前提条件調達システム統合の SSO の仕組みステップ 1: IAM Identity Center アクセスポータル URL を検索するステップ 2: idc_url パラメータをパンチアウトサプライヤー URL に追加するステップ 3: (オプション) コンソールに直接アクセスするためのリレー状態を設定する要件と制限トラブルシューティング

調達システム統合の SSO の有効化

IAM Identity Center アクセスポータル URL をパンチアウト設定のクエリパラメータとして渡すことで、 AWS Marketplace 調達システム統合のシングルサインオン (SSO) を有効にできます。有効にすると、調達システム AWS Marketplace 経由でにアクセスするユーザーは、標準の AWS サインインページではなく、組織の SSO ログインページに自動的にリダイレクトされます。

注記

この SSO 設定は、Okta、Microsoft Entra ID、組み込み IAM Identity Center ディレクトリなど、IAM Identity Center でサポートされている ID プロバイダーと互換性があります。

前提条件

調達システム統合の SSO を有効にする前に、以下が必要です。

アクティブな調達システム統合 AWS Marketplace。セットアップ手順については、Coupa と統合 AWS Marketplace するようにを設定する「」または「」を参照してくださいSAP Ariba と統合 AWS Marketplace するためのの設定。
アクセスポータル URL を持つ IAM Identity Center インスタンス。セットアップ手順については、IAM Identity Center ユーザーガイドの「IAM Identity Center の有効化」を参照してください。
アクセスするユーザーは、適切なアクセス許可セットを使用して IAM Identity Center でプロビジョニング AWS Marketplace する必要があります。詳細については、「 IAM Identity Center ユーザーガイド」の「権限セット」を参照してください。ユーザープロビジョニングについてご質問がある場合は、IAM または ID チームにお問い合わせください。
パンチアウトサプライヤー URL を変更するための調達システム (Coupa または SAP Ariba) への管理アクセス。

調達システム統合の SSO の仕組み

調達システム統合用に SSO を設定すると、認証フローは次のようになります。

調達システムのユーザーがパンチアウトセッションを開始します。調達システムは、cXML PunchOutSetupRequest とともに idc_urlパラメータを送信します。
AWS Marketplace は idc_urlパラメータを読み取り、標準サインインページの代わりに IAM Identity Center アクセスポータル URL AWS にユーザーをリダイレクトします。
ユーザーは組織の ID プロバイダーを通じて認証します。これは、多要素認証 (MFA) 要件など、組織の標準認証ポリシーに従います。
認証後、IAM Identity Center はセッショントークンを発行し、ユーザーは AWS Marketplace パンチアウトセッションにリダイレクトされて製品を参照してリクエストします。

ステップ 1: IAM Identity Center アクセスポータル URL を検索する

IAM Identity Center アクセスポータル URL を見つけるには、次の手順に従います。

IAM Identity Center アクセスポータル URL を検索するには

https://console.aws.amazon.com/singlesignon/ で IAM アイデンティティセンターのコンソールを開きます。
ナビゲーションペインで [設定] を選択します。
ID ソースタブで、AWS アクセスポータル URL を見つけます。
この URL をコピーします。

アクセスポータル URL は次の例のようになります。

https://d-1234567890.awsapps.com/start

詳細については、IAM Identity Center ユーザーガイドの「AWS アクセスポータル URL のカスタマイズ」を参照してください。

ステップ 2: idc_url パラメータをパンチアウトサプライヤー URL に追加する

調達システム (Coupa または SAP Ariba) で、 AWS Marketplace パンチアウトサプライヤー URL にidc_urlクエリパラメータを追加します。idc_url 値は、IAM Identity Center インスタンスのアクセスポータル URL です。

例:


https://eprocurement.marketplace.us-east-1.amazonaws.com/v1/punchout/setup?idc_url=https://d-1234567890.awsapps.com/start

ステップ 3: (オプション) コンソールに直接アクセスするためのリレー状態を設定する

SSO 認証後にユーザーが特定の AWS コンソールページにアクセスできるようにする場合は、IAM Identity Center アクセス許可セットでリレー状態を設定します。リレーステートがないと、ユーザーは認証後に AWS マネジメントコンソールに移動します。

リレー状態の設定はオプションですが、強くお勧めします。

リレー状態を設定するには

https://console.aws.amazon.com/singlesignon/ で IAM アイデンティティセンターのコンソールを開きます。
[マルチアカウント権限] で、[権限セット] を選択します。
調達ユーザーが使用するアクセス許可セットを選択します。
[編集] を選択します。
リレー状態で、次のように入力します。 https://console.aws.amazon.com/marketplace
[Save changes] (変更の保存) をクリックします。

詳細については、IAM Identity Center ユーザーガイドの「AWS マネジメントコンソールにすばやくアクセスするためのリレー状態の設定」を参照してください。

要件と制限

SSO の要件と制限
要件	詳細
パラメータはオプションです	`idc_url` パラメータを省略すると、ユーザーは標準の AWS サインインページを表示します。
ドメイン検証なし	AWS Marketplace は、 `idc_url`パラメータでドメインを検証しません。調達管理者は、正しい IAM Identity Center アクセスポータル URL を提供する責任があります。
サポートされている ID プロバイダー	Okta、Microsoft Entra ID、組み込み IAM Identity Center ディレクトリなど、IAM Identity Center でサポートされている ID プロバイダー。

トラブルシューティング

次の表に、一般的な問題とその解決策を示します。

SSO のトラブルシューティング
問題	原因	解像度
ユーザーには標準の AWS サインインページが表示されます	`idc_url` パラメータがないか、正しく保存されていません。	サプライヤー URL にが含まれていることを確認し`?idc_url=<your-url>`、変更が保存されていることを確認します。
SSO ページがロードされるが認証は失敗する	IAM アイデンティティセンター URL が正しくないか、ユーザーがプロビジョニングされていません。	アクセスポータル URL をブラウザで直接開いて確認します。ユーザーが IAM Identity Center でプロビジョニングされていることを確認します。
セッション中に再度サインインするよう求められたユーザー	IAM Identity Center セッションの期間がパンチアウトセッションよりも短い。	IAM Identity Center の「設定、認証」でセッション期間設定を確認します。

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

SAP Ariba と統合 AWS Marketplace するためのの設定

調達システムの統合の無効化