Quick Suite Enterprise Edition を使用したサービスプロバイダー主導のフェデレーションの設定 - Amazon Quick Suite
既存の IdP の IAM フェデレーションを開始できるサービスプロバイダーとして Amazon Quick Suite を設定するにはサービスプロバイダーが開始する IAM フェデレーション IdP を有効にするにはサービスプロバイダーによって開始された IAM フェデレーションを無効にするには

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Quick Suite Enterprise Edition を使用したサービスプロバイダー主導のフェデレーションの設定

 適用先: Enterprise Edition 
   対象者: システム管理者 
注記

IAM ID フェデレーションは、ID プロバイダーグループと Amazon Quick Suite の同期をサポートしていません。

AWS Identity and Access Management (IAM) を使用して ID プロバイダーを設定したら、Amazon Quick Suite Enterprise Edition を使用してサービスプロバイダーが開始するサインインを設定できます。Quick Suite が開始した IAM フェデレーションが機能するには、Quick Suite が認証リクエストを IdP に送信することを許可する必要があります。Quick Suite 管理者は、IdP が提供する以下の情報を追加することで、これを設定できます。

  • IdP URL – Quick Suite は、認証のためにユーザーをこの URL にリダイレクトします。

  • リレーステートパラメータ — このパラメータは、ブラウザセッションが認証のためにリダイレクトされたときのステートをリレーします。IdP は、認証後にユーザーを元のステートにリダイレクトします。ステートは URL として提供されます。

次の表は、指定した Quick Suite URL にユーザーをリダイレクトするための標準認証 URL とリレーステートパラメータを示しています。

ID プロバイダー パラメータ 認証 URL

Auth0

RelayState

https://<sub_domain>.auth0.com/samlp/<app_id>

Google アカウント

RelayState

https://accounts.google.com/o/saml2/initsso?idpid=<idp_id>&spid=<sp_id>&forceauthn=false

Microsoft Azure

RelayState

https://myapps.microsoft.com/signin/<app_name>/<app_id>?tenantId=<tenant_id>

Okta

RelayState

https://<sub_domain>.okta.com/app/<app_name>/<app_id>/sso/saml

PingFederate

TargetResource

https://<host>/idp/<idp_id>/startSSO.ping?PartnerSpId=<sp_id>

PingOne

TargetResource

https://sso.connect.pingidentity.com/sso/sp/initsso?saasid=<app_id>&idpid=<idp_id>

Amazon Quick Suite は、 あたり 1 つの IdP への接続をサポートしています AWS アカウント。Amazon Quick Suite の設定ページには、エントリに基づくテスト URLsが表示されるため、この機能を有効にする前に設定をテストできます。プロセスをさらにシームレスにするために、Amazon Quick Suite には、Amazon Quick Suite が開始した IAM フェデレーションを一時的に無効にするパラメータ (enable-sso=0) が用意されています。

既存の IdP の IAM フェデレーションを開始できるサービスプロバイダーとして Amazon Quick Suite を設定するには

  1. IdP、IAM、Amazon Quick Suite で IAM フェデレーションが既に設定されていることを確認します。この設定をテストするには、ダッシュボードを会社のドメイン内の他のユーザーと共有できるかどうかをチェックします。

  2. Amazon Quick Suite を開き、右上のプロファイルメニューから Amazon Quick Suite の管理を選択します。

    この手順を実行するには、Amazon Quick Suite 管理者である必要があります。そうでない場合は、プロファイルメニューに Amazon Quick Suite の管理が表示されません。

  3. ナビゲーションペインで [Single Sign-On (IAM フェデレーション)] を選択します。

  4. [Configuration (設定)]、[IdP URL] に、IdP がユーザーを認証するために提供する URL を入力します。

  5. IdP URLに、IdP がリレーステートを提供するためのパラメータを入力します (例: RelayState)。パラメータの実際の名前は IdP によって提供されます。

  6. サインインをテストする:

    • ID プロバイダーでのサインインをテストするには、[Test starting with your IdP (IdP での開始テスト)] にあるカスタム URL を使用します。Amazon Quick Suite の開始ページ、例えば https://quicksight.aws.amazon.com/sn/start が表示されます。

    • Amazon Quick Suite でサインインを最初にテストするには、end-to-endエクスペリエンスのテスト」で提供されているカスタム URL を使用します。enable-sso パラメータが URL に追加されます。もしenable-sso=1 なら、IAM フェデレーションが認証を試みます。

  7. 設定を保存するには [Save (保存)] を選択します。

サービスプロバイダーが開始する IAM フェデレーション IdP を有効にするには

  1. IAM フェデレーションが設定され、テストされていることを確認します。設定が不明な場合は、前の手順の URL を使用して接続をテストします。

  2. Amazon Quick Suite を開き、プロファイルメニューから Amazon Quick Suite の管理を選択します。

  3. ナビゲーションペインで [Single Sign-On (IAM フェデレーション)] を選択します。

  4. [Status (ステータス)] で、[ON (オン)] を選択します。

  5. IdP から切断し、Amazon Quick Suite を開いて、動作していることを確認します。

サービスプロバイダーによって開始された IAM フェデレーションを無効にするには

  1. Amazon Quick Suite を開き、プロファイルメニューから Amazon Quick Suite の管理を選択します。

  2. ナビゲーションペインで [Single Sign-On (IAM フェデレーション)] を選択します。

  3. [Status (ステータス)] で、[OFF (オフ)] を選択します。