複数のにまたがるユーザーセッション AWS リージョン AWS プライマリおよび追加のアクセスポータルエンドポイント AWS リージョンプライマリおよび追加の ACS エンドポイント AWS リージョン複数の ACS URL なしで AWS マネージドアプリケーションを使用する URLs

追加のリージョンを介したワークフォースアクセス

このセクションでは AWS アクセスポータル、複数のリージョンで IAM Identity Center を有効にしている場合 AWS アカウントに、ワークフォースが、、およびアプリケーションにアクセスする方法について説明します。

追加のリージョン AWS アクセスポータルのには、ワークフォースがアクセスできる AWS アカウントとアプリケーションが、プライマリリージョンと同じ方法で表示されます。ワークフォースは、リージョンポータルエンドポイントへの直接リンク ( などhttps://ssoins-111111h2222j33pp.eu-west-1.portal.amazonaws.com) または外部 IdP で設定したブックマークアプリを使用して、追加のリージョン AWS アクセスポータルでにサインインできます。

追加のリージョンで AWS アクセスポータルエンドポイントを使用して、IAM Identity Center ユーザーとして APIs へのアクセス AWS CLI をに許可できます。この機能は、プライマリリージョンと同じ方法で機能します。ただし、CLI 認可は有効なリージョン間でレプリケートされません。したがって、各リージョンで CLI を個別に承認する必要があります。

複数のにまたがるユーザーセッション AWS リージョン

IAM Identity Center は、ユーザーセッションを元のリージョンから他の有効なリージョンにレプリケートします。1 つのリージョンのセッション失効とサインアウトは、他のリージョンにもレプリケートされます。

IAM Identity Center 管理者によるセッションの取り消し

IAM Identity Center 管理者は、追加のリージョンでユーザーセッションを取り消すことができます。セッションがリージョン間でレプリケートされるため、通常の条件下では、1 つのリージョンでセッションを取り消し、IAM Identity Center で他の有効なリージョンに変更をレプリケートできます。IAM アイデンティティセンターのプライマリリージョンに障害が発生した場合、管理者は追加のリージョンでこのオペレーションを実行できます。

AWS アクセスポータルプライマリおよび追加のエンドポイント AWS リージョン

有効なリージョンの AWS アクセスポータル URLs を検索する必要がある場合は、次の手順に従います。

IAM Identity Center コンソールを開きます。
ナビゲーションペインで [設定] を選択します。
[管理] タブを選択します。
「IAM アイデンティティセンターのリージョン」セクションで、「すべての AWS アクセスポータル URLs」を選択します。

次の表は、IAM アイデンティティセンターインスタンスのプライマリリージョンと追加のリージョンにわたる AWS アクセスポータルエンドポイントを示しています。

AWS アクセスポータルエンドポイント	プライマリリージョン	追加のリージョン	URL パターンと例
Classic IPv4 のみ¹	はい	なし	パターン: `https://[Identity Store ID].awsapps.com/start` 例: `https://d-12345678.awsapps.com/start`
カスタムエイリアス IPv4 のみ¹	はい (オプション)	不可	パターン: `https://[custom alias].awsapps.com/start` 例: `https://mycompany.awsapps.com/start`
代替 IPv4 のみ²	はい	はい	パターン: `https://[Identity Center instance ID]. [Region].portal.amazonaws.com` 例: `https://ssoins-111111h2222j33pp.eu-west-1.portal.amazonaws.com`
デュアルスタック²	はい	はい	パターン: `https://[Identity Center instance ID].portal. [Region].app.aws` 例: `https://ssoins-111111h2222j33pp.portal.eu-west-1.app.aws`

¹ 追加のリージョンでは、カスタムエイリアスはサポートされておらず、awsapps.com親ドメインは使用できません。

² 代替 IPv4 のみおよびデュアルスタックのポータルエンドポイントには、URL /startの末尾にがありません。

プライマリおよび追加のアサーションコンシューマーサービス (ACS) エンドポイント AWS リージョン

ACS URLsしたり、SAML メタデータの一部としてダウンロードしたりする必要がある場合は、次の手順に従います。

IAM Identity Center コンソールを開きます。
ナビゲーションペインで [設定] を選択します。
ID ソースタブを選択します。
Actions ドロップダウンメニューで、Manage authentication を選択します。
サービスプロバイダーメタデータセクションには、有効な各リージョンの AWS アクセスポータルと ACS URL が表示されます。IPv4-only URL とデュアルスタック URLs がそれぞれのタブに表示されます。IdP が SAML メタデータファイルのアップロードをサポートしている場合は、メタデータファイルのダウンロードを選択して、すべての ACS URLs を含む SAML メタデータファイルをダウンロードすることができます。これがサポートされていない場合、または個別に追加する場合は、テーブルから個々の URL をコピーするか、「ACS URLs」を選択してから、すべての URLs。

次の表は、IAM アイデンティティセンターインスタンスのプライマリリージョンと追加のリージョンにわたる SAML Assertion Consumer Service (ACS) エンドポイントを示しています。

ACS エンドポイントプライマリリージョン追加のリージョン URL パターンと例

IPv4 のみ

はい

ACS エンドポイント	プライマリリージョン	追加のリージョン	URL パターンと例
IPv4 のみ	はい	はい	パターン: `https://[Region].signin.aws/platform/saml/acs/[Tenant ID]` 例: `https://us-west-2.signin.aws/platform/saml/acs/1111111111111111-aaee-ffff-dddd-11111111111`
代替 IPv4 のみ*	はい	なし	パターン: `https://[Region] .signin.aws.amazon.com/platform/saml/acs/[Tenant ID]` 例: `https://us-west-2.signin.aws.amazon.com/platform/saml/acs/1111111111111111-aaee-ffff-dddd-11111111111`
デュアルスタック	はい	はい	パターン: `https://[Region].sso.signin.aws/platform/saml/acs/[Tenant ID]` 例: `https://us-west-2.sso.signin.aws/platform/saml/acs/1111111111111111-aaee-ffff-dddd-11111111111`

パターン: https://[Region].signin.aws/platform/saml/acs/[Tenant ID]

例: https://us-west-2.signin.aws/platform/saml/acs/1111111111111111-aaee-ffff-dddd-11111111111

代替 IPv4 のみ*

はい

なし

パターン: https://[Region] .signin.aws.amazon.com/platform/saml/acs/[Tenant ID]

例: https://us-west-2.signin.aws.amazon.com/platform/saml/acs/1111111111111111-aaee-ffff-dddd-11111111111

デュアルスタック

はい

パターン: https://[Region].sso.signin.aws/platform/saml/acs/[Tenant ID]

例: https://us-west-2.sso.signin.aws/platform/saml/acs/1111111111111111-aaee-ffff-dddd-11111111111

*IAM Identity Center は、2026 年 2 月以降に作成されたインスタンスに対してこのエンドポイントを使用しなくなりました。このエンドポイントは以前のインスタンスで引き続き使用できますが、代わりに他の 2 つのエンドポイントのいずれかを使用することをお勧めします。

複数の ACS URL なしで AWS マネージドアプリケーションを使用する URLs

一部の外部 ID プロバイダー (IdPs) は、IAM Identity Center アプリケーションで複数のアサーションコンシューマーサービス (ACS) URLs をサポートしていません。複数の ACS URLs は、マルチリージョン IAM アイデンティティセンターの特定のリージョンへの直接サインインに必要な SAML 機能です。

例えば、アプリケーションリンクを介して AWS マネージドアプリケーションを起動すると、システムはアプリケーションの接続された IAM アイデンティティセンターリージョンを介してサインインをトリガーします。ただし、そのリージョンの ACS URL が外部 IdP で設定されていない場合、サインインは失敗します。

この問題を解決するには、IdP ベンダーと協力して、複数の ACS URLs のサポートを有効にします。その間も、追加のリージョンで AWS マネージドアプリケーションを使用できます。まず、外部 IdP で ACS URL が設定されているリージョン (デフォルトではプライマリリージョン) にサインインします。IAM Identity Center でアクティブなセッションを作成したら、有効な任意のリージョンの AWS アクセスポータルから、またはアプリケーションリンクからアプリケーションを起動できます。

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

IAM アイデンティティセンターを追加のリージョンにレプリケートする

AWS アカウントアクセスのために追加のリージョンにフェイルオーバーする