信頼できる ID の伝播用のカスタマーマネージドの OAuth 2.0 アプリケーションを設定する - AWS IAM Identity Center
アプリケーションタイプを選択しますステップ 2: アプリケーションの詳細を指定するステップ 3: 認証設定を指定するステップ 4: アプリケーション認証情報を指定するステップ 5: 確認して設定する

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

信頼できる ID の伝播用のカスタマーマネージドの OAuth 2.0 アプリケーションを設定する

カスタマーマネージドの OAuth 2.0 アプリケーションを信頼できる ID の伝播用に設定するには、まず IAM アイデンティティセンターに追加する必要があります。次の手順を使用して、IAM アイデンティティセンターにアプリケーションを追加します。

ステップ 1: アプリケーションタイプを選択する

  1. IAM Identity Center コンソール を開きます。

  2. [Applications] (アプリケーション) を選択します。

  3. [カスタマーマネージド] タブを選択します。

  4. [アプリケーションの追加] を選択します。

  5. [アプリケーションタイプを選択] ページの [セットアッププリファレンス] で、[セットアップしたいアプリケーションがある] を選択します。

  6. [アプリケーションタイプ] で [OAuth 2.0] を選択します。

  7. [次へ] を選択して次のページ、ステップ 2: アプリケーションの詳細を指定する に進みます。

ステップ 2: アプリケーションの詳細を指定する

  1. [アプリケーションの詳細を指定] ページの [アプリケーションの名前と説明] で、MyApp のようなアプリケーションの [表示名] を入力します。[Description] を入力します。

  2. [ユーザーとグループの割り当て方法] で、次のいずれかのオプションを選択します。

    • [割り当ては必須です] — このアプリケーションに割り当てられている IAM アイデンティティセンターユーザーとグループのみにアプリケーションへのアクセスを許可します。

      アプリケーションタイルの可視性 - AWS アクセスポータルでアプリケーションの可視性が表示可能に設定されている場合、直接またはグループ割り当てを通じてアプリケーションに割り当てられたユーザーのみが AWS アクセスポータルでアプリケーションタイルを表示できます。

    • [割り当ては不要です] — 権限のあるすべての IAM アイデンティティセンターユーザーとグループにこのアプリケーションへのアクセスを許可します。

      アプリケーションタイルの可視性 – AWS アクセスポータルでアプリケーションの可視性が非表示に設定されていない限り、 AWS アプリケーションタイルはアクセスポータルにサインインするすべてのユーザーに表示されます。

  3. AWS アクセスポータルで、ユーザーがアプリケーションにアクセスできる URL を入力し、 AWS アクセスポータルでアプリケーションタイルを表示するかどうかを指定します。[非表示] を選択すると、割り当てられたユーザーでもアプリケーションタイルを表示できなくなります。

  4. [タグ (オプション)] で、[新しいタグを追加] を選択し、[キー] と [値 (オプション)] の値を指定します。

    タグの詳細についてはAWS IAM Identity Center リソースのタグ付けを参照してください。

  5. [次へ] を選択し、次のページ、ステップ 3: 認証設定を指定する に進みます。

ステップ 3: 認証設定を指定する

OAuth 2.0 をサポートするカスタマーマネージドアプリケーションを IAM アイデンティティセンターに追加するには、信頼できるトークン発行者を指定する必要があります。信頼できるトークン発行者とは、署名付きトークンを作成する OAuth 2.0 認可サーバーです。これらのトークンにより、 AWS マネージドアプリケーション (受信側アプリケーション) へのアクセスのリクエスト (リクエスト元アプリケーション) を開始するアプリケーションを認可します。

  1. [認証設定を指定する] ページの、[信頼できるトークン発行者] で、次のいずれかを実行します。

    • 既存の信頼できるトークン発行者を使用するには:

      使用する信頼できるトークン発行者の名前の横にあるチェックボックスを選択します。

    • 新しい信頼できるトークン発行者を追加するには:

      1. [信頼できるトークン発行者を作成] を選択します。

      2. 新しいブラウザタブが開きます。IAM アイデンティティセンターコンソールに信頼できるトークン発行者を追加する方法 のステップ 5~8 を実行します。

      3. これらの手順を完了したら、アプリケーション設定に使用しているブラウザウィンドウに戻り、追加した信頼できるトークン発行者を選択します。

      4. 信頼できるトークン発行者の一覧で、さきほど追加した信頼できるトークン発行者の名前の横にあるチェックボックスをオンにします。

        信頼できるトークン発行者を選択すると、[選択したトラステッドトークン発行者の設定] セクションが表示されます。

  2. [選択したトラステッドトークン発行者の設定] で、[Aud クレーム] を入力します。[Aud クレーム] は、信頼できるトークン発行者が生成したトークンの対象者 (受信者) を識別します。詳細については、「Aud クレーム」を参照してください。

  3. このアプリケーションを使用しているときにユーザーが再認証する必要がないようにするには、[更新トークン許可を有効にする] を選択します。このオプションを選択すると、セッションの有効期限が切れるか、ユーザーがセッションを終了するまで、60 分ごとにセッションのアクセストークンが更新されます。

  4. [次へ] を選択し、次のページ、ステップ 4: アプリケーション認証情報を指定する に進みます。

ステップ 4: アプリケーション認証情報を指定する

この手順のステップを完了して、アプリケーションが信頼できるアプリケーションとのトークン交換アクションを実行するときに使用する認証情報を指定します。これらの認証情報は、リソースベースのポリシーで使用されます。このポリシーでは、ポリシーで指定されているアクションを実行するアクセス許可持つプリンシパルを指定する必要があります。信頼できるアプリケーションが同じ AWS アカウントにあっても、プリンシパルを指定する必要があります

注記

ポリシーでアクセス許可を設定するときは、タスクの実行に必要なアクセス許可のみを付与します。これを行うには、特定の条件下で特定のリソースに対して実行できるアクションを定義します。これは、最小特権アクセス許可とも呼ばれています。

このポリシーには sso-oauth:CreateTokenWithIAM アクションが必要です。

  1. [アプリケーション認証情報を指定] ページで、次のいずれかを実行します。

    • 1 つ以上の IAM ロールをすばやく指定するには:

      1. [1 つ以上の IAM ロールを入力する] を選択します。

      2. [IAM ロールを入力] で、既存の IAM ロールの Amazon リソースネーム (ARN) を指定します。ARN を指定するには、次の構文を使用します。IAM リソースはグローバルに識別されるため、ARN のリージョンの割り当ては空白です。

          arn:aws:iam::account:role/role-name-with-path

        詳細については、「AWS Identity and Access Management ユーザーガイド」の「リソースベースのポリシーを使用したクロスアカウントアクセス」および「IAM ARN」を参照してください。

    • ポリシーを手動で編集するには (AWS 非認証情報を指定する場合は必須)。

      1. [アプリケーションポリシーを編集] を選択します。

      2. JSON テキストボックスにテキストを入力または貼り付けてポリシーを変更します。

      3. ポリシーの検証中に生成されたセキュリティ警告、エラー、または一般的な警告を解決します。詳細については、「AWS Identity and Access Management ユーザーガイド」の「IAM ポリシーの検証」を参照してください。

  2. [次へ] を選択して次のページ、ステップ 5: 確認して設定する に進みます。

ステップ 5: 確認して設定する

  1. [確認して設定] ページで、選択した内容を確認します。変更を加えるには、必要な構成セクションを選択し、[編集] を選択して必要なだけ変更を加えます。

  2. 完了したら、[アプリケーションを追加] を選択します。

  3. 追加したアプリケーションが [カスタマーマネージドアプリケーション] リストに表示されます。

  4. IAM Identity Center でカスタマーマネージドアプリケーションを設定したら、ID の伝播に AWS のサービス 1 つ以上のアプリケーションまたは信頼できるアプリケーションを指定する必要があります。これにより、ユーザーはカスタマーマネージドアプリケーションにサインインして、信頼できるアプリケーションのデータにアクセスできるようになります。

    詳細については、「信頼されたアプリケーションを指定する 」を参照してください。