翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# IAM と Amazon Quick を使用した IdP フェデレーションの設定
| |
| --- |
| 適用先: Enterprise Edition と Standard Edition |
| |
| --- |
| 対象者: システム管理者 |
**注記**
IAM ID フェデレーションは、ID プロバイダーグループと Amazon Quick の同期をサポートしていません。
AWS Identity and Access Management (IAM) ロールとリレーステート URL を使用して、SAML 2.0 に準拠する ID プロバイダー (IdP) を設定できます。このロールは、Amazon Quick へのアクセス許可をユーザーに付与します。リレーステートは、 AWSによる認証に成功した後にユーザーが転送されるポータルです。
**Topics**
+ [前提条件](#external-identity-providers-setting-up-prerequisites)
+ [ステップ 1: で SAML プロバイダーを作成する AWS](#external-identity-providers-create-saml-provider)
+ [ステップ 2: フェデレーティッドユーザーのアクセス許可 AWS を で設定する](#external-identity-providers-grantperms)
+ [ステップ 3: SAML IdP を設定する](#external-identity-providers-config-idp)
+ [ステップ 4: SAML 認証レスポンスのアサーションを作成する](#external-identity-providers-create-assertions)
+ [ステップ 5: フェデレーションのリレーステートを設定する](#external-identity-providers-relay-state)
## 前提条件
SAML 2.0 接続を設定する前に、以下の操作を行います。
+ AWS との信頼関係を確立するように IdP を設定します。
+ 組織のネットワーク内で、Windows Active Directory などの ID ストアを SAML ベースの IdP で使用するように設定します。SAML ベースの IdP としては、Active Directory フェデレーションサービス、Shibboleth などがあります。
+ IdP を使用して、組織を ID プロバイダーとするメタデータドキュメントを生成します。
+ AWS マネジメントコンソールの場合と同じ手順で、SAML 2.0 認証を設定します。このプロセスが完了したら、Quick のリレー状態と一致するようにリレー状態を設定できます。詳細については、「フェ[デレーションのリレー状態を設定する](https://docs.aws.amazon.com/quicksight/latest/user/external-identity-providers-setting-up-saml.html#external-identity-providers-relay-state)」を参照してください。
+ Amazon Quick アカウントを作成し、IAM ポリシーと IdP を設定するときに使用する名前を書き留めます。Amazon Quick アカウントの作成の詳細については、[「Amazon Quick サブスクリプションにサインアップする](https://docs.aws.amazon.com/quicksight/latest/user/signing-up.html)」を参照してください。
チュートリアルで説明 AWS マネジメントコンソール されているように にフェデレーションするセットアップを作成したら、チュートリアルで提供されているリレー状態を編集できます。これを行うには、以下のステップ 5 で説明する Amazon Quick のリレー状態を使用します。
詳細については、以下のリソースを参照してください。
+ 「*IAM ユーザーガイド*」の「[サードパーティーの SAML ソリューションプロバイダーと AWSの統合](https://docs.aws.amazon.com/singlesignon/latest/userguide/)」
+ *IAM ユーザーガイド*の「 [を使用した SAML 2.0 フェデレーションのトラブルシューティング AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_saml.html)」も参照してください。
+ [ADFS AWS と の間の信頼を設定し、Active Directory 認証情報を使用して ODBC ドライバーで Amazon Athena に接続する](https://aws.amazon.com/blogs/big-data/setting-up-trust-between-adfs-and-aws-and-using-active-directory-credentials-to-connect-to-amazon-athena-with-odbc-driver/) – このチュートリアル記事は役立ちますが、Amazon Quick を使用するには Athena を設定する必要はありません。
## ステップ 1: で SAML プロバイダーを作成する AWS
SAML ID プロバイダーは、組織の IdP を に定義します AWS。設定には、IdP を利用して以前に生成したメタデータドキュメントを使用します。
**で SAML プロバイダーを作成するには AWS**
1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) で IAM コンソールを開きます。
1. 新しい SAML プロバイダーを作成します。これは、組織の ID プロバイダーに関する情報を保持する IAM のエンティティです。詳細については、*IAM ユーザーガイド*の [SAML ID プロバイダーの作成](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml.html)を参照してください。
1. このプロセスの一環として、前のセクションで言及した組織の IdP ソフトウェアによって生成されたメタデータドキュメントをアップロードします。
## ステップ 2: フェデレーティッドユーザーのアクセス許可 AWS を で設定する
次に、IAM と組織の IdP の間の信頼関係を確立する IAM ロールを作成します。このロールは、フェデレーションの目的で IdP をプリンシパル (信頼されたエンティティ) として識別します。このロールは、組織の IdP によって認証されたユーザーが Amazon Quick にアクセスすることを許可されることも定義します。SAML IdP のロールの作成の詳細については、*IAM ユーザーガイド* の [SAML 2.0 フェデレーション用のロールの作成](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-idp_saml.html)を参照してください。
ロールを作成したら、インラインポリシーをロールにアタッチすることで、ロールのアクセス許可を Amazon Quick のみに制限できます。次のポリシードキュメントのサンプルは、Amazon Quick へのアクセスを提供します。このポリシーにより、ユーザーは Amazon Quick にアクセスでき、作成者アカウントと閲覧者アカウントの両方を作成できます。
**注記**
以下の例では、** を 12 桁の AWS アカウント アカウント ID (ハイフン ‘‐’ なし) に置き換えています。
```
{
"Statement": [
{
"Action": [
"quicksight:CreateUser"
],
"Effect": "Allow",
"Resource": [
"arn:aws:quicksight:::user/${aws:userid}"
]
}
],
"Version": "2012-10-17"
}
```
Amazon Quick へのアクセスを提供し、Amazon Quick 管理者、作成者 (標準ユーザー)、およびリーダーを作成する機能を提供する場合は、次のポリシー例を使用できます。
```
{
"Statement": [
{
"Action": [
"quicksight:CreateAdmin"
],
"Effect": "Allow",
"Resource": [
"arn:aws:quicksight:::user/${aws:userid}"
]
}
],
"Version": "2012-10-17"
}
```
アカウントの詳細については、「」を参照してください AWS マネジメントコンソール。
SAML と IAM ポリシーまたはポリシーの設定後に、手動でユーザーを招待する必要はありません。ユーザーが Amazon Quick を初めて開くと、ポリシーの最上位のアクセス許可を使用して自動的にプロビジョニングされます。たとえば、`quicksight:CreateUser` と `quicksight:CreateReader` 両方のアクセス権限がある場合、作成者としてプロビジョニングされます。また、`quicksight:CreateAdmin` へのアクセス権限もある場合は、管理者としてプロビジョニングされます。各アクセス権限レベルでは、同レベル以下のユーザーを作成できます。たとえば、作成者は別の作成者や閲覧者を追加できます。
手動で招待されたユーザーは、招待したユーザーに割り当てられたロールで作成されます。アクセス権限を付与するポリシーは不要です。
## ステップ 3: SAML IdP を設定する
IAM ロールを作成したら、サービスプロバイダー AWS として に関する SAML IdP を更新します。更新のために、以下から `saml-metadata.xml` ファイルインストールします: [https://signin.aws.amazon.com/static/saml-metadata.xml](https://signin.aws.amazon.com/static/saml-metadata.xml)。
IdP メタデータを更新するには、IdP から提供される手順を参照してください。プロバイダーによっては、URL の入力を選択できる場合があります。この場合、IdP がお客様の代わりにファイルを取得してインストールします。また、URL からファイルをダウンロードし、ローカルファイルとして指定する必要があるプロバイダーもあります。
詳細については、IdP のドキュメントを参照してください。
## ステップ 4: SAML 認証レスポンスのアサーションを作成する
次に、認証レスポンスの一部として IdP が SAML 属性 AWS として渡す情報を設定します。詳細については、*IAM ユーザーガイド*の[認証レスポンスの SAML アサーションを設定する](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml_assertions.html)を参照してください。
## ステップ 5: フェデレーションのリレーステートを設定する
最後に、Amazon Quick リレーステート URL を指すようにフェデレーションのリレーステートを設定します。による認証が成功すると AWS、ユーザーは SAML 認証レスポンスのリレー状態として定義された Amazon Quick に誘導されます。
Amazon Quick のリレーステート URL は次のとおりです。
```
https://quicksight.aws.amazon.com
```