翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。 # AMS コンソールへのフェデレーションの設定 (SALZ) 次の表に詳述されている IAM ロールと SAML ID プロバイダー (信頼されたエンティティ) は、アカウントのオンボーディングの一部としてプロビジョニングされています。これらのロールを使用すると、RFCs、サービスリクエスト、インシデントレポートを送信およびモニタリングし、VPCsとスタックに関する情報を取得できます。 **** | ロール | ID プロバイダー | アクセス許可 | | --- | --- | --- | | Customer\_ReadOnly\_Role | SAML | 標準 AMS アカウントの場合。RFCs を送信して AMS が管理するインフラストラクチャを変更したり、サービスリクエストやインシデントを作成したりできます。 | | Customer\_managed\_ad\_user\_role | SAML | AMS Managed Active Directory アカウントの場合。AMS コンソールにログインして、サービスリクエストとインシデント (RFCsなし) を作成できます。 | 異なるアカウントで使用可能なロールの完全なリストについては、「」を参照してください[AMS の IAM ユーザーロール](defaults-user-role.md)。 オンボーディングチームのメンバーは、フェデレーションソリューションから事前設定された ID プロバイダーにメタデータファイルをアップロードします。Shibboleth や Active Directory フェデレーションサービスなどの SAML 互換 IdP (ID プロバイダー) 間の信頼を確立し、組織内のユーザーが AWS リソースにアクセスできるようにする場合は、SAML ID プロバイダーを使用します。IAM の SAML ID プロバイダーは、上記のロールを持つ IAM 信頼ポリシーのプリンシパルとして使用されます。 他のフェデレーションソリューションは AWS の統合手順を提供しますが、AMS には個別の手順があります。次のブログ記事[「Windows Active Directory、AD FS、SAML 2.0 を使用した AWS へのフェデレーションの有効化](https://aws.amazon.com/blogs/security/enabling-federation-to-aws-using-windows-active-directory-adfs-and-saml-2-0/)」と以下の修正により、企業ユーザーは 1 つのブラウザから複数の AWS アカウントにアクセスできます。 ブログ投稿に従って証明書利用者の信頼を作成したら、次の方法でクレームルールを設定します。 + **NameId**: ブログ記事に従ってください。 + **RoleSessionName**: 次の値を使用します。 + **クレームルール名**: RoleSessionName + **属性ストア**: Active Directory + **LDAP 属性**: SAM-Account-Name + **送信クレームタイプ**: https://aws.amazon.com/SAML/Attributes/RoleSessionName + AD グループを取得する: ブログ記事に従ってください。 + ロールクレーム: ブログ記事に従いますが、カスタムルールには以下を使用します。 ``` c:[Type == "http://temp/variable", Value =~ "(?i)^AWS-([^d]{12})-"] => issue(Type = "https://aws.amazon.com/SAML/Attributes/Role", Value = RegExReplace(c.Value, "AWS-([^d]{12})-", "arn:aws:iam::$1:saml-provider/customer-readonly-saml,arn:aws:iam::$1:role/")); ``` AD FS を使用する場合は、次の表に示す形式でロールごとに Active Directory セキュリティグループを作成する必要があります (customer\_managed\_ad\_user\_role は AMS Managed AD アカウント専用です)。 **** | グループ | ロール | | --- | --- | | AWS-[AccountNo]-Customer\_ReadOnly\_Role | Customer\_ReadOnly\_Role | | AWS-[AccountNo]-customer\_managed\_ad\_user\_role | Customer\_managed\_ad\_user\_role | 詳細については、[「認証レスポンスの SAML アサーションの設定](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml_assertions.html)」を参照してください。 **ヒント** トラブルシューティングに役立つように、ブラウザの SAML トレーサープラグインをダウンロードします。