翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# カスタマーマネージドアプリケーション
IAM アイデンティティセンターは、ワークフォースユーザーとグループに対する集中 ID サービスとして機能します。すでに ID プロバイダー (IdP) を使用している場合は、IAM アイデンティティセンターを IdP と統合して、ユーザーとグループを IAM アイデンティティセンターにプロビジョニングし、ご自分の IdP を認証に使用することができます。1 つの接続で、IAM Identity Center は複数の IdP を表 AWS のサービス し、OAuth 2.0 アプリケーションがユーザーに代わってこれらのサービスのデータへのアクセスをリクエストできるようにします。また、IAM アイデンティティセンターを使用して、[SAML 2.0](https://wiki.oasis-open.org/security) アプリケーションへのアクセスをユーザーに割り当てることができます。これにはAmazon Connect や などの AWS サービスが含まれます。これらのサービスは AWS Client VPN、SAML のみを使用して IAM アイデンティティセンターと統合されるため、カスタマーマネージドアプリケーションに分類されます。
+ アプリケーション**が JSON ウェブトークン (JWTs) **をサポートしている場合は、IAM アイデンティティセンターの信頼できる ID 伝達機能を使用して、アプリケーションがユーザー AWS のサービス に代わって のデータへのアクセスをリクエストできるようにします。信頼できる ID の伝播機能は OAuth 2.0 認証フレームワーク上に構築されており、アプリケーションが外部の OAuth 2.0 認証サーバーから取得した ID トークンを IAM アイデンティティセンターが発行し、 AWS のサービスによって認識されるトークンと交換するためのオプションが含まれています。詳細については、「[信頼できる ID の伝播のユースケース](trustedidentitypropagation-integrations.md)」を参照してください。
+ アプリケーションが **SAML 2.0** をサポートしている場合は、[IAM アイデンティティセンターの組織インスタンス](identity-center-instances.md)に接続できます。IAM アイデンティティセンターを使用して、SAML 2.0 アプリケーションへのアクセスを割り当てることができます。
**注記**
カスタマーマネージドアプリケーションを[カスタマーマネージド KMS キー](encryption-at-rest.md)を使用する IAM Identity Center インスタンスと統合する場合は、アプリケーションが IAM Identity Center サービス APIs を呼び出して、アプリケーションに KMS キーのアクセス許可が必要かどうかを確認します。IAM Identity Center ユーザーガイドのベースライン KMS キー[ポリシーのカスタムワークフローに KMS キー](baseline-KMS-key-policy.md#baseline-kms-key-policy-statements-for-use-of-custom-workflows-with-iam-identity-center)アクセス許可を付与するためのガイダンスに従ってください。
**Topics**
+ [
# SAML 2.0 および OAuth 2.0 アプリケーションへのシングルサインオンアクセス
](customermanagedapps-saml2-oauth2.md)
+ [
# カスタマー管理 SAML 2.0 アプリケーションの設定
](customermanagedapps-saml2-setup.md)
# SAML 2.0 および OAuth 2.0 アプリケーションへのシングルサインオンアクセス
IAM アイデンティティセンターでは、SAML 2.0 アプリケーションまたは OAuth 2.0 アプリケーションへのシングルサインオンアクセスをユーザーに提供できます。以下のトピックでは、SAML 2.0 と OAuth 2.0 の大まかな概観を説明します。
**Topics**
+ [
## SAML 2.0
](#samlfederationconcept)
+ [
## OAuth 2.0
](#oidc-concept)
## SAML 2.0
SAML 2.0 は、SAML 認証機関 (ID プロバイダーまたは IdP) と SAML 2.0 コンシューマー (サービスプロバイダーまたは SP) との間でユーザーに関する情報を渡す SAML アサーションを安全に交換するための業界標準です。IAM Identity Center は、この情報を使用して、 アクセスポータル内のアプリケーションの使用が許可されているユーザーにフェデレーティッドシングルサインオン AWS アクセスを提供します。
**注記**
IAM アイデンティティセンターは、SAML アプリケーションからの受信 SAML 認証リクエストの署名の検証をサポートしていません。
## OAuth 2.0
OAuth 2.0 は、アプリケーションがパスワードを共有せずにユーザーデータに安全にアクセスして共有できるようにするプロトコルです。この機能により、アプリケーションによるリソースへのアクセスを、安全かつ標準化された方法でユーザーに許可できます。アクセスは、さまざまな OAuth 2.0 付与フローによって容易になります。
IAM Identity Center を使用すると、パブリッククライアントで実行されるアプリケーションは、ユーザーに代わってプログラムで AWS アカウント および サービスにアクセスするための一時的な認証情報を取得できます。パブリッククライアントは通常、ローカルでアプリケーションを実行するのに使用されるデスクトップ、ノートパソコン、またはその他のモバイルデバイスです。パブリッククライアントで実行されるアプリケーションの例 AWS には、 AWS Command Line Interface (AWS CLI) AWS Toolkit、、および AWS Software Development Kit (SDKs。これらのアプリケーションが認証情報を取得できるように、IAM アイデンティティセンターは次の OAuth 2.0 フローの一部をサポートしています。
+ コード交換用検証キー (PKCE) を使用した認証コードの付与 ([RFC 6749](https://www.rfc-editor.org/rfc/rfc6749#section-4.1) および [RFC 7636](https://www.rfc-editor.org/rfc/rfc7636))
+ デバイス認可付与 ([RFC 8628](https://datatracker.ietf.org/doc/html/rfc8628))
**注記**
これらのグラントタイプは、この機能をサポートする AWS のサービス でのみ使用できます。これらのサービスは、すべての AWS リージョンでこの許可タイプをサポートしていない場合があります。リージョンの違い AWS のサービス については、 の関連ドキュメントを参照してください。
OpenID Connect (OIDC) は、OAuth 2.0 フレームワークに基づく認証プロトコルです。OIDC は、認証に OAuth 2.0 を使用する方法を指定します。[IAM アイデンティティセンター OIDC サービス API](https://docs.aws.amazon.com/singlesignon/latest/OIDCAPIReference/API_Operations.html) を介してアプリケーションは OAuth 2.0 クライアントを登録し、これらのフローのいずれかを使用して IAM アイデンティティセンターで保護された API へのアクセス許可を提供するアクセストークンを取得します。アプリケーションは、目的の API ユーザーを宣言するための[アクセススコープ](https://docs.aws.amazon.com/singlesignon/latest/userguide/customermanagedapps-saml2-oauth2.html#scopes-oidc)を指定します。IAM アイデンティティセンター管理者として ID ソースを設定した後、アプリケーションのエンドユーザーがまだサインインプロセスを完了していない場合は、サインインプロセスを完了する必要があります。その後、エンドユーザーは、アプリケーションが API コールを行うことに同意する必要があります。これらの API コールは、ユーザー自身の権限を使用して行われます。これに対して IAM アイデンティティセンターは、ユーザーが同意したアクセススコープを含むアクセストークンをアプリケーションに返します。
### OAuth 2.0 許可フローの使用
OAuth 2.0 グラントフローは、フローをサポートする AWS マネージドアプリケーションでのみ使用できます。OAuth 2.0 フローを使用するには、IAM Identity Center のインスタンスと、使用するサポートされている AWS マネージドアプリケーションのインスタンスを 1 つの にデプロイする必要があります AWS リージョン。各 のドキュメントを参照して AWS のサービス 、 AWS マネージドアプリケーションのリージョンでの可用性と、使用する IAM アイデンティティセンターのインスタンスを確認してください。
OAuth 2.0 フローを使用するアプリケーションを使用するには、エンドユーザーがアプリケーションの接続先 URL を入力してお使いの IAM アイデンティティセンターインスタンスに登録する必要があります。アプリケーションによっては、管理者が IAM アイデンティティセンターインスタンスの **AWS アクセスポータル URL** または**発行者 URL** をユーザーに提供する必要があります。これらの 2 つの設定は、[IAM アイデンティティセンターコンソール](https://console.aws.amazon.com/singlesignon/)の **[設定]** ページで確認できます。クライアントアプリケーションの設定の詳細については、そのアプリケーションのドキュメントを参照してください。
アプリケーションにサインインして同意するエンドユーザーエクスペリエンスの詳細は、そのアプリケーションが [PKCE を使用した認可コード付与](#auth-code-grant-pkce) と [デバイス認可付与](#device-auth-grant) のいずれを使用しているかどうかによって異なります。
#### PKCE を使用した認可コード付与
このフローは、ブラウザを持つデバイスで実行されるアプリケーションによって使用されます。
1. ブラウザウィンドウが開きます。
1. ユーザーがまだ認証されていない場合、ブラウザはユーザーをリダイレクトして認証完了を促します。
1. 認証後、次の項目を表示した同意画面がユーザーに対して表示されます。
+ アプリケーションの名前
+ アプリケーションが使用のための同意を求めるアクセス範囲
1. ユーザーは同意プロセスをキャンセルすることができます。同意すると、アプリケーションはそのユーザーの持つアクセス許可に基づいてアクセス処理を進めます。
#### デバイス認可付与
このフローは、ブラウザの有無にかかわらず、デバイスで実行されるアプリケーションで使用できます。アプリケーションがフローを開始すると、アプリケーションは、フローの後半でユーザーが確認する必要がある URL とユーザーコードを表示します。フローを開始するアプリケーションがユーザーが同意したデバイスとは異なるデバイスで実行されている場合に備えて、このユーザーコードが必要となります。このコードにより、ユーザーが他のデバイスで開始したフローに同意していることを保証します。
**注記**
`device.sso.region.amazonaws.com` を使用するクライアントがある場合は、コード交換 (PKCE) の証明キーを使用するように認可フローを更新する必要があります。IAM アイデンティティセンターでの MFA の詳細については、「*AWS Command Line Interface ユーザーガイド*」の「[AWS CLIを使用した多要素認証](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-sso.html)」を参照してください。
1. ブラウザを持つデバイスからフローが開始されると、ブラウザウィンドウが開きます。フローがブラウザを持たないデバイスで開始された場合、ユーザーは別のデバイスでブラウザを開き、アプリケーションが提示した URL に移動する必要があります。
1. いずれの場合も、ユーザーが認証されていない場合、ブラウザはユーザーをリダイレクトして認証完了を促します。
1. 認証後、次の項目を表示した同意画面がユーザーに対して表示されます。
+ アプリケーションの名前
+ アプリケーションが使用のための同意を求めるアクセス範囲
+ アプリケーションがユーザーに提示したユーザーコード
1. ユーザーは同意プロセスをキャンセルすることができます。同意すると、アプリケーションはそのユーザーの持つアクセス許可に基づいてアクセス処理を進めます。
### アクセススコープ
*スコープ*は、OAuth 2.0 フローを介してアクセスできるサービスへのアクセスを定義します。スコープは、リソースサーバーとも呼ばれるサービスが、アクションやサービスリソースに関連する権限をグループ化する方法であり、OAuth 2.0 クライアントがリクエストできる操作を大まかに指定します。OAuth 2.0 クライアントが [IAM アイデンティティセンター OIDC サービス](https://docs.aws.amazon.com/singlesignon/latest/OIDCAPIReference/Welcome.html)に登録すると、クライアントは意図されるアクションを宣言するスコープを指定します。これに対してユーザーは同意する必要があります。
OAuth 2.0 クライアントは、[「OAuth 2.0 (RFC6749)」のセクション 3.3](https://www.rfc-editor.org/rfc/rfc6749.html#section-3.3) で定義されている `scope` 値を使用して、アクセストークンにリクエストされるアクセス権限を指定します。クライアントがアクセストークンをリクエストする際には、最大 25 件のスコープを指定できます。PKCE またはデバイス認可付与フローで認証コード付与中にユーザーが同意すると、IAM アイデンティティセンターは返されるアクセストークンにスコープをエンコードします。
AWS は、サポート対象の IAM アイデンティティセンターにスコープを追加します AWS のサービス。次の表に、パブリッククライアントを登録する際に IAM アイデンティティセンター OIDC サービスがサポートするスコープを示します。
#### パブリッククライアントの登録時に IAM Identity Center OIDC サービスがサポートするアクセススコープ
****
| スコープ | 説明 | がサポートするサービス |
| --- | --- | --- |
| sso:account:access | IAM Identity Center が管理するアカウントとアクセス権限セットにアクセスします。 | IAM アイデンティティセンター |
| codewhisperer:analysis | Kiro コード分析へのアクセスを有効にします。 | AWS ビルダー ID および IAM Identity Center |
| codewhisperer:completions | Kiro インラインコード提案へのアクセスを有効にします。 | AWS ビルダー ID および IAM Identity Center |
| codewhisperer:conversations | Kiro チャットへのアクセスを有効にします。 | AWS ビルダー ID および IAM Identity Center |
| codewhisperer:taskassist | ソフトウェア開発のために Kiro Agent へのアクセスを有効にします。 | AWS ビルダー ID および IAM Identity Center |
| codewhisperer:transformations | コード変換のために Kiro エージェントへのアクセスを有効にします。 | AWS ビルダー ID および IAM Identity Center |
| codecatalyst:read\$1write | Amazon CodeCatalyst リソースの読み取りと書き込みが可能なため、既存のすべてのリソースにアクセスできます。 | AWS ビルダー ID および IAM Identity Center |
| verified\$1access:application:connect | を有効にする AWS Verified Access | AWS Verified Access |
| redshift:connect | Amazon Redshift に接続する | Amazon Redshift |
| datazone:domain:access | DataZone ドメイン実行ロールにアクセスする | Amazon DataZone |
| nosqlworkbench:datamodeladviser | データモデルの作成と読み取り | NoSQL Workbench |
| transform:read\$1write | コード AWS 変換のために変換エージェントへのアクセスを有効にする | AWS 変換 |
# カスタマー管理 SAML 2.0 アプリケーションの設定
[SAML 2.0](https://wiki.oasis-open.org/security) をサポートするカスタマーマネージドアプリケーションを使用している場合は、SAML 2.0 を介して IdP を IAM アイデンティティセンターにフェデレーションし、IAM アイデンティティセンターを使用してそれらのアプリケーションへのユーザーアクセスを管理できます。IAM アイデンティティセンターコンソールでよく使用されるアプリケーションのカタログから SAML 2.0 アプリケーションを選択するか、独自の SAML 2.0 アプリケーションを設定できます。
**注記**
OAuth 2.0 をサポートするカスタマーマネージドアプリケーションがあり、ユーザーがこれらのアプリケーションから にアクセスする必要がある場合は AWS のサービス、信頼できる ID 伝達を使用できます。信頼できる ID の伝播を使用すると、ユーザーはアプリケーションにサインインでき、そのアプリケーションは AWS のサービス内のデータにアクセスするためのリクエストでユーザーの ID を渡すことができます。
**Topics**
+ [
# IAM アイデンティティセンターアプリケーションカタログからアプリケーションを設定する
](saasapps.md)
+ [
# 独自の SAML 2.0 アプリケーションをセットアップする
](customermanagedapps-set-up-your-own-app-saml2.md)
# IAM アイデンティティセンターアプリケーションカタログからアプリケーションを設定する
IAM アイデンティティセンターコンソールのアプリケーションカタログを使用して、IAM アイデンティティセンターと連携するよく使用されている多くの SAML 2.0 アプリケーションを追加することができます。例としては、Salesforce、Box、Microsoft 365 などがあります。
ほとんどのアプリケーションで、IAM アイデンティティセンターとアプリケーションのサービスプロバイダーとの間の信頼関係を設定する方法に関する詳細情報が提供されます。この情報は、カタログでアプリケーションを選択すると、アプリケーションの設定ページで利用できます。アプリケーションを設定したら、必要に応じて IAM アイデンティティセンターのユーザーまたはグループにアクセス権を割り当てることができます。
IAM アイデンティティセンターとアプリケーションのサービスプロバイダーとの間で SAML 2.0 の信頼関係を設定するには、以下の手順を実行します。
この手順を開始する前に、信頼をより効率的に設定できるように、サービスプロバイダーのメタデータ交換ファイルがあることが役に立ちます。このファイルがない場合でも、まだこの手順を使用してその信頼を手動で設定できます。
**アプリケーションカタログからアプリケーションを追加および設定するには**
1. [IAM Identity Center コンソール](https://console.aws.amazon.com/singlesignon) を開きます。
1. **[Applications]** (アプリケーション) を選択します。
1. [**カスタマーマネージド**] タブを選択します。
1. **[アプリケーションの追加]** を選択します。
1. [**アプリケーションタイプを選択**] ページの [**セットアッププリファレンス**] で、[**カタログからアプリケーションを選択したい**] を選択します。
1. **[アプリケーションカタログ]** で、追加するアプリケーションの名前を検索ボックスに入力し始めます。
1. 検索結果に表示されたら、一覧からアプリケーションの名前を選択し、**[次へ]** を選択します。
1. [**アプリケーションを設定**] ページの [**表示名**] と [**説明**] フィールドには、アプリケーションに関連する詳細があらかじめ入力されています。この情報は編集することができます。
1. 「**IAM Identity Center**」で、以下の作業を行います。
1. **IAM Identity Center SAML メタデータファイル**の横にある [**ダウンロード**] を選択して、ID プロバイダーのメタデータをダウンロードします。
1. [**IAM Identity Center 証明書**] の横にある [**証明書のダウンロード**] を選択して、ID プロバイダーの証明書をダウンロードします。
**注記**
後で、サービスプロバイダーのウェブサイトからアプリケーションを設定するときに、これらのファイルが必要になります。そのプロバイダーからの手順に従います。
1. (オプション) [**アプリケーションプロパティ**] の下で、[**アプリケーション開始 URL**]、[**リレー状態**]、[**セッション期間**] を指定できます。詳細については、「[IAM アイデンティティセンターコンソールのアプリケーションプロパティを理解する](appproperties.md)」を参照してください。
1. **[Application metadata]** (アプリケーションメタデータ) で、以下のいずれかを行います。
1. メタデータファイルがある場合は、[**アプリケーション SAML メタデータファイルをアップロードする**] を選択します。次に、**[ファイルを選択]** を選択してメタデータファイルを検索して選択します。
1. メタデータファイルがない場合は、**[メタデータ値を手動で入力する]** のリンクをクリックして、**[アプリケーション ACS URL]** および **[アプリケーション SAML 対象者]** の値を指定します。
1. [**Submit**] を選択してください。追加したアプリケーションの詳細ページが表示されます。
# 独自の SAML 2.0 アプリケーションをセットアップする
SAML 2.0 を使用した ID フェデレーションを可能にする独自のアプリケーションを設定し、それらを IAM アイデンティティセンターに追加できます。独自の SAML 2.0 アプリケーションを設定する手順のほとんどは、IAM アイデンティティセンターコンソールのアプリケーションカタログから SAML 2.0 アプリケーションを設定するのと同じです。ただし、独自の SAML 2.0 アプリケーションのために、追加の SAML 属性マッピングを提供する必要があります。これらのマッピングは、IAM アイデンティティセンターがアプリケーションに対して SAML 2.0 アサーションを正しく追加できるようにします。アプリケーションを初めて設定するときに、この SAML 属性マッピングを追加できます。また、IAM アイデンティティセンターコンソールのアプリケーションの詳細ページでも、SAML 2.0 属性マッピングを追加できます。
以下の手順を使用して、IAM アイデンティティセンターと SAML 2.0 アプリケーションのサービスプロバイダーとの間で SAML 2.0 の信頼関係を設定します。この手順を開始する前に、信頼をより効率的に設定できるように、サービスプロバイダーの証明書とメタデータエクスチェンジファイルがあることを確認してください。
**独自の SAML 2.0 アプリケーションを設定するには**
1. [IAM Identity Center コンソール](https://console.aws.amazon.com/singlesignon) を開きます。
1. **[Applications]** (アプリケーション) を選択します。
1. [**カスタマーマネージド**] タブを選択します。
1. **[アプリケーションの追加]** を選択します。
1. [**アプリケーションタイプを選択**] ページの [**セットアッププリファレンス**] で、[**セットアップしたいアプリケーションがある**] を選択します。
1. [**アプリケーションタイプ**] で、[**SAML 2.0**] を選択します。
1. [**次へ**] を選択します。
1. **[アプリケーションの設定]** ページの **[アプリケーションの設定]** で、**MyApp** のようにアプリケーションの **[表示名]** を入力します。[**Description**] を入力します。
1. 「**IAM Identity Center**」で、以下の作業を行います。
1. **IAM Identity Center SAML メタデータファイル**の横にある [**ダウンロード**] を選択して、ID プロバイダーのメタデータをダウンロードします。
1. [**IAM アイデンティティセンターの証明書**] で、[**ダウンロード**] を選択して、ID プロバイダーの証明書をダウンロードします。
**注記**
後で、サービスプロバイダーのウェブサイトからカスタムアプリケーションを設定するときに、これらのファイルが必要になります。
1. (オプション) [**アプリケーションプロパティ**] の下で、[**アプリケーション開始 URL**]、[**リレー状態**]、[**セッション期間**] も指定できます。詳細については、「[IAM アイデンティティセンターコンソールのアプリケーションプロパティを理解する](appproperties.md)」を参照してください。
1. **[アプリケーションメタデータ]** で **[メタデータの値を手動で入力]** を選択します。次に、[**アプリケーション ACS URL**] および [**アプリケーション SAML 対象者**] の値を指定します。
1. [**Submit**] を選択してください。追加したアプリケーションの詳細ページが表示されます。