前提条件ステップ 1: で SAML プロバイダーを作成する AWS ステップ 2: フェデレーティッドユーザーのアクセス許可 AWS をで設定するステップ 3: SAML IdP を設定するステップ 4: SAML 認証レスポンスのアサーションを作成するステップ 5: フェデレーションのリレーステートを設定する

IAM と Amazon Quick Suite を使用した IdP フェデレーションの設定

適用先: Enterprise Edition と Standard Edition

対象者: システム管理者

注記

IAM ID フェデレーションは、ID プロバイダーグループと Amazon Quick Suite の同期をサポートしていません。

AWS Identity and Access Management (IAM) ロールとリレーステート URL を使用して、SAML 2.0 に準拠する ID プロバイダー (IdP) を設定できます。このロールは、Amazon Quick Suite にアクセスするためのアクセス許可をユーザーに付与します。リレーステートは、 AWSによる認証に成功した後にユーザーが転送されるポータルです。

前提条件

SAML 2.0 接続を設定する前に、以下の操作を行います。

AWS との信頼関係を確立するように IdP を設定します。
- 組織のネットワーク内で、Windows Active Directory などの ID ストアを SAML ベースの IdP で使用するように設定します。SAML ベースの IdP としては、Active Directory フェデレーションサービス、Shibboleth などがあります。
- IdP を使用して、組織を ID プロバイダーとするメタデータドキュメントを生成します。
- AWS マネジメントコンソールの場合と同じ手順で、SAML 2.0 認証を設定します。このプロセスが完了したら、Quick Suite のリレー状態と一致するようにリレー状態を設定できます。詳細については、「フェデレーションのリレー状態を設定する」を参照してください。
Amazon Quick Suite アカウントを作成し、IAM ポリシーと IdP を設定するときに使用する名前を書き留めます。Amazon Quick Suite アカウントの作成の詳細については、「Amazon Quick Suite サブスクリプションにサインアップする」を参照してください。

チュートリアルで説明 AWS マネジメントコンソールされているようににフェデレーションするセットアップを作成したら、チュートリアルで提供されているリレー状態を編集できます。これを行うには、以下のステップ 5 で説明する Amazon Quick Suite のリレー状態を使用します。

詳細については、以下のリソースを参照してください。

「IAM ユーザーガイド」の「サードパーティーの SAML ソリューションプロバイダーと AWSの統合」
IAM ユーザーガイドのを使用した SAML 2.0 フェデレーションのトラブルシューティング AWSも行います。
ADFS AWS との間の信頼を設定し、Active Directory 認証情報を使用して ODBC ドライバーで Amazon Athena に接続する – このチュートリアル記事は役立ちますが、Amazon Quick Suite を使用するには Athena を設定する必要はありません。

ステップ 1: で SAML プロバイダーを作成する AWS

SAML ID プロバイダーは、組織の IdP をに定義します AWS。設定には、IdP を利用して以前に生成したメタデータドキュメントを使用します。

で SAML プロバイダーを作成するには AWS

にサインイン AWS マネジメントコンソールし、https://console.aws.amazon.com/iam/ で IAM コンソールを開きます。
新しい SAML プロバイダーを作成します。これは、組織の ID プロバイダーに関する情報を保持する IAM のエンティティです。詳細については、IAM ユーザーガイドの SAML ID プロバイダーの作成を参照してください。
このプロセスの一環として、前のセクションで言及した組織の IdP ソフトウェアによって生成されたメタデータドキュメントをアップロードします。

ステップ 2: フェデレーティッドユーザーのアクセス許可 AWS をで設定する

次に、IAM と組織の IdP の間の信頼関係を確立する IAM ロールを作成します。このロールは、フェデレーションの目的で IdP をプリンシパル (信頼されたエンティティ) として識別します。このロールは、組織の IdP によって認証されたユーザーが Amazon Quick Suite にアクセスすることを許可されることも定義します。SAML IdP のロールの作成の詳細については、IAM ユーザーガイド の SAML 2.0 フェデレーション用のロールの作成を参照してください。

ロールを作成したら、インラインポリシーをロールにアタッチすることで、ロールのアクセス許可を Amazon Quick Suite のみに制限できます。次のポリシードキュメントのサンプルは、Amazon Quick Suite へのアクセスを提供します。このポリシーにより、ユーザーは Amazon Quick Suite にアクセスでき、作成者アカウントと閲覧者アカウントの両方を作成できます。

注記

以下の例では、<YOUR_AWS_ACCOUNT_ID> を 12 桁の AWS アカウントアカウント ID (ハイフン ‘‐’ なし) に置き換えています。



    {
    "Statement": [
        {
            "Action": [
                "quicksight:CreateUser"
            ],
            "Effect": "Allow",
            "Resource": [
                "arn:aws:quicksight::<YOUR_AWS_ACCOUNT_ID>:user/${aws:userid}"
            ]
        }
    ],
    "Version": "2012-10-17"		 	 	 
    }

Amazon Quick Suite へのアクセスを提供し、Amazon Quick Suite 管理者、作成者 (標準ユーザー）、およびリーダーを作成する機能を提供する場合は、次のポリシー例を使用できます。



    {
    "Statement": [
        {
            "Action": [
                "quicksight:CreateAdmin"
            ],
            "Effect": "Allow",
            "Resource": [
                "arn:aws:quicksight::<YOUR_AWS_ACCOUNT_ID>:user/${aws:userid}"
            ]
        }
    ],
    "Version": "2012-10-17"		 	 	 
    }

アカウントの詳細については、「」を参照してください AWS マネジメントコンソール。

SAML と IAM ポリシーまたはポリシーの設定後に、手動でユーザーを招待する必要はありません。ユーザーが Amazon Quick Suite を初めて開くと、ポリシーの最上位のアクセス許可を使用して自動的にプロビジョニングされます。たとえば、quicksight:CreateUser と quicksight:CreateReader 両方のアクセス権限がある場合、作成者としてプロビジョニングされます。また、quicksight:CreateAdmin へのアクセス権限もある場合は、管理者としてプロビジョニングされます。各アクセス権限レベルでは、同レベル以下のユーザーを作成できます。たとえば、作成者は別の作成者や閲覧者を追加できます。

手動で招待されたユーザーは、招待したユーザーに割り当てられたロールで作成されます。アクセス権限を付与するポリシーは不要です。

ステップ 3: SAML IdP を設定する

IAM ロールを作成したら、サービスプロバイダー AWS としてに関する SAML IdP を更新します。更新のために、以下から saml-metadata.xml ファイルインストールします: https://signin.aws.amazon.com/static/saml-metadata.xml。

IdP メタデータを更新するには、IdP から提供される手順を参照してください。プロバイダーによっては、URL の入力を選択できる場合があります。この場合、IdP がお客様の代わりにファイルを取得してインストールします。また、URL からファイルをダウンロードし、ローカルファイルとして指定する必要があるプロバイダーもあります。

詳細については、IdP のドキュメントを参照してください。

ステップ 4: SAML 認証レスポンスのアサーションを作成する

次に、認証レスポンスの一部として IdP が SAML 属性 AWS として渡す情報を設定します。詳細については、IAM ユーザーガイドの認証レスポンスの SAML アサーションを設定するを参照してください。

ステップ 5: フェデレーションのリレーステートを設定する

最後に、Amazon Quick Suite リレーステート URL を指すようにフェデレーションのリレーステートを設定します。による認証が成功すると AWS、ユーザーは SAML 認証レスポンスのリレー状態として定義された Amazon Quick Suite に誘導されます。

Amazon Quick Suite のリレーステート URL は次のとおりです。


https://quicksight.aws.amazon.com

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

IdP から Amazon Quick Suite へ

Amazon Quick Suite から IdP へ