翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# SCIM プロファイルおよび SAML 2.0 の実装
SCIM および SAML は共に IAM アイデンティティセンターを構成する上で重要な注意事項です。
## SAML 2.0 の実装
IAM アイデンティティセンターは、[SAML (Security Assertion Markup Language)](https://wiki.oasis-open.org/security) 2.0 との ID フェデレーションをサポートします。これにより、IAM アイデンティティセンターは、外部の ID プロバイダー (IdP) からの ID を認証することができます。SAML 2.0 は、SAML アサーションを安全に交換するためのオープンスタンダードです。SAML 2.0 は、SAML 権限 (ID プロバイダ (IdP) と呼ばれます) と SAML コンシューマ (サービスプロバイダ (SP) と呼ばれます) の間で、ユーザに関する情報を渡します。IAM アイデンティティセンターサービスは、この情報を使って、フェデレーテッドシングルサインオン (SSO) を提供します。シングルサインオンを使用すると、ユーザーは既存の ID プロバイダーの認証情報に基づいて AWS アカウント および設定されたアプリケーションにアクセスできます。
IAM Identity Center は、IAM Identity Center ストア AWS Managed Microsoft ADまたは外部 ID プロバイダーに SAML IdP 機能を追加します。その後、ユーザーは、、、 などの AWS マネジメントコンソール やサードパーティーアプリケーションなどMicrosoft 365、SAML をサポートするサービスにシングルサインオンできますConcurSalesforce。
しかし SAML プロトコルは、ユーザーやグループについての情報を得るために IdP へクエリする手段は提供しません。そのため、IAM アイデンティティセンターがこれらのユーザーやグループを IAM アイデンティティセンターにプロビジョニングして認識する必要があります。
## SCIM プロファイル
IAM アイデンティティセンターは、クロスドメインアイデンティティ管理システム (SCIM) v2.0 規格に対応しています。SCIM は、IAM アイデンティティセンターの ID と IdP の ID を同期させます。これには、IdP と IAM アイデンティティセンターの間で行われるユーザーのプロビジョニング、アップデート、デプロビジョニングが含まれます。
SCIM を実装する方法の詳細については、「[SCIM を使用して外部 ID プロバイダーからユーザーとグループをプロビジョニングする](provision-automatically.md)」を参照してください。IAM Identity Center の SCIM 実装の詳細については、「[IAM Identity Center SCIM 実装デベロッパーガイド](https://docs.aws.amazon.com/singlesignon/latest/developerguide/what-is-scim.html)」 () を参照してください。
**Topics**
+ [SAML 2.0 の実装](#samlfederationconcept)
+ [SCIM プロファイル](#scim-profile)
+ [SCIM を使用して外部 ID プロバイダーからユーザーとグループをプロビジョニングする](provision-automatically.md)
+ [SAML 2.0 証明書をローテーションする](managesamlcerts.md)
# SCIM を使用して外部 ID プロバイダーからユーザーとグループをプロビジョニングする
IAM アイデンティティセンターは、クロスドメインアイデンティティ管理システム (SCIM) v2.0 プロトコルを使用して、ID プロバイダー (IdP) から IAM アイデンティティセンターへのユーザーおよびグループ情報の自動プロビジョニング (同期化) をサポートしています。SCIM 同期を設定すると、ID プロバイダー (IdP) のユーザー属性と IAM アイデンティティセンターの名前付き属性のマッピングが作成されます。これにより、IAM アイデンティティセンターとお客様の IdP の間で、期待される属性が一致します。この接続を IdP で設定するには、IAM アイデンティティセンター用の SCIM エンドポイントと IAM アイデンティティセンターで作成したベアラートークンを使用します。
**Topics**
+ [自動プロビジョニングを使用する際の注意事項](#auto-provisioning-considerations)
+ [アクセストークンの有効期限を監視する方法](#access-token-expiry)
+ [アクセストークンを生成する](generate-token.md)
+ [自動プロビジョニングを有効にする](how-to-with-scim.md)
+ [アクセストークンを削除する](delete-token.md)
+ [自動プロビジョニングを無効にする](disable-provisioning.md)
+ [アクセストークンをローテーションする](rotate-token.md)
+ [自動プロビジョニングされたリソースの監査と調整](reconcile-auto-provisioning.md)
+ [手動のプロビジョニング](#provision-manually)
## 自動プロビジョニングを使用する際の注意事項
SCIM のデプロイを開始する前に、まず、IAM アイデンティティセンターとの連携について、以下の注意事項を確認することをお勧めします。プロビジョニングに関する追加の注意事項については、お使いの IdP 向け [IAM アイデンティティセンターの ID ソースに関するチュートリアル](tutorials.md) を参照してください。
+ プライマリの E メールアドレスをプロビジョニングする場合、この属性値は各ユーザーに対して一意でなければなりません。一部の IdP では、プライマリ E メールアドレスが実在しない場合があります。例えば、E メールにしか見えない UPN (Universal Principal Name) だったりします。これらの IdP は、ユーザーの実際の E メールアドレスを含むセカンダリまたは「その他」の E メールアドレスを持っている場合があります。Null 以外の一意なメールアドレスを IAM アイデンティティセンターのプライマリ E メールアドレス属性にマッピングするために、IdP の SCIM を設定する必要があります。また、ユーザーの Null 以外の一意なサインイン識別子を IAM アイデンティティセンターのユーザー名属性にマッピングする必要があります。ご利用の IdP に、サインイン識別子とユーザーの E メール名を兼ねた単一の値があるかどうかを確認してください。その場合、その IdP フィールドを IAM アイデンティティセンターのプライマリ E メールと IAM アイデンティティセンターのユーザー名の両方にマッピングすることができます。
+ SCIM の同期が機能するためには、すべてのユーザーが **First name** (名)、**Last name** (姓)、**Username** (ユーザーネーム)、**Display name** (表示名) の値を指定する必要があります。これらのすべての値が設定されていないユーザーはプロビジョニングされません。
+ サードパーティーのアプリケーションを使用する必要がある場合は、まず、アウトバウンド SAML のサブジェクト属性をユーザー名属性にマッピングする必要があります。サードパーティーのアプリケーションにルーティング可能な E メールアドレスが必要な場合、E メール属性を IdP に提供する必要があります。
+ SCIM のプロビジョニングとアップデートの間隔は、ID プロバイダーによって管理されます。ID プロバイダーのユーザーおよびグループに対する変更は、ID プロバイダーがそれらの変更を IAM アイデンティティセンターに送信した後に、 SSO にのみ反映されます。ユーザーやグループの更新の頻度については、ID プロバイダーにご確認ください。
+ 現在、SCIM では多値属性 (特定のユーザーに対する複数の E メールや電話番号など) は提供されていません。SCIM を使用した IAM アイデンティティセンターに多値属性を同期させようとすると失敗します。失敗を回避するために、各属性には 1 つの値しか渡さないようにします。マルチバリューの属性を持つユーザーがいる場合は、IAM アイデンティティセンターへの接続のために、IdP の SCIM で重複する属性マッピングを削除または変更します。
+ お客様の IdP での `externalId` SCIM マッピングが、一意で常に存在し、お客様のユーザにとって変更の可能性が低い値に対応していることを確認してください。例えば、IdP は、名前や E メールなどのユーザー属性の変更に影響されない、保証付きの `objectId` やその他の識別子を提供することができます。そうであれば、その値を SCIM の `externalId` フィールドにマッピングすることができます。これにより、名前や E メールを変更する必要がある場合に、ユーザーが AWS 使用権限、割り当て、またはアクセス許可を失うことがなくなります。
+ まだアプリケーションに割り当てられていないユーザー、または IAM Identity Center にプロビジョニング AWS アカウント できないユーザー。ユーザーとグループを同期させるには、ユーザーとグループが、IAM アイデンティティセンターへの IdP の接続を表すアプリケーションやその他の設定に割り当てられていることを確認してください。
+ ユーザープロビジョニング解除の動作は ID プロバイダーによって管理され、実装によって異なる場合があります。ユーザープロビジョニング解除の詳細については、ID プロバイダーにお問い合わせください。
+ IdP に SCIM を使用して自動プロビジョニングを設定した後は、IAM アイデンティティセンターコンソールでユーザーを追加または編集できなくなります。ユーザーを追加または変更する必要がある場合は、外部 IdP または ID ソースから追加または変更する必要があります。
IAM Identity Center の SCIM 実装の詳細については、「[IAM Identity Center SCIM 実装デベロッパーガイド](https://docs.aws.amazon.com/singlesignon/latest/developerguide/what-is-scim.html)」 () を参照してください。
## アクセストークンの有効期限を監視する方法
SCIM アクセストークンは 1 年の有効期間で生成されます。SCIM アクセストークンが 90 日以内に期限切れに設定されている場合、 はトークンのローテーションに役立つリマインダーを IAM Identity Center コンソールと AWS Health Dashboard AWS に送信します。SCIM アクセストークンを有効期限が切れる前にローテーションすることで、ユーザーとグループの情報の自動プロビジョニングを継続的に保護できます。SCIM アクセストークンの有効期限が切れると、ID プロバイダーから IAM アイデンティティセンターへのユーザーとグループの情報の同期が停止するため、自動プロビジョニングでは情報を更新したり、情報を作成、削除したりできなくなります。自動プロビジョニングが中断されると、セキュリティリスクが高まり、サービスへのアクセスに影響が及ぶ可能性があります。
Identity Center コンソールのリマインダーは、SCIM アクセストークンをローテーションして、未使用または期限切れのアクセストークンを削除するまで続きます。 AWS Health ダッシュボードイベントは、SCIM アクセストークンの有効期限が切れるまで、90 日から 60 日の間は週 2 回、60 日から 30 日の間は週 3 回、15 日の間は毎日更新されます。
# アクセストークンを生成する
以下の手順で、IAM アイデンティティセンターコンソールで新しいアクセストークンを生成します。
**注記**
この手順では、自動プロビジョニングが事前に有効になっている必要があります。詳細については、「[自動プロビジョニングを有効にする](how-to-with-scim.md)」を参照してください。
**新しいアクセストークンを生成するには**
1. [[IAM アイデンティティセンターコンソール](https://console.aws.amazon.com/singlesignon)] で、左のナビゲーションペインの [**設定**] を選択します。
1. **[設定]** ページで **[ID ソース]** タブを選択し、**[アクション] > [プロビジョニングの管理]** を選択します。
1. **[自動プロビジョニング]** ページで、 **[アクセストークン]** の **[トークンを生成する]** を選択します。
1. [**新しいアクセストークンを生成**] ダイアログで、新しいアクセストークンをコピーして安全な場所に保存します。
1. [**閉じる**] を選択してください。
# 自動プロビジョニングを有効にする
SCIM プロトコルを使用して、IdP から IAM アイデンティティセンターへのユーザーおよびグループの自動プロビジョニングを有効にするには、以下の手順を使用します。
**注記**
この手順を開始する前に、まずお客様の IdP に適用されるプロビジョニングに関する注意事項を確認することをお勧めします。詳細については、お使いの IdP の [IAM アイデンティティセンターの ID ソースに関するチュートリアル](tutorials.md) を参照してください。
**IAM アイデンティティセンターで自動プロビジョニングを有効にするには**
1. 前提条件が整ったら、[IAM アイデンティティセンターコンソール](https://console.aws.amazon.com/singlesignon)を開きます。
1. 左側のナビゲーションペインの **[設定]** を選択します。
1. **[設定]** ページで、**[自動プロビジョニング]** 情報ボックスを探し、**[有効化]** を選択します。これにより、すぐに IAM アイデンティティセンターの自動プロビジョニングが有効になり、必要なエンドポイントとアクセストークンの情報が表示されます。
1. **[インバウンド自動プロビジョニング]** ダイアログボックスで、SCIM エンドポイントとアクセストークンをコピーします。これらは、後で IdP でプロビジョニングを設定する際に貼り付ける必要があります。
1. **[SCIM エンドポイント]** - 例えば https://scim.*us-east-2*.amazonaws.com/*11111111111-2222-3333-4444-555555555555*/scim/v2
1. **[アクセストークン]** - **[トークンを表示]** を選択して値をコピーします。
**警告**
SCIM エンドポイントとアクセストークンを取得できるタイミングは、この時のみです。先に進む前に、これらの値をコピーしておいてください。このチュートリアルの後半で、お使いの IdP 上でこれらの値を入力して自動プロビジョニングを設定します。
1. **[閉じる]** を選択します。
この手順が完了したら、IdP で自動プロビジョニングを設定する必要があります。詳細については、お使いの IdP の [IAM アイデンティティセンターの ID ソースに関するチュートリアル](tutorials.md) を参照してください。
# アクセストークンを削除する
以下の手順で、IAM アイデンティティセンターコンソールで既存のアクセストークンを削除します。
**既存のアクセストークンを削除するには**
1. [[IAM アイデンティティセンターコンソール](https://console.aws.amazon.com/singlesignon)] で、左のナビゲーションペインの [**設定**] を選択します。
1. **[設定]** ページで **[ID ソース]** タブを選択し、**[アクション] > [プロビジョニングの管理]** を選択します。
1. **[自動プロビジョニング]** ページで、**[アクセストークン]** から削除したいアクセストークンを選び、**[削除]** を選択します。
1. **[Delete access token]** (アクセストークンを削除する) ダイアログボックスで、情報を確認し、**[DELETE]** (削除) と入力して、**[Delete access token]** (アクセストークンを削除する) を選択します。
# 自動プロビジョニングを無効にする
以下の手順で、IAM アイデンティティセンターコンソールでの自動プロビジョニングを無効にします。
**重要**
この手順を行う前にアクセストークンを削除する必要があります。詳細については、「[アクセストークンを削除する](delete-token.md)」を参照してください。
**IAM アイデンティティセンターコンソールで自動プロビジョニングを無効にするには**
1. [[IAM アイデンティティセンターコンソール](https://console.aws.amazon.com/singlesignon)] で、左のナビゲーションペインの [**設定**] を選択します。
1. **[設定]** ページで **[ID ソース]** タブを選択し、**[アクション] > [プロビジョニングの管理]** を選択します。
1. **[自動プロビジョニング]** ページで、**[無効にする] ** を選択します。
1. **[Disable automatic provisioning]** (自動プロビジョニングを無効にする) ダイアログボックスで、情報を確認し、**[DISABLE]** (無効) と入力して、**[Disable automatic provisioning]** (自動プロビジョニングを無効にする) を選択します。
# アクセストークンをローテーションする
IAM アイデンティティセンターディレクトリは一度に 2 つまでのアクセストークンをサポートします。ローテーションの前に追加のアクセストークンを生成するには、期限切れまたは未使用のアクセストークンをすべて削除します。
SCIM アクセストークンの有効期限が近づいている場合は、以下の手順で IAM アイデンティティセンターコンソールで既存のアクセストークンをローテーションさせることができます。
**アクセストークンをローテーションするには**
1. [[IAM アイデンティティセンターコンソール](https://console.aws.amazon.com/singlesignon)] で、左のナビゲーションペインの [**設定**] を選択します。
1. **[設定]** ページで **[ID ソース]** タブを選択し、**[アクション] > [プロビジョニングの管理]** を選択します。
1. **[Automatic provisioning]** (自動プロビジョニング) ページの **[Access Token]** (アクセストークン) でローテーションさせたいトークンのトークン ID をメモしておきます。
1. [アクセストークンを生成する](generate-token.md) の手順に従って、新しいトークンを作成します。既に最大数の SCIM アクセストークンを作成している場合は、まず既存のトークンの 1 つを削除する必要があります。
1. ID プロバイダーのウェブサイトにアクセスし、新しいアクセストークンを SCIM プロビジョニング用に設定した後、新しい SCIM アクセストークンを使用して IAM アイデンティティセンターへの接続をテストします。新しいトークンを使ってプロビジョニングが正常に行われていることを確認したら、この手順の次のステップに進みます。
1. [アクセストークンを削除する](delete-token.md) の手順で、先ほどの古いアクセストークンを削除します。また、どのトークンを削除するかを判断するために、トークンの作成日を利用することもできます。
# 自動プロビジョニングされたリソースの監査と調整
SCIM を使用すると、ユーザー、グループ、グループメンバーシップを ID ソースから IAM アイデンティティセンターに自動的にプロビジョニングできます。このガイドは、これらのリソースを検証して調整し、正確な同期を維持するのに役立ちます。
## リソースを監査する理由
定期的な監査は、アクセスコントロールが正確であり、ID プロバイダー (IdP) が IAM アイデンティティセンターと適切に同期された状態を維持するのに役立ちます。これは、セキュリティコンプライアンスとアクセス管理にとって特に重要です。
監査できるリソース:
+ [ユーザー]
+ グループ
+ グループメンバーシップ
AWS Identity Store [APIs](https://docs.aws.amazon.com/singlesignon/latest/IdentityStoreAPIReference/welcome.html) または [CLI コマンド](https://docs.aws.amazon.com/cli/latest/reference/identitystore/)を使用して、監査と調整を実行できます。次の例では、 AWS CLI コマンドを使用します。API の代替手段については、「*ID ストア API リファレンス*」の「[対応するオペレーション](https://docs.aws.amazon.com/singlesignon/latest/IdentityStoreAPIReference/API_Operations.html)」を参照してください。
## リソースを監査する方法
AWS CLI コマンドを使用してこれらのリソースを監査する方法の例を次に示します。
開始する前に、以下を確認してください。
+ IAM アイデンティティセンターへの管理者アクセス。
+ AWS CLI がインストールされ、設定されています。詳細については、[https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html)を参照してください。
+ ID ストアコマンドに必要な IAM アクセス許可。
### ステップ 1: 現在のリソースを一覧表示する
を使用して現在のリソースを表示できます AWS CLI。
**注記**
を使用する場合 AWS CLI、 を指定しない限り、ページ分割は自動的に処理されます`--no-paginate`。API を直接呼び出す場合 (SDK やカスタムスクリプトなど)、レスポンスで `NextToken` を処理します。これにより、複数のページにわたるすべての結果を取得できます。
**Example ユーザー向け**
```
aws identitystore list-users \
--region REGION \
--identity-store-id IDENTITY_STORE_ID
```
**Example グループ向け**
```
aws identitystore list-groups \
--region REGION \
--identity-store-id IDENTITY_STORE_ID
```
**Example グループメンバーシップ向け**
```
aws identitystore list-group-memberships \
--region REGION \
--identity-store-id IDENTITY_STORE_ID
--group-id GROUP_ID
```
### ステップ 2: ID ソースと比較する
リストされているリソースを ID ソースと比較して、次のような不一致を特定します。
+ IAM アイデンティティセンターでプロビジョニングする必要があるリソースがありません。
+ IAM アイデンティティセンターから削除する必要がある追加のリソース。
**Example ユーザー向け**
```
# Create missing users
aws identitystore create-user \
--identity-store-id IDENTITY_STORE_ID \
--user-name USERNAME \
--display-name DISPLAY_NAME \
--name GivenName=FIRST_NAME,FamilyName=LAST_NAME \
--emails Value=EMAIL,Primary=true
# Delete extra users
aws identitystore delete-user \
--identity-store-id IDENTITY_STORE_ID \
--user-id USER_ID
```
**Example グループ向け**
```
# Create missing groups
aws identitystore create-group \
--identity-store-id IDENTITY_STORE_ID \
[group attributes]
# Delete extra groups
aws identitystore delete-group \
--identity-store-id IDENTITY_STORE_ID \
--group-id GROUP_ID
```
**Example グループメンバーシップ向け**
```
# Add missing members
aws identitystore create-group-membership \
--identity-store-id IDENTITY_STORE_ID \
--group-id GROUP_ID \
--member-id '{"UserId": "USER_ID"}'
# Remove extra members
aws identitystore delete-group-membership \
--identity-store-id IDENTITY_STORE_ID \
--membership-id MEMBERSHIP_ID
```
## 考慮事項
+ コマンドには、[service quotas と API スロットリング](limits.md#ssothrottlelimits)が適用されます。
+ 調整中に多くの違いが見つかったら、 AWS Identity Store に小さな段階的な変更を加えます。これにより、複数のユーザーに影響を与える間違いを回避できます。
+ SCIM 同期は、手動の変更を上書きできます。この動作を理解するには、IdP 設定を確認してください。
## 手動のプロビジョニング
一部の IdP では、クロスドメインアイデンティティ管理システム (SCIM) をサポートしていないか、互換性のない SCIM 実装をしています。そのような場合は、IAM Identity Center コンソールを通じて手動でユーザーをプロビジョニングすることができます。IAM アイデンティティセンターにユーザーを追加する際には、IdP に登録されているユーザー名と同一のユーザー名を設定します。少なくとも、一意の E メールアドレスとユーザー名が必要です。詳細については、「[ユーザー名と E メールアドレスの一意性](users-groups-provisioning.md#username-email-unique)」を参照してください。
また、IAM アイデンティティセンターでは、すべてのグループを手動で管理する必要があります。そのためには、グループを作成し、IAM アイデンティティセンターコンソールを使ってグループを追加します。これらのグループは、お客様の IdP に存在するものと一致する必要はありません。詳細については、「[グループ](users-groups-provisioning.md#groups-concept)」を参照してください。
# SAML 2.0 証明書をローテーションする
IAM アイデンティティセンターは、証明書を使用して、外部 ID プロバイダー (IdP)と IAM アイデンティティセンターとの間の SAML 信頼関係を確立します。IAM アイデンティティセンターで外部 IdP を追加する際には、外部 IdP から少なくとも 1 つの SAML 2.0 X.509 のパブリック証明書を取得する必要があります。その証明書は、通常、信頼を作成中の IdP SAML メタデータ交換時に自動的にインストールされます。
IAM アイデンティティセンターの管理者として、古い IdP 証明書を新しい証明書に置き換える必要がある場合があります。例えば、IdP 証明書の有効期限が近づいている場合は、証明書を交換する必要があります。古い証明書を新しい証明書に置き換えるプロセスは、証明書のローテーションと呼ばれています。
**Topics**
+ [SAML 2.0 証明書をローテーションする](rotatesamlcert.md)
+ [証明書の有効期限切れステータスインジケーター](samlcertexpirationindicators.md)
# SAML 2.0 証明書をローテーションする
ID プロバイダーが発行した無効または期限切れの証明書をローテーションさせるために、定期的に証明書をインポートする必要がある場合があります。これにより、認証の乱れやダウンタイムを防ぐことができます。インポートされた証明書はすべて自動的に有効になります。証明書の削除は、関連する ID プロバイダで使用されなくなったことを確認した後に行います。
また、IdP によっては複数の証明書をサポートしていない場合があることも考慮する必要があります。この場合、これらの IdP で証明書をローテーションした場合、ユーザーの利用しているサービスが一時的に中断する可能性があります。その IdP との信頼関係が正常に再構築されたときに、サービスが再開されます。このオペレーションは、ピーク時を可能な限り避けて慎重に計画してください。
**注記**
セキュリティのベストプラクティスとして、既存の SAML 証明書に不正アクセスや不適切な取り扱いがあった場合には、直ちに証明書を削除してローテーションする必要があります。
IAM アイデンティティセンター証明書のローテーションは、以下の複数のステップで行われます。
+ IdP から新しい証明書を取得する
+ 新しい証明書を IAM アイデンティティセンターにインポートする
+ IdP での新しい証明書を有効にする
+ 古い証明書を削除する
以下のすべての手順を使用して、認証のダウンタイムを回避しながら、証明書のローテーションプロセスを完了します。
**ステップ 1: IdP から新しい証明書を取得する**
IdP の ウェブサイトにアクセスして、SAML 2.0 証明書をダウンロードします。証明書ファイルが PEM エンコード形式でダウンロードされていることを確認してください。ほとんどのプロバイダでは、IdP に複数の SAML 2.0 証明書を作成することができます。これらは、無効や非アクティブとしてマークされている可能性があります。
**ステップ 2: IAM アイデンティティセンターにインポートする**
以下の手順で、IAM アイデンティティセンターコンソールを使って新しい証明書をインポートします。
1. [[IAM アイデンティティセンターコンソール]](https://console.aws.amazon.com/singlesignon) で **[設定]** を選択します。
1. **[設定]** ページで **[ID ソース]** タブを選択し、**[アクション] > [認証の管理]** を選択します。
1. **[SAML 2.0 認証の管理]** ページで、**[証明書のインポート]** を選択します。
1. **[SAML 2.0 証明書のインポート]** ダイアログで、**[ファイルを選択]** を選択し、証明書ファイルに移動して選択し、**[証明書のインポート]** を選択します。
この時点で、IAM アイデンティティセンターは、お客様がインポートした両方の証明書から署名されたすべての受信 SAML メッセージを信頼します。
**ステップ 3: IdP で新しい証明書を有効にする**
IdP の ウェブサイトに戻り、先ほど作成した新しい証明書をプライマリまたはアクティブとしてマークします。この時点で、IdP が署名したすべての SAML メッセージは、新しい証明書を使用する必要があります。
**ステップ 4: 古い証明書を削除する**
以下の手順で、IdP の証明書ローテーション処理を行います。少なくとも 1 つの有効な証明書が必要であり、それを削除することはできません。
**注記**
この証明書を削除する前に、ID プロバイダがこの証明書を使用して SAML レスポンスに署名しなくなったことを確認します。
1. リポジトリの **[Manage SAML 2.0 certificates]** (SAML 2.0 証明書の管理) ページで、削除する証明書を選択します。**[Delete]** (削除) を選択します。
1. **[Delete SAML 2.0 certificate]** (SAML 2.0 証明書の削除) ダイアログボックスで、**DELETE** をタイプして確認し、**[Delete]** (削除) を選択します。
1. IdP のウェブサイトに戻り、古い非アクティブな証明書を削除するために必要な手順を実行します。
# 証明書の有効期限切れステータスインジケーター
「**Manage SAML 2.0 certificates**」ページには、リスト内の各証明書名の横にある**[有効期限]** 列に色分けされたステータスインジケータアイコンが表示されます。以下は、IAM アイデンティティセンターが各証明書に対してどのアイコンを表示するかを決定するための基準です。
+ **赤** — 証明書が現在期限切れであることを示します。
+ **黄** — 証明書が 90 日以内に失効することを示します。
+ **緑** — 証明書が有効であり、少なくともあと 90 日間有効であることを示します。
**証明書の現在のステータスを確認するには**
1. [[IAM Identity Center コンソール]](https://console.aws.amazon.com/singlesignon) で **[設定]** を選択します。
1. **[設定]** ページで **[ID ソース]** タブを選択し、**[アクション] > [認証の管理]** を選択します。
1. [**SAML 2.0 証明書の管理**] ページの [**SAML 2.0 証明書の管理**] で、リストの証明書のステータスを [**有効期限**] 欄に表示します。