翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# ID 管理
Research and Engineering Studio は、SAML 2.0 準拠の任意の ID プロバイダーを使用できます。Amazon Cognito をネイティブユーザーディレクトリとして使用して、ユーザーが Cognito ユーザー ID を使用してウェブポータルと Linux ベースの VDIs「」を参照してください[Amazon Cognito ユーザーのセットアップ](setting-up-cognito-users.md)。外部リソースを使用して RES をデプロイした場合、または IAM アイデンティティセンターを使用する予定の場合は、「」を参照してください[IAM Identity Center でのシングルサインオン (SSO) の設定](sso-idc.md)。独自の SAML 2.0 準拠の ID プロバイダーがある場合は、「」を参照してください[シングルサインオン (SSO) 用の ID プロバイダーの設定](configure-id-federation.md)。
**Topics**
+ [
# Amazon Cognito ユーザーのセットアップ
](setting-up-cognito-users.md)
+ [
# Active Directory の同期
](active-directory-sync.md)
+ [
# IAM Identity Center でのシングルサインオン (SSO) の設定
](sso-idc.md)
+ [
# シングルサインオン (SSO) 用の ID プロバイダーの設定
](configure-id-federation.md)
+ [
# ユーザーのパスワードの設定
](setting-user-passwords.md)
# Amazon Cognito ユーザーのセットアップ
Research and Engineering Studio (RES) では、Amazon Cognito をネイティブユーザーディレクトリとして設定できます。これにより、ユーザーは Amazon Cognito ユーザー ID を使用してウェブポータルと Linux ベースの VDIs にログインできます。管理者は、 AWS コンソールの csv ファイルを使用して、複数のユーザーをユーザープールにインポートできます。一括ユーザーインポートの詳細については、*Amazon Cognito デベロッパーガイド*[」の「CSV ファイルからユーザープールにユーザーをインポートする](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-user-pools-using-import-tool.html)」を参照してください。RES は、Amazon Cognito ベースのネイティブユーザーディレクトリと SSO を一緒に使用することをサポートしています。
## 管理の設定
RES 管理者として、Amazon Cognito をユーザーディレクトリとして使用するように RES 環境を設定するには、**環境**管理ページからアクセスできる **ID 管理**ページの ** Amazon Cognito をユーザーディレクトリとして使用する**ボタンに切り替えます。ユーザーが自己登録できるようにするには、同じページの**ユーザー自己登録**ボタンを切り替えます。
![\[シークレットディレクトリ設定を示す ID 管理ページ\]](http://docs.aws.amazon.com/ja_jp/res/latest/ug/images/id-management-cognito-directory.png)
## ユーザーサインアップ/サインインフロー
**ユーザー自己登録**が有効になっている場合は、ウェブアプリケーションの URL をユーザーに付与できます。そこには、まだユーザーではないという**オプションがあります。ここでサインアップします**。
![\[自己登録オプション付きのユーザーサインインページ\]](http://docs.aws.amazon.com/ja_jp/res/latest/ug/images/user-sign-up.png)
## サインアップフロー
**まだユーザーではないを選択するユーザー ここでサインアップ**すると、E メールとパスワードを入力してアカウントを作成するように求められます。
![\[ユーザーの自己登録用のアカウントページを作成する\]](http://docs.aws.amazon.com/ja_jp/res/latest/ug/images/create-account.png)
サインアップフローの一環として、ユーザーは E メールに受信した検証コードを入力してサインアッププロセスを完了するよう求められます。
![\[検証コードエントリページ\]](http://docs.aws.amazon.com/ja_jp/res/latest/ug/images/verify-email.png)
セルフサインアップが無効になっている場合、ユーザーにはサインアップリンクが表示されません。管理者は、RES の外部で Amazon Cognito のユーザーを設定する必要があります。(*Amazon Cognito * [デベロッパーガイド」の「管理者としてのユーザーアカウント](https://docs.aws.amazon.com/cognito/latest/developerguide/how-to-create-user-accounts.html)の作成」を参照してください)。
![\[検証コードエントリページ\]](http://docs.aws.amazon.com/ja_jp/res/latest/ug/images/user-sign-in.png)
## ログインページオプション
SSO と Amazon Cognito の両方が有効になっている場合、**組織 SSO でサインイン**するオプションが表示されます。ユーザーがそのオプションをクリックすると、SSO ログインページに再ルーティングされます。デフォルトでは、有効になっている場合、ユーザーは Amazon Cognito で認証されます。
![\[サインアップ、アカウントの確認、または組織 SSO でのサインインのオプションを含むユーザーサインインページ\]](http://docs.aws.amazon.com/ja_jp/res/latest/ug/images/org-sso-sign-in.png)
## 制約
+ Amazon Cognito **グループ名**は最大 6 文字で、小文字のみを使用できます。
+ Amazon Cognito サインアップでは、同じユーザー名で異なるドメインアドレスを持つ 2 つの E メールアドレスは許可されません。
+ Active Directory と Amazon Cognito の両方が有効になっていて、システムが重複するユーザー名を検出した場合、Active Directory ユーザーのみが認証を許可されます。管理者は、Amazon Cognito と Active Directory の間に重複するユーザー名を設定しない手順を実行する必要があります。
+ RES は Windows インスタンスの Amazon Cognito ベースの認証をサポートしていないため、Cognito ユーザーは Windows ベースの VDIs を起動できません。
## Amazon Cognito ユーザーの管理者グループ
デフォルトでは、RES は`admins`グループ管理者権限内の Cognito ユーザーを許可します。Cognito `admins`グループにユーザーを追加するには:
1. [Amazon Cognito コンソール](https://console.aws.amazon.com/cognito/home)に移動し、RES に使用される既存のユーザープールを選択します。
1. **ユーザー管理**で**グループ**に移動し、**グループの作成を選択します。**
1. **グループの作成**ページで、**グループ名**に と入力します`admins`。
1. 作成した`admins`グループを選択し、**Add user to group** を選択して Cognito ユーザーを追加します。
1. に従って Cognito 同期を手動で開始します[同期](#setting-up-cognito-users-sync)。
Amazon Cognito の同期が成功すると、`admins`グループに追加されたユーザーは管理者権限を受け取ります。
## 同期
RES は、データベースを Amazon Cognito のユーザーおよびグループ情報と 1 時間ごとに同期します。グループ「管理者」に属するユーザーには、VDIs。
Lambda コンソールから手動で同期を開始することもできます。
**同期プロセスを手動で開始します。**
1. [Lambda のコンソール](https://console.aws.amazon.com/lambda)を開きます。
1. Cognito 同期 Lambda を検索します。この Lambda は、 という命名規則に従います`{RES_ENVIRONMENT_NAME}_cognito-sync-lambda`。
1. **テスト** を選択します。
1. **テストイベント**セクションで、右上の**テスト**ボタンを選択します。イベント本文の形式は関係ありません。
## Cognito のセキュリティに関する考慮事項
2024 年 12 月リリース以前は、Amazon Cognito Plus プラン機能の一部である[ユーザーアクティビティのログ](https://docs.aws.amazon.com/cognito/latest/developerguide/feature-plans-features-plus.html)記録がデフォルトで有効になっていました。この機能は、RES を試すお客様のコストを節約するために、ベースラインデプロイから削除されました。この機能は、組織のクラウドセキュリティ設定に合わせて必要に応じて再度有効にすることができます。
# Active Directory の同期
## ランタイム設定
Active Directory (AD) に関連するすべての AWS CloudFormation パラメータは、インストール時にオプションです。
![\[Active Directory のオプションの詳細\]](http://docs.aws.amazon.com/ja_jp/res/latest/ug/images/active-directory-details.png)
実行時に提供されるシークレット ARN (例: `ServiceAccountCredentialsSecretArn`または `DomainTLSCertificateSecretArn`) については、RES のシークレットに次のタグを追加して、シークレット値を読み取るアクセス許可を取得してください。
+ キー: `res:EnvironmentName`、値: ``
+ キー: `res:ModuleName`、値: `directoryservice`
ウェブポータルの AD 設定の更新は、次にスケジュールされた AD 同期 (時間単位) 中に自動的に取得されます。AD 設定を変更した後 (別の AD に切り替えた場合など)、ユーザーが SSO を再設定する必要がある場合があります。
初回インストール後、管理者は **ID 管理**ページの RES ウェブポータルで AD 設定を表示または編集できます。
![\[Active Directory ドメイン設定の詳細\]](http://docs.aws.amazon.com/ja_jp/res/latest/ug/images/res-active-directory-domain.png)
![\[Active Directory 同期のポップアップ\]](http://docs.aws.amazon.com/ja_jp/res/latest/ug/images/active-directory-synchronization.png)
### Active Directory を自動的に結合する
管理者は、VDI の起動中にディレクトリドメイン**の結合動作を制御するように、Active Directory の自動**結合を設定できます。
** 設定オプション: **
+ ** 有効 **- 起動時に Windows および Linux VDIsをディレクトリドメインに自動的に結合します。
+ ** 無効 ** - 自動ドメイン結合をオフにします。Linux インスタンスは、ドメイン結合の有無にかかわらず起動できます。Windows インスタンスが正常に起動するにはドメイン結合が必要なため、管理者はカスタム起動スクリプトにドメイン結合ロジックを含める必要があります。
**重要**
この設定を無効にする場合は、Windows インスタンスのカスタム起動スクリプトに必要なドメイン結合ロジックが含まれていることを確認します。
### 詳細設定
**フィルター**
管理者は、ユーザーフィルターオプションとグループフィルターオプションを使用して、同期する**ユーザー**または**グループをフィルタリング**できます。フィルターは [LDAP フィルター構文](https://ldap.com/ldap-filters/)に従う必要があります。フィルターの例は次のとおりです。
```
(sAMAccountname=)
```
**カスタム SSSD パラメータ**
管理者は、クラスターインスタンスの SSSD 設定ファイルの `[domain_type/DOMAIN_NAME]`セクションに書き込む SSSD パラメータと値を含むキーと値のペアのディクショナリを提供できます。RES は SSSD 更新を自動的に適用します。クラスターインスタンスで SSSD サービスを再起動し、AD 同期プロセスをトリガーします。
一般的なカスタム SSSD 設定は次のとおりです。
+ `enumerate` - ディレクトリサービスからすべてのユーザーエントリとグループエントリをキャッシュするには、「true」に設定します。これを無効にすると、ユーザーの初回ログインに短い遅延が生じる可能性があります。
+ `ldap_id_mapping` - LDAP/AD ユーザー ID とグループ IDs を Linux システムのローカル UIDsGIDs」に設定します。これを有効にすると、既存の POSIX スクリプトやアプリケーションとの互換性が向上します。
SSSD 設定ファイルの詳細については、 の Linux man ページを参照してください`SSSD`。
![\[追加の SSSD 設定\]](http://docs.aws.amazon.com/ja_jp/res/latest/ug/images/res-additional-sssd-config1.png)
SSSD パラメータと値は、以下に説明するように RES SSSD 設定と互換性がある必要があります。
+ `id_provider` は RES によって内部的に設定されるため、変更しないでください。
+ `ldap_uri`、、 `ldap_default_bind_dn` などの AD 関連の設定`ldap_default_authtok`は`ldap_search_base`、提供されている他の AD 設定に基づいて設定されるため、変更しないでください。
次の例では、SSSD ログのデバッグレベルを有効にします。
![\[入力された新しいキーと値のペアを示す追加の SSSD 設定\]](http://docs.aws.amazon.com/ja_jp/res/latest/ug/images/res-additional-sssd-config2.png)
## 初期 AD 同期後の E メール更新 (リリース 2025 年 9 月以降)
アクティブディレクトリユーザーの E メールアドレスが変更された場合、管理者は手動で AD 同期を開始するか、次にスケジュールされた AD 同期が変更が取得されて RES に同期されるまで待機できます。
## 同期を手動で開始または停止する方法 (リリース 2025 年 3 月以降)
**ID 管理**ページに移動し、**Active Directory ドメイン**コンテナの**「AD 同期の開始**」ボタンを選択して、AD 同期をオンデマンドでトリガーします。
![\[Active Directory ドメイン設定\]](http://docs.aws.amazon.com/ja_jp/res/latest/ug/images/res-ad-directory-sync1.png)
進行中の AD 同期を停止するには、**Active Directory ドメイン**コンテナで **AD 同期の停止**ボタンを選択します。
![\[同期を停止するオプションを示す Active Directory ドメイン設定ページ\]](http://docs.aws.amazon.com/ja_jp/res/latest/ug/images/res-ad-directory-sync2.png)
Active **Directory ドメイン**コンテナで AD 同期ステータスと最新の同期時間を確認することもできます。
![\[最新の同期時間を示す Active Directory ドメイン設定ページ\]](http://docs.aws.amazon.com/ja_jp/res/latest/ug/images/res-ad-directory-sync3.png)
## 同期を手動で実行する方法 (リリース 2024.12 および 2024.12.01)
Active Directory 同期プロセスは、Cluster Manager インフラストラクチャホストからバックグラウンドで 1 回限りの Amazon Elastic Container Service (ECS) タスクに移動されました。このプロセスは 1 時間ごとに実行するようにスケジュールされており、`-ad-sync-cluster`クラスターの下の Amazon ECS コンソールで実行中の ECS タスクを見つけることができます。
**手動で起動するには:**
1. [Lambda コンソール](https://console.aws.amazon.com/lambda)に移動し、 という名前の Lambda を検索します`-scheduled-ad-sync`。
1. Lambda 関数を開き、**テスト**に進む
1. **イベント JSON **に次のように入力します。
```
{
"detail-type": "Scheduled Event"
}
```
1. **[テスト]** を選択します。
1. **CloudWatch** → Log **Groups → で実行中の AD Sync タスクのログ**を確認します`//ad-sync`。実行中の各 ECS タスクのログが表示されます。ログを表示するには、最新の を選択します。
**注記**
AD パラメータを変更したり、AD フィルターを追加したりすると、RES は新しく指定されたパラメータを指定して新しいユーザーを追加し、以前に同期され、LDAP 検索スペースに含まれなくなったユーザーを削除します。
RES は、プロジェクトにアクティブに割り当てられたユーザーまたはグループを削除することはできません。RES でユーザーを環境から削除するには、プロジェクトからユーザーを削除する必要があります。
## SSO 設定
AD 設定が提供されたら、ユーザーは AD ユーザーとして RES ウェブポータルにログインできるように Single Sign-On (SSO) を設定する必要があります。SSO 設定が**全般設定**ページから新しい **ID 管理**ページに移動されました。SSO の設定の詳細については、「」を参照してください[ID 管理](manage-users.md)。
# IAM Identity Center でのシングルサインオン (SSO) の設定
マネージド Active Directory に接続しているアイデンティティセンターがまだない場合は、 から始めます[ステップ 1: アイデンティティセンターを設定する](#set-up-identity-center)。マネージド Active Directory に接続されたアイデンティティセンターが既にある場合は、 から始めます[ステップ 2: アイデンティティセンターに接続する](#connect-identity-center)。
**注記**
GovCloud リージョンにデプロイする場合は、Research and Engineering Studio を AWS GovCloud (US) デプロイしたパーティションアカウントに SSO を設定します。
## ステップ 1: アイデンティティセンターを設定する
### IAM アイデンティティセンターを有効にする
1. [AWS Identity and Access Management コンソール](https://console.aws.amazon.com/iam) にサインインします。
1. **アイデンティティセンター**を開きます。
1. **[有効化]** を選択します。
1. Enable **with AWS Organizations**を選択します。
1. [**続行**] をクリックしてください。
**注記**
マネージド Active Directory があるリージョンと同じリージョンにいることを確認します。
### IAM Identity Center をマネージド Active Directory に接続する
IAM Identity Center を有効にしたら、以下の推奨セットアップステップを完了します。
1. ナビゲーションペインで **[設定]** を選択します。
1. **ID ソース**で、**アクション**を選択し、**ID ソースの変更**を選択します。
1. **既存のディレクトリ**で、ディレクトリを選択します。
1. [**次へ**] を選択します。
1. 変更を確認し、確認ボックスに **ACCEPT** と入力します。
1. **[IDソースの変更]** を選択します。
### ユーザーとグループの ID センターへの同期
で行われた変更[IAM Identity Center をマネージド Active Directory に接続する](#connecting-identity-center-ad)が完了すると、緑色の確認バナーが表示されます。
1. 確認バナーで、**ガイド付きセットアップの開始**を選択します。
1. **属性マッピングの設定** から、**次へ** を選択します。
1. **ユーザー** セクションで、同期するユーザーを入力します。
1. **[Add]** (追加) を選択します。
1. [**次へ**] を選択します。
1. 変更を確認し、**設定の保存**を選択します。
1. 同期プロセスには数分かかる場合があります。同期していないユーザーに関する警告メッセージが表示された場合は、同期**を再開**を選択します。
### ユーザーの有効化
1. メニューから、**ユーザー**を選択します。
1. アクセスを有効にするユーザー (複数可) を選択します。
1. **ユーザーアクセスを有効にする**を選択します。
## ステップ 2: アイデンティティセンターに接続する
### IAM アイデンティティセンターでのアプリケーションのセットアップ
1. [IAM Identity Center コンソール](https://console.aws.amazon.com/singlesignon/) を開きます。
1. **[Applications]** (アプリケーション) を選択します。
1. **[アプリケーションの追加]** を選択します。
1. **セットアップ設定**で、**セットアップするアプリケーションがある**を選択します。
1. [**アプリケーションタイプ**] で、[**SAML 2.0**] を選択します。
1. [**次へ**] を選択します。
1. 使用する表示名と説明を入力します。
1. **IAM Identity Center メタデータ**で、**IAM Identity Center SAML メタデータ**ファイルのリンクをコピーします。これは、RES ポータルで IAM Identity Center を設定するときに必要になります。
1. **アプリケーションプロパティ**で、**アプリケーション開始 URL** を入力します。例えば、`/sso`。
1. **Application ACS URL **に、RES ポータルからのリダイレクト URL を入力します。これを見つけるには:
1. **環境管理**で、**全般設定**を選択します。
1. **ID プロバイダー**タブを選択します。
1. **Single Sign-On** の下に、**SAML リダイレクト URL** が表示されます。
1. **Application SAML audience** で、Amazon Cognito URN を入力します。
URL を作成するには:
1. RES ポータルから、**全般設定**を開きます。
1. **ID プロバイダー**タブで、**ユーザープール ID** を見つけます。
1. **ユーザープール ID** をこの文字列に追加します。
```
urn:amazon:cognito:sp:
```
1. Amazon Cognito URN を入力したら、**送信**を選択します。
### アプリケーションの属性マッピングの設定
1. **アイデンティティセンター**から、作成したアプリケーションの詳細を開きます。
1. **アクション** を選択し、**属性マッピングの編集 **を選択します。
1. **[件名]** に **\$1\$1user:email\$1** と入力します。
1. **フォーマット** で、**emailAddress** を選択します。
1. [**新規属性マッピングの追加**] を選択します。
1. **アプリケーションの User 属性に**「email」と入力します。
1. **IAM アイデンティティセンターのこの文字列値またはユーザー属性にマップ で**、 と入力します**\$1\$1user:email\$1**。
1. **Format** に「unspecified」と入力します。
1. **[Save changes]** (変更の保存) をクリックします。
### IAM Identity Center でのアプリケーションへのユーザーの追加
1. アイデンティティセンターから、作成したアプリケーションの**割り当て済みユーザー**を開き、**ユーザーの割り当て**を選択します。
1. アプリケーションアクセスを割り当てるユーザーを選択します。
1. **[ユーザーの割り当て]** を選択します。
### RES 環境内での IAM Identity Center のセットアップ
1. Research and Engineering Studio 環境から、**環境管理**で**全般設定**を開きます。
1. **ID プロバイダー**タブを開きます。
1. **シングルサインオン**で、**編集** (**ステータス**の横) を選択します。
1. フォームに以下の情報を入力します。
1. **SAML** を選択します。
1. **プロバイダー名**に、わかりやすい名前を入力します。
1. Enter **metadata document endpoint URL **を選択します。
1. 中にコピーした URL を入力します[IAM アイデンティティセンターでのアプリケーションのセットアップ](#setup-application-identity-center)。
1. Provider **email 属性**に「email」と入力します。
1. [**Submit**] を選択してください。
1. ページを更新し、**ステータス**が有効と表示されることを確認します。
# シングルサインオン (SSO) 用の ID プロバイダーの設定
Research and Engineering Studio は、任意の SAML 2.0 ID プロバイダーと統合して、RES ポータルへのユーザーアクセスを認証します。これらのステップでは、選択した SAML 2.0 ID プロバイダーと統合する手順を示します。IAM Identity Center を使用する場合は、「」を参照してください[IAM Identity Center でのシングルサインオン (SSO) の設定](sso-idc.md)。
**注記**
ユーザーの E メールは、IDP SAML アサーションと Active Directory で一致する必要があります。ID プロバイダーを Active Directory に接続し、定期的にユーザーを同期する必要があります。
**Topics**
+ [
## ID プロバイダーを設定する
](#configure-id-federation_config-idp)
+ [
## ID プロバイダーを使用するように RES を設定する
](#configure-id-federation_config-res)
+ [
## 非本番環境での ID プロバイダーの設定
](#configure-id-federation-demo-env)
+ [
## SAML IdP の問題のデバッグ
](#configure-id-federation_debug)
## ID プロバイダーを設定する
このセクションでは、RES Amazon Cognito ユーザープールからの情報を使用して ID プロバイダーを設定する手順について説明します。
1. RES は、RES ポータルとプロジェクトへのアクセスが許可されているユーザー ID を持つ AD (AWS マネージド AD またはセルフプロビジョニング AD) があることを前提としています。AD を ID サービスプロバイダーに接続し、ユーザー ID を同期します。AD を接続し、ユーザー ID を同期する方法については、ID プロバイダーのドキュメントを参照してください。例えば、「 *AWS IAM アイデンティティセンター ユーザーガイド*」の[「ID ソースとしての Active Directory の使用](https://docs.aws.amazon.com/singlesignon/latest/userguide/gs-ad.html)」を参照してください。
1. ID プロバイダー (IdP) で RES の SAML 2.0 アプリケーションを設定します。この設定には、次のパラメータが必要です。
+ **SAML リダイレクト URL** — IdP が SAML 2.0 レスポンスをサービスプロバイダーに送信するために使用する URL。
**注記**
IdP によっては、SAML リダイレクト URL の名前が異なる場合があります。
アプリケーション URL
アサーションコンシューマーサービス (ACS) URL
ACS POST バインディング URL
**URL を取得するには**
1. **管理者**または **clusteradmin** として RES にサインインします。
1. **環境管理** ⇒ **一般設定** ⇒ **ID プロバイダー**に移動します。
1. **SAML リダイレクト URL** を選択します。
+ **SAML オーディエンス URI** — サービスプロバイダー側の SAML オーディエンスエンティティの一意の ID。
**注記**
IdP によっては、SAML オーディエンス URI の名前が異なる場合があります。
ClientID
アプリケーション SAML 対象者
SP エンティティ ID
入力を次の形式で指定します。
```
urn:amazon:cognito:sp:user-pool-id
```
**SAML 対象者 URI を検索するには**
1. **管理者**または **clusteradmin** として RES にサインインします。
1. **環境管理** ⇒ **一般設定** ⇒ **ID プロバイダー**に移動します。
1. **ユーザープール ID **を選択します。
1. RES に投稿された SAML アサーションには、次のフィールド/クレームがユーザーの E メールアドレスに設定されている必要があります。
+ SAML Subject または NameID
+ SAML E メール
1. IdP は、設定に基づいて SAML アサーションにフィールド/クレームを追加します。RES にはこれらのフィールドが必要です。ほとんどのプロバイダーは、デフォルトでこれらのフィールドを自動的に入力します。設定する必要がある場合は、次のフィールド入力と値を参照してください。
+ **AudienceRestriction** — を に設定します`urn:amazon:cognito:sp:user-pool-id`。*user-pool-id* を Amazon Cognito ユーザープールの ID に置き換えます。
```
urn:amazon:cognito:sp:user-pool-id
```
+ **レスポンス** — `InResponseTo`を に設定します`https://user-pool-domain/saml2/idpresponse`。*user-pool-domain* を Amazon Cognito ユーザープールのドメイン名に置き換えます。
```
```
+ **SubjectConfirmationData** — `Recipient` ユーザープール`saml2/idpresponse`エンドポイントと元の SAML リクエスト ID `InResponseTo`に設定します。
```
```
+ **AuthnStatement** — 次のように を設定します。
```
urn:oasis:names:tc:SAML:2.0:ac:classes:Password
```
1. SAML アプリケーションにログアウト URL フィールドがある場合は、 に設定します`/saml2/logout`。
**ドメイン URL を取得するには**
1. **管理者**または **clusteradmin** として RES にサインインします。
1. **環境管理** ⇒ **一般設定** ⇒ **ID プロバイダー**に移動します。
1. **ドメイン URL** を選択します。
1. IdP が Amazon Cognito との信頼を確立するために署名証明書を受け入れる場合は、Amazon Cognito 署名証明書をダウンロードし、IdP にアップロードします。
**署名証明書を取得するには**
1. [Amazon Cognito コンソール](https://console.aws.amazon.com/cognito/v2/idp/user-pools/)を開きます。
1. ユーザープールを選択します。ユーザープールは である必要があります`res--user-pool`。
1. **サインインエクスペリエンス**タブを選択します。
1. **フェデレーティッド ID プロバイダーのサインイン**セクションで、**署名証明書の表示**を選択します。
![\[選択したユーザープールのフェデレーティッド ID プロバイダーのサインインセクションの署名証明書の表示ボタンがある Amazon Cognito コンソール。\]](http://docs.aws.amazon.com/ja_jp/res/latest/ug/images/cognito-user-pool-signing-cert.png)
この証明書を使用して、Active Directory IDP をセットアップし、 を追加し`relying party trust`、この証明書利用者に対して SAML サポートを有効にできます。
**注記**
これは Keycloak と IDC には適用されません。
1. アプリケーションのセットアップが完了したら、SAML 2.0 アプリケーションメタデータ XML または URL をダウンロードします。次のセクションで使用します。
## ID プロバイダーを使用するように RES を設定する
**RES のシングルサインオン設定を完了するには**
1. **管理者**または **clusteradmin** として RES にサインインします。
1. **環境管理** ⇒ **全般設定** ⇒ **ID プロバイダー**に移動します。
![\[シングルサインオンのセクションを含む、RES の環境設定ユーザーインターフェイス。\]](http://docs.aws.amazon.com/ja_jp/res/latest/ug/images/environment-settings.png)
1. **シングルサインオン**で、ステータスインジケータの横にある編集アイコンを選択して、**シングルサインオン設定**ページを開きます。
![\[RES の Single Sign On Configuration ユーザーインターフェイス。\]](http://docs.aws.amazon.com/ja_jp/res/latest/ug/images/sso-config.png)
1. **ID プロバイダー**で、**SAML** を選択します。
1. **プロバイダー名**には、ID プロバイダーの一意の名前を入力します。
**注記**
次の名前は使用できません。
Cognito
IdentityCenter
1. **メタデータドキュメントソース**で、適切なオプションを選択し、メタデータ XML ドキュメントをアップロードするか、ID プロバイダーから URL を指定します。
1. **プロバイダー E メール属性** に、テキスト値 を入力します`email`。
1. [**Submit**] を選択してください。
1. **環境設定**ページを再ロードします。設定が正しい場合、シングルサインオンが有効になります。
## 非本番環境での ID プロバイダーの設定
提供された[外部リソース](prerequisites.md#external-resources)を使用して非本番環境の RES 環境を作成し、IAM Identity Center を ID プロバイダーとして設定した場合は、Okta などの別の ID プロバイダーを設定することをお勧めします。RES SSO 有効化フォームは、次の 3 つの設定パラメータを要求します。
1. プロバイダー名 — 変更できません
1. メタデータドキュメントまたは URL — 変更可能
1. プロバイダー E メール属性 — 変更可能
**メタデータドキュメントとプロバイダー E メール属性を変更するには、次の手順を実行します。**
1. [Amazon Cognito コンソール](https://console.aws.amazon.com/cognito/home)に移動します。
1. ナビゲーションから、**ユーザープール**を選択します。
1. ユーザープールを選択すると、**ユーザープールの概要**が表示されます。
1. **サインインエクスペリエンス**タブから、**フェデレーティッド ID プロバイダーのサインインに移動**し、設定された ID プロバイダーを開きます。
1. 通常、メタデータを変更し、属性マッピングを変更しないだけで済みます。**属性マッピング**を更新するには、**編集** を選択します。**メタデータドキュメント**を更新するには、**メタデータの置き換え**を選択します。
![\[Amazon CognitoUser プールの概要。\]](http://docs.aws.amazon.com/ja_jp/res/latest/ug/images/res-attributemetadata.png)
1. 属性マッピングを編集した場合は、DynamoDB で`.cluster-settings`テーブルを更新する必要があります。
1. DynamoDB コンソールを開き、ナビゲーションから**テーブル**を選択します。
1. `.cluster-settings` テーブルを検索して選択し、**アクション**メニューから**項目を探索**を選択します。
1. **スキャンまたはクエリ項目**で、**フィルター**に移動し、次のパラメータを入力します。
+ **属性名** — `key`
+ **値** — `identity-provider.cognito.sso_idp_provider_email_attribute`
1. **[Run]** (実行) を選択します。
1. **返された項目** で文字列を検索`identity-provider.cognito.sso_idp_provider_email_attribute`し、**編集** を選択して、Amazon Cognito の変更と一致するように文字列を変更します。
![\[Amazon Cognito DynamoDB で返されるフィルタと項目を更新します。\]](http://docs.aws.amazon.com/ja_jp/res/latest/ug/images/res-scanqueryitems.png)
## SAML IdP の問題のデバッグ
**SAML トレーサー** — Chrome ブラウザでこの拡張機能を使用して SAML リクエストを追跡し、SAML アサーション値を確認できます。詳細については、Chrome ウェブストアの[「SAML トレーサー](https://chromewebstore.google.com/detail/saml-tracer/mpdajninpobndbfcldcmbpnnbhibjmch?pli=1)」を参照してください。
**SAML 開発者ツール** — OneLogin には、SAML エンコードされた値をデコードし、SAML アサーションの必須フィールドをチェックするために使用できるツールが用意されています。詳細については、OneLogin ウェブサイトの[「Base 64 Decode \$1 Inflate](https://www.samltool.com/decode.php)」を参照してください。
**Amazon CloudWatch Logs** — CloudWatch Logs で RES ログのエラーや警告を確認できます。ログは、 という名前のロググループにあります`/res-environment-name/cluster-manager`。
**Amazon Cognito ドキュメント** — Amazon Cognito との SAML 統合の詳細については、「Amazon *Amazon Cognito デベロッパーガイド*」の[「ユーザープールへの SAML ID プロバイダーの追加](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-user-pools-saml-idp.html)」を参照してください。
# ユーザーのパスワードの設定
1. [Directory Service コンソールから、](https://console.aws.amazon.com/directoryservicev2/)作成したスタックのディレクトリを選択します。
1. **アクション**メニューで、**ユーザーパスワードのリセット**を選択します。
1. ユーザーを選択し、新しいパスワードを入力します。
1. **パスワードのリセット**を選択します。