アイデンティティプロバイダー (IdP) からのサインオンの開始

適用先: Enterprise Edition と Standard Edition

対象者: システム管理者

注記

IAM ID フェデレーションは、ID プロバイダーグループと Amazon Quick Suite の同期をサポートしていません。

このシナリオでは、ユーザーは ID プロバイダーのポータルからサインオンプロセスを開始します。ユーザーが認証されたら、Amazon Quick Suite にサインインします。Quick Suite が承認されたことを確認したら、ユーザーは Quick Suite にアクセスできます。

ユーザーが IdP にサインインしてから、認証で次のステップを実行します。

ユーザーは https://applications.example.com をブラウジングし、IdP にサインオンします。この時点では、ユーザーはサービスプロバイダーにサインインしていません。
フェデレーションサービスと IdP がユーザーを認証します。
1. フェデレーションサービスが組織の ID ストアからの認証をリクエストします。
2. ID ストアはユーザーを認証し、フェデレーションサービスに認証レスポンスを返します。
3. 認証が成功すると、フェデレーションサービスはユーザーのブラウザに SAML アサーションを送信します。
ユーザーが Amazon Quick Suite を開きます。
1. ユーザーのブラウザが AWS サインインの SAML エンドポイント (https://signin.aws.amazon.com/saml) に SAML アサーションを送信します。
2. AWS サインインは SAML リクエストを受け取り、リクエストを処理し、ユーザーを認証し、認証トークンを Amazon Quick Suite サービスに転送します。
Amazon Quick Suite はからの認証トークンを受け入れ AWS 、ユーザーに Amazon Quick Suite を提示します。

ユーザーの立場では、このプロセスを意識することはありません。ユーザーは組織の内部ポータルから開始し、 AWS 認証情報を指定しなくても Amazon Quick Suite アプリケーションポータルに移動します。

次の図では、Amazon Quick Suite とサードパーティー ID プロバイダー (IdP) 間の認証フローを示しています。この例では、管理者はという名前の Amazon Quick Suite にアクセスするためのサインインページを設定していますapplications.example.com。ユーザーがサインインすると、サインインページは、SAML 2.0 に準拠したフェデレーションサービスにリクエストを投稿します。エンドユーザーは IdP のサインオンページから認証を開始します。

クイックスイート SAML 図。この図には、2 つの囲みがあります。1 つ目の囲みは、エンタープライズ内の認証プロセスを示しています。2 つ目の囲みは、 AWS内の認証を示しています。プロセスについては、このテーブルに続くテキストで説明しています。

一般的なプロバイダーからの情報については、次のサードパーティーのドキュメントを参照してください。

CA — Enabling SAML 2.0 HTTP Post Binding
Okta — Planning a SAML deployment
Ping — Amazon integrations

で既存のフェデレーションを使用する方法については、以下のトピックを参照してください AWS。

AWS ウェブサイトのでの ID フェデレーション AWS
IAM ユーザーガイドの外部で認証されたユーザー (ID フェデレーション) へのアクセス許可
「IAM ユーザーガイド」の「SAML 2.0 フェデレーティッドユーザーが AWS Management Consoleにアクセス可能にする」

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

IAM フェデレーション

IdP のセットアップ