翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# でのクライアント認証 AWS Client VPN
クライアント認証は、 AWS クラウドへの最初のエントリポイントで実装されます。クライアントがクライアント VPN エンドポイントへの接続を許可されているかどうかを判断するために使用されます。認証が成功すると、クライアントはクライアント VPN エンドポイントに接続して VPN セッションを確立します。認証が失敗すると、接続は拒否され、クライアントは VPN セッションを確立できなくなります。
クライアント VPN では、次のタイプのクライアント承認を使用できます。
+ [Active Directory 認証](ad.md) (ユーザーベース)
+ [相互認証](mutual.md) (証明書ベース)
+ [シングルサインオン (SAML ベースのフェデレーション認証)](federated-authentication.md) (ユーザーベース)
上記の方法のいずれかを単独で使用することも、次のようなユーザーベースの方法との相互認証を組み合わせて使用することもできます。
+ 相互認証とフェデレーション認証
+ 相互認証と Active Directory 認証
**重要**
クライアント VPN エンドポイントを作成するには、使用する認証のタイプに関係なく、 AWS Certificate Managerでサーバー証明書のプロビジョニングを行う必要があります。サーバー証明書の作成とプロビジョニングの詳細については、「[での相互認証 AWS Client VPN](mutual.md)」の手順を参照してください。
相互認証とユーザーベースの認証を組み合わせて使用する場合は、両方の方法を使用して VPN で正しく認証する必要があります。
# クライアント VPN での Active Directory 認証
クライアント VPN は、 と統合することで Active Directory サポートを提供します Directory Service。Active Directory 認証では、クライアントは既存の Active Directory グループに対して認証されます。クライアント VPN は Directory Service、 AWS またはオンプレミスネットワークでプロビジョニングされた既存の Active Directory に接続できます。これにより、既存のクライアント承認インフラストラクチャを使用することができます。オンプレミスの Active Directory を使用していて、既存の AWS Managed Microsoft AD がない場合は、Active Directory Connector (AD Connector) を設定する必要があります。1 つの Active Directory サーバーを使用してユーザーを認証できます。Active Directory 統合の詳細については、[AWS Directory Service 管理ガイド](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/)を参照してください。
クライアント VPN は、 AWS Managed Microsoft AD または AD Connector で有効になっている場合、多要素認証 (MFA) をサポートします。MFA が有効になっている場合、クライアントはクライアント VPN エンドポイントに接続するときにユーザー名、パスワード、および MFA コードを入力する必要があります。MFA を有効にする詳細については、*AWS Directory Service 管理ガイド*の「[AWS Managed Microsoft AD の多要素認証を有効にするには](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_mfa.html)」および「[AD Connector の多要素認証を有効にするには](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ad_connector_mfa.html)」を参照してください。
Active Directory でユーザーとグループを設定するためのクォータとルールについては、「[ユーザーとグループのクォータ](limits.md#quotas-users-groups)」を参照してください。
# での相互認証 AWS Client VPN
相互認証では、クライアント VPN は証明書を使用してクライアントとサーバー間の認証を実行します。証明書とは、認証機関 (CA) によって発行された識別用デジタル形式です。クライアントがクライアント VPN エンドポイントに接続を試みると、サーバーはクライアント証明書を使用してクライアントを認証します。サーバー証明書とキー、および少なくとも 1 つのクライアント証明書とキーを作成する必要があります。
サーバー証明書を AWS Certificate Manager (ACM) にアップロードし、クライアント VPN エンドポイントを作成するときに指定する必要があります。サーバー証明書を ACM にアップロードするときは、認証局 (CA) も指定します。クライアント証明書を ACM にアップロードする必要があるのは、クライアント証明書の CA がサーバー証明書の CA と異なる場合だけです。ACM の詳細については、[AWS Certificate Manager ユーザーガイド](https://docs.aws.amazon.com/acm/latest/userguide/)を参照してください。
クライアント VPN エンドポイントに接続するクライアントごとに、個別のクライアント証明書とキーを作成できます。これにより、ユーザーが組織を離れた場合に、特定のクライアント証明書を取り消すことができます。この場合、クライアント VPN エンドポイントを作成するときに、クライアント証明書がサーバー証明書と同じ CA によって発行されていれば、クライアント証明書のサーバー証明書 ARN を指定できます。
AWS Client VPN で使用される証明書は、メモのセクション 4.2 で指定された証明書拡張機能を含む、[RFC 5280: Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile](https://datatracker.ietf.org/doc/html/rfc5280) に準拠する必要があります。
**注記**
クライアント VPN エンドポイントは、1024 ビットおよび 2048 ビットの RSA キーサイズのみサポートしています。また、クライアント証明書の [Subject (件名)] フィールドに CN 属性が含まれている必要があります。
クライアント VPN サービスで使用している証明書を、ACM の自動ローテーション、新しい証明書の手動インポート、または IAM Identity Center へのメタデータの更新により更新すると、クライアント VPN サービスはクライアント VPN エンドポイントをより新しい証明書で自動更新します。これは、最大 5 時間かかる自動プロセスです。
**Topics**
+ [相互認証を有効にする](client-auth-mutual-enable.md)
+ [サーバー証明書の更新](mutual-renew.md)
# の相互認証を有効にする AWS Client VPN
Linux/MacOS または Windows でクライアント VPN で相互認証を有効にすることができます。
------
#### [ Linux/macOS ]
次の手順では、OpenVPN easy-rsa を使用してサーバーとクライアントの証明書とキーを生成してから、そのサーバーの証明書とキーを ACM にアップロードします。詳細については、「[Easy-RSA 3 Quickstart README](https://github.com/OpenVPN/easy-rsa/blob/v3.0.6/README.quickstart.md)」を参照してください。
**サーバーとクライアントの証明書とキーを生成し、それらを ACM にアップロードするには**
1. OpenVPN easy-rsa リポジトリのクローンをローカルコンピュータに作成して、`easy-rsa/easyrsa3` フォルダに移動します。
```
$ git clone https://github.com/OpenVPN/easy-rsa.git
```
```
$ cd easy-rsa/easyrsa3
```
1. 新しい PKI 環境を初期化します。
```
$ ./easyrsa init-pki
```
1. 新しい認証局 (CA) を構築するには、このコマンドを実行し、プロンプトに従います。
```
$ ./easyrsa build-ca nopass
```
1. サーバー証明書とキーを生成します。
```
$ ./easyrsa --san=DNS:server build-server-full server nopass
```
1. クライアント証明書とキーを生成します。
クライアント証明書とクライアントプライベートキーは、クライアントを設定するときに必要になるため、必ず保存してください。
```
$ ./easyrsa build-client-full client1.domain.tld nopass
```
必要に応じて、クライアント証明書とキーを必要とするクライアント (エンドユーザー) ごとにこの手順を繰り返すことができます。
1. サーバー証明書とキー、およびクライアント証明書とキーをカスタムフォルダにコピーしてから、カスタムフォルダに移動します。
証明書とキーをコピーする前に、`mkdir` コマンドを使用してカスタムフォルダを作成します。次の例では、ホームディレクトリにカスタムフォルダを作成します。
```
$ mkdir ~/custom_folder/
$ cp pki/ca.crt ~/custom_folder/
$ cp pki/issued/server.crt ~/custom_folder/
$ cp pki/private/server.key ~/custom_folder/
$ cp pki/issued/client1.domain.tld.crt ~/custom_folder
$ cp pki/private/client1.domain.tld.key ~/custom_folder/
$ cd ~/custom_folder/
```
1. サーバー証明書とキー、およびクライアント証明書とキーを ACM にアップロードします。必ずクライアント VPN エンドポイントを作成する予定のリージョンと同じリージョンにアップロードしてください。以下のコマンドは、 AWS CLI を使用して証明書をアップロードします。代わりに ACM コンソールを使用して証明書をアップロードするには、*AWS Certificate Manager ユーザーガイド*の「[証明書のインポート](https://docs.aws.amazon.com/acm/latest/userguide/import-certificate-api-cli.html)」を参照してください。
```
$ aws acm import-certificate --certificate fileb://server.crt --private-key fileb://server.key --certificate-chain fileb://ca.crt
```
```
$ aws acm import-certificate --certificate fileb://client1.domain.tld.crt --private-key fileb://client1.domain.tld.key --certificate-chain fileb://ca.crt
```
クライアント証明書を ACM にアップロードする必要はありません。サーバー証明書とクライアント証明書が同じ認証機関 (CA) によって発行されている場合、Client VPN エンドポイントを作成するときに、サーバーとクライアントの両方に対してサーバー証明書 ARN を使用することができます。上のステップで、同じ CA を使用して両方の証明書を作成しています。ただし、完全性を保証するために、クライアント証明書をアップロードするステップが含まれています。
------
#### [ Windows ]
次の手順では、Easy-RSA 3.x ソフトウェアをインストールし、それを使用してサーバーとクライアントの証明書およびキーを生成します。
**サーバーとクライアントの証明書とキーを生成し、それらを ACM にアップロードするには**
1. [EasyRSA リリース](https://github.com/OpenVPN/easy-rsa/releases)ページを開き、お使いの Windows のバージョン用の ZIP ファイルをダウンロードして抽出します。
1. コマンドプロンプトを開き、`EasyRSA-3.x` フォルダが抽出された場所に移動します。
1. 次のコマンドを実行して、EasyRSA 3 シェルを開きます。
```
C:\Program Files\EasyRSA-3.x> .\EasyRSA-Start.bat
```
1. 新しい PKI 環境を初期化します。
```
# ./easyrsa init-pki
```
1. 新しい認証局 (CA) を構築するには、このコマンドを実行し、プロンプトに従います。
```
# ./easyrsa build-ca nopass
```
1. サーバー証明書とキーを生成します。
```
# ./easyrsa --san=DNS:server build-server-full server nopass
```
1. クライアント証明書とキーを生成します。
```
# ./easyrsa build-client-full client1.domain.tld nopass
```
必要に応じて、クライアント証明書とキーを必要とするクライアント (エンドユーザー) ごとにこの手順を繰り返すことができます。
1. EasyRSA 3 シェルを終了します。
```
# exit
```
1. サーバー証明書とキー、およびクライアント証明書とキーをカスタムフォルダにコピーしてから、カスタムフォルダに移動します。
証明書とキーをコピーする前に、`mkdir` コマンドを使用してカスタムフォルダを作成します。以下の例では、C:\$1 ドライブにカスタムフォルダを作成します。
```
C:\Program Files\EasyRSA-3.x> mkdir C:\custom_folder
C:\Program Files\EasyRSA-3.x> copy pki\ca.crt C:\custom_folder
C:\Program Files\EasyRSA-3.x> copy pki\issued\server.crt C:\custom_folder
C:\Program Files\EasyRSA-3.x> copy pki\private\server.key C:\custom_folder
C:\Program Files\EasyRSA-3.x> copy pki\issued\client1.domain.tld.crt C:\custom_folder
C:\Program Files\EasyRSA-3.x> copy pki\private\client1.domain.tld.key C:\custom_folder
C:\Program Files\EasyRSA-3.x> cd C:\custom_folder
```
1. サーバー証明書とキー、およびクライアント証明書とキーを ACM にアップロードします。必ずクライアント VPN エンドポイントを作成する予定のリージョンと同じリージョンにアップロードしてください。次のコマンドでは AWS CLI 、 を使用して証明書をアップロードします。代わりに ACM コンソールを使用して証明書をアップロードするには、*AWS Certificate Manager ユーザーガイド*の「[証明書のインポート](https://docs.aws.amazon.com/acm/latest/userguide/import-certificate-api-cli.html)」を参照してください。
```
aws acm import-certificate \
--certificate fileb://server.crt \
--private-key fileb://server.key \
--certificate-chain fileb://ca.crt
```
```
aws acm import-certificate \
--certificate fileb://client1.domain.tld.crt \
--private-key fileb://client1.domain.tld.key \
--certificate-chain fileb://ca.crt
```
クライアント証明書を ACM にアップロードする必要はありません。サーバー証明書とクライアント証明書が同じ認証機関 (CA) によって発行されている場合、Client VPN エンドポイントを作成するときに、サーバーとクライアントの両方に対してサーバー証明書 ARN を使用することができます。上のステップで、同じ CA を使用して両方の証明書を作成しています。ただし、完全性を保証するために、クライアント証明書をアップロードするステップが含まれています。
------
# AWS Client VPN サーバー証明書の更新
有効期限が切れたクライアント VPN サーバー証明書を更新して再インポートできます。使用している OpenVPN easy-rsa のバージョンに応じて、手順は異なります。詳細については、「[Easy-RSA 3 Certificate Renewal and Revocation Documentation](https://github.com/OpenVPN/easy-rsa/blob/master/doc/EasyRSA-Renew-and-Revoke.md)」を参照してください。
**サーバー証明書を更新するには**
1. 次の**いずれか**を行います。
+ Easy-RSA バージョン 3.1.x
1. 証明書更新コマンドを実行します。
```
$ ./easyrsa renew server nopass
```
+ Easy-RSA バージョン 3.2.x
1. 期限切れにするコマンドを実行します。
```
$ ./easyrsa expire server
```
1. 証明書に署名します。
```
$ ./easyrsa --san=DNS:server sign-req server server
```
1. カスタムフォルダを作成し、そのフォルダに新しいファイルをコピーして、フォルダに移動します。
```
$ mkdir ~/custom_folder2
$ cp pki/ca.crt ~/custom_folder2/
$ cp pki/issued/server.crt ~/custom_folder2/
$ cp pki/private/server.key ~/custom_folder2/
$ cd ~/custom_folder2/
```
1. 新しいファイルを ACM にインポートします。必ずクライアント VPN エンドポイントと同じリージョンにインポートしてください。
```
$ aws acm import-certificate \
--certificate fileb://server.crt \
--private-key fileb://server.key \
--certificate-chain fileb://ca.crt \
--certificate-arn arn:aws:acm:region:123456789012:certificate/12345678-1234-1234-1234-12345678901
```
# クライアント VPN でのシングルサインオン — SAML 2.0 ベースのフェデレーション認証
AWS Client VPN は、クライアント VPN エンドポイントの Security Assertion Markup Language 2.0 (SAML 2.0) との ID フェデレーションをサポートしています。SAML 2.0 をサポートする ID プロバイダー (IdP) を使用して、一元化されたユーザー ID を作成できます。その後、SAML ベースのフェデレーション認証が使用されるようにクライアント VPN エンドポイントを設定し、IdP に関連付けることができます。その後、ユーザーは、一元化された認証情報を使用してクライアント VPN エンドポイントに接続します。
**Topics**
+ [SAML を有効にする](client-auth-enable-saml.md)
+ [認証ワークフロー](#federated-authentication-workflow)
+ [SAML ベースのフェデレーション認証の要件と考慮事項](#saml-requirements)
+ [SAML ベースの IdP 設定リソース](#saml-config-resources)
# の SAML を有効にする AWS Client VPN
次の手順を実行して、クライアント VPN のシングルサインオンの SAML を有効にすることができます。または、クライアント VPN エンドポイントのセルフサービスポータルを有効にした場合は、セルフサービスポータルにアクセスして設定ファイルと AWS が提供するクライアントを取得するようにユーザーに指示します。詳細については、「[セルフサービスポータルへの AWS Client VPN アクセス](cvpn-self-service-portal.md)」を参照してください。
**SAML ベースの IdP をクライアント VPN エンドポイントに使用するには、次の操作を行う必要があります。**
1. 選択した IdP で、使用する SAML ベースのアプリを作成するか AWS Client VPN、既存のアプリを使用します。
1. との信頼関係を確立するために IdP を設定します AWSリソースについては、「[SAML ベースの IdP 設定リソース](federated-authentication.md#saml-config-resources)」を参照してください。
1. IdP で、組織を IdP として定義するフェデレーションメタデータドキュメントを生成し、ダウンロードします。
この署名付き XML ドキュメントは、 AWS と IdP の間の信頼関係を確立するために使用されます。
1. クライアント VPN エンドポイントと同じ AWS アカウントに IAM SAML ID プロバイダーを作成します。
IAM SAML ID プロバイダーは、IdP によって生成されたメタデータドキュメントを使用して、組織の IdP を AWS 信頼関係として定義します。詳細については、*IAM ユーザーガイド*の「[SAML ID プロバイダーの作成](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml.html)」を参照してください。後で IdP のアプリ設定を更新する場合は、新しいメタデータドキュメントを生成し、IAM SAML ID プロバイダーを更新します。
**注記**
IAM SAML ID プロバイダーを使用するために IAM ロールを作成する必要はありません。
1. クライアント VPN エンドポイントを作成します。
認証タイプとしてフェデレーション認証を指定し、作成した IAM SAML ID プロバイダーを指定します。詳細については、「[AWS Client VPNエンドポイントを作成する](cvpn-working-endpoint-create.md)」を参照してください。
1. [クライアント設定ファイルを](cvpn-working-endpoint-export.md)エクスポートし、ユーザーに配布します。[AWS が提供するクライアント](https://docs.aws.amazon.com/vpn/latest/clientvpn-user/connect-aws-client-vpn-connect.html)の最新バージョンをダウンロードし、これを使用して設定ファイルをロードして、クライアント VPN エンドポイントに接続するようにユーザーに指示します。
## 認証ワークフロー
次の図に、SAML ベースのフェデレーション認証を使用するクライアント VPN エンドポイントの認証ワークフローの概要を示します。クライアント VPN エンドポイントを作成および設定するときは、IAM SAML ID プロバイダーを指定します。
![\[認証ワークフロー\]](http://docs.aws.amazon.com/ja_jp/vpn/latest/clientvpn-admin/images/federated-auth-workflow.png)
1. ユーザーは AWS 、提供されたクライアントをデバイスで開き、クライアント VPN エンドポイントへの接続を開始します。
1. クライアント VPN エンドポイントは、IAM SAML ID プロバイダーで提供された情報に基づいて IdP URL と認証リクエストをクライアントに送信します。
1. AWS 提供されたクライアントは、ユーザーのデバイスで新しいブラウザウィンドウを開きます。ブラウザは IdP にリクエストを送信し、ログインページを表示します。
1. ユーザーがログインページに認証情報を入力し、IdP は署名付き SAML アサーションをクライアントに返します。
1. AWS 提供されたクライアントは、クライアント VPN エンドポイントに SAML アサーションを送信します。
1. クライアント VPN エンドポイントはアサーションを検証し、ユーザーへのアクセスを許可または拒否します。
## SAML ベースのフェデレーション認証の要件と考慮事項
SAML ベースのフェデレーション認証の要件と考慮事項を次に示します。
+ SAML ベースの IdP でユーザーとグループを設定するためのクォータとルールについては、「[ユーザーとグループのクォータ](limits.md#quotas-users-groups)」を参照してください。
+ SAML アサーションおよび応答は署名済みである必要があります。
+ AWS Client VPN は、SAML アサーションでAudienceRestriction」およびNotBefore and NotOnOrAfter」条件のみをサポートします。
+ SAML 応答でサポートされる最大サイズは 128 KB です。
+ AWS Client VPN は、署名付き認証リクエストを提供しません。
+ SAML シングルログアウトはサポートされていません。ユーザーは、 AWS 提供されたクライアントから切断してログアウトすることも、[接続を終了](cvpn-working-connections-disassociate.md)することもできます。
+ 1 つのクライアント VPN エンドポイントでサポートされるのは、単一の IdP のみです。
+ IdP で有効になっている場合は Multi-Factor Authentication (MFA) がサポートされます。
+ ユーザーは、 AWS 提供されたクライアントを使用してクライアント VPN エンドポイントに接続する必要があります。バージョン 1.2.0 以降を使用する必要があります。詳細については、[AWS 「提供されたクライアントを使用して接続する](https://docs.aws.amazon.com/vpn/latest/clientvpn-user/connect-aws-client-vpn-connect.html)」を参照してください。
+ IdP 認証は、Apple Safari、Google Chrome、Microsoft Edge、Mozilla Firefox の各ブラウザでサポートされています。
+ AWS 提供されたクライアントは、SAML レスポンスのためにユーザーのデバイスに TCP ポート 35001 を予約します。
+ 正しくない URL または悪意のある URL で IAM SAML ID プロバイダーのメタデータドキュメントが更新されると、ユーザーの認証の問題が発生したり、フィッシング攻撃につながる可能性があります。このため、IAM SAML ID プロバイダーに対して行われる更新は、 AWS CloudTrail を使用してモニタリングすることをお勧めします。詳細については、*IAM ユーザーガイド*の「[AWS CloudTrailを使用した IAM および AWS STS 呼び出しのログ記録](https://docs.aws.amazon.com/IAM/latest/UserGuide/cloudtrail-integration.html)」を参照してください。
+ AWS Client VPN は、HTTP リダイレクトバインディングを介して IdP に AuthN リクエストを送信します。このため、HTTP リダイレクトバインディングが IdP でサポートされ、IdP のメタデータドキュメントに存在する必要があります。
+ SAML アサーションでは、`NameID` 属性に E メールアドレス形式を使用する必要があります。
+ ユーザー名 (`NameID`) の最大長は 1024 バイトです。ユーザー名が長い接続は拒否されます。
+ クライアント VPN サービスで使用している証明書を、ACM の自動ローテーション、新しい証明書の手動インポート、または IAM Identity Center へのメタデータの更新により更新すると、クライアント VPN サービスはクライアント VPN エンドポイントをより新しい証明書で自動更新します。これは、最大 5 時間かかる自動プロセスです。
## SAML ベースの IdP 設定リソース
次の表に、 AWS Client VPNでの使用がテストされている SAML ベースの IdP と、IdP の設定に役立つリソースを示します。
| IdP | リソース |
| --- | --- |
| Okta | [SAML で AWS Client VPN ユーザーを認証する](https://aws.amazon.com/blogs/networking-and-content-delivery/authenticate-aws-client-vpn-users-with-saml/) |
| Microsoft Entra ID (旧名称: Azure Active Directory) | 詳細については、Microsoft ドキュメントウェブサイトの[「チュートリアル: Microsoft Entra シングルサインオン (SSO) と AWS ClientVPN の統合](https://learn.microsoft.com/en-gb/entra/identity/saas-apps/aws-clientvpn-tutorial)」を参照してください。 |
| JumpCloud | [との統合 AWS Client VPN](https://jumpcloud.com/support/integrate-with-aws-client-vpn) |
| AWS IAM アイデンティティセンター | [認証と認可のための IAM Identity Center と AWS Client VPN の使用](https://aws.amazon.com/blogs/networking-and-content-delivery/using-aws-sso-with-aws-client-vpn-for-authentication-and-authorization/) |
### アプリを作成するためのサービスプロバイダー情報
前の表に示されていない IdP を使用して SAML ベースのアプリケーションを作成するには、次の情報を使用して AWS Client VPN サービスプロバイダー情報を設定します。
+ Assertion Consumer Service (ACS) URL: `http://127.0.0.1:35001`
+ Audience URI: `urn:amazon:webservices:clientvpn`
IdP からの SAML レスポンスには、少なくとも 1 つの属性が含まれている必要があります。以下は属性の例です。
| 属性 | 説明 |
| --- | --- |
| FirstName | ユーザーの名。 |
| LastName | ユーザーの姓。 |
| memberOf | ユーザーが属するグループ (複数も可)。 |
**注記**
`memberOf` 属性は、Active Directory または SAML IdP グループベースの承認ルールを使用する場合に必要です。また、属性は大文字と小文字を区別し、指定どおりに設定する必要があります。詳細については、「[ネットワークベースの承認](client-authorization.md#auth-rules)」と「[AWS Client VPN 認可ルール](cvpn-working-rules.md)」を参照してください。
### セルフサービスポータルのサポート
クライアント VPN エンドポイントでセルフサービスポータルを有効にした場合、ユーザーは SAML ベースの IdP 認証情報を使用してポータルにログインします。
IdP が複数の Assertion Consumer Service (ACS) URL をサポートしている場合は、次の ACS URL をアプリに追加します。
```
https://self-service.clientvpn.amazonaws.com/api/auth/sso/saml
```
GovCloud リージョンで Client VPN エンドポイントを使用している場合は、代わりに次の ACS URL を使用します。同じ IDP アプリを使用して標準リージョンと GovCloud リージョンの両方で認証する場合は、両方の URL を追加できます。
```
https://gov.self-service.clientvpn.amazonaws.com/api/auth/sso/saml
```
IdP が複数の ACS URL をサポートしていない場合は、以下を実行します。
1. IdP に追加の SAML ベースのアプリを作成し、次の ACS URL を指定します。
```
https://self-service.clientvpn.amazonaws.com/api/auth/sso/saml
```
1. フェデレーションメタデータドキュメントを生成し、ダウンロードします。
1. クライアント VPN エンドポイントと同じ AWS アカウントに IAM SAML ID プロバイダーを作成します。詳細については、*IAM ユーザーガイド*の「[SAML ID プロバイダーの作成](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml.html)」を参照してください。
**注記**
[メインアプリ用に作成](#federated-authentication)したプロバイダーに加えて、この IAM SAML ID プロバイダーを作成します。
1. [クライアント VPN エンドポイントを作成し](cvpn-working-endpoint-create.md)、作成した IAM SAML ID プロバイダーを両方指定します。