)」を参照してください。
**注記**  
1 つ以上の値をコロン (:) で区切って、サポートされている属性に含めることができます。  
たとえば、グループ情報を SAML 属性名 https://aws.amazon.com/SAML/Attributes/PrincipalTag:groups に「group1: group2: group3」という値で渡すことができます。使用権限は、単一のグループ値、例えば「group1」に基づいてアプリケーションを許可できます。詳細については、「[SAML PrincipalTag 属性](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_providers_create_saml_assertions.html#saml_role-session-tags.html)」を参照してください。

1. スタック内のアプリケーション設定を構成して、すべてのアプリケーションに資格を付与するか、アプリケーションを選択します。**[All applications (\$1)]** (すべてのアプリケーション (\$1)) を選択すると、将来追加されるアプリケーションを含め、スタックで使用可能なすべてのアプリケーションを適用します。**[Select applications]** (アプリケーションの選択) を選択すると、特定のアプリケーション名をフィルタリングします。

1. 設定を確認して使用権限を作成します。このプロセスを繰り返して、追加の使用権限を作成できます。スタック内のアプリケーションに対する使用権限は、属性名と値に基づいてユーザーと一致するすべての使用権限の組合わせとなります。

1. SAML 2.0 ID プロバイダーで、使用権限で定義された属性と値を送信するように WorkSpaces Applications SAML アプリケーション属性マッピングを設定します。ユーザーが WorkSpaces アプリケーションカタログにフェデレーションする場合、アプリケーションの使用権限には、ユーザーに権限があるアプリケーションのみが表示されます。

## SAML 2.0 マルチスタックアプリケーションカタログ
<a name="saml-application-catalog"></a>

サードパーティー SAML 2.0 アイデンティティプロバイダーを使用する属性ベースのアプリケーションの使用権限を使用すると、単一のリレー状態 URL から複数のスタックへのアクセスを有効にできます。次のように、リレー状態 URL からスタックと アプリケーション (存在する場合) パラメータを削除します。

```
https://relay-state-region-endpoint?accountId=aws-account-id-without-hyphens
```

ユーザーが WorkSpaces アプリケーションカタログにフェデレーションすると、アプリケーションの使用権限がアカウント ID とスタックがあるリージョンに関連付けられたリレーステートエンドポイントの 1 つ以上のアプリケーションをユーザーと一致させたすべてのスタックが表示されます。ユーザーがカタログを選択すると、アプリケーションの使用権限には、そのユーザーが資格を持つアプリケーションのみが表示されます。詳細については、「[ステップ 6: フェデレーションのリレーステートを設定する](external-identity-providers-setting-up-saml.md#external-identity-providers-relay-state)」を参照してください。

**注記**  
SAML 2.0 マルチスタックアプリケーションカタログを使用するには、SAML 2.0 フェデレーション IAM ロールのインラインポリシーを設定する必要があります。詳細については、「[ステップ 3: IAM ロールにインラインポリシーを埋め込む](external-identity-providers-setting-up-saml.md#external-identity-providers-embed-inline-policy-for-IAM-role)」を参照してください。