翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# Amazon WorkSpaces Secure Browser の開始方法
<a name="getting-started"></a>

以下の手順に従って WorkSpaces Secure Browser ウェブポータルを作成し、ユーザーが既存のブラウザから社内ウェブサイトや SaaS ウェブサイトにアクセスできるようにします。1 つのアカウントで、サポートされている任意のリージョンに 1 つのウェブポータルを作成できます。

**注記**  
複数のポータルの制限の引き上げをリクエストするには、 AWS アカウント ID、リクエストするポータルの数、および のサポートにお問い合わせください AWS リージョン。

通常、ウェブポータル作成ウィザードではこのプロセスに 5 分かかり、ポータルが**アクティブ**になるまでにさらに 15 分かかります。

ウェブポータルの設定には費用はかかりません。WorkSpaces Secure Browser では、サービスを積極的に利用するユーザーに低額の月額料金を含め、従量制料金を提供しています。前払いコスト、ライセンス、または長期間のコミットメントはありません。

**重要**  
開始する前に、ウェブポータルの必要条件を完了する必要があります。前提条件の詳細については、「[Amazon WorkSpaces Secure Browser の設定](setting-up.md)」を参照してください。

**Topics**
+ [Amazon WorkSpaces Secure Browser でのウェブポータルの作成](getting-started-step1.md)
+ [Amazon WorkSpaces Secure Browser でのウェブポータルのテスト](getting-started-step2.md)
+ [Amazon WorkSpaces Secure Browser でのウェブポータルの配布](getting-started-step3.md)

# Amazon WorkSpaces Secure Browser でのウェブポータルの作成
<a name="getting-started-step1"></a>

ウェブ ACL を作成するには、次のステップに従います。

**Topics**
+ [Amazon WorkSpaces Secure Browser のネットワーク設定の実行](network-settings.md)
+ [Amazon WorkSpaces Secure Browser のポータル設定の実行](portal-settings.md)
+ [Amazon WorkSpaces Secure Browser のユーザー設定の実行](user-settings.md)
+ [Amazon WorkSpaces Secure Browser の ID プロバイダーの設定](identity-settings.md)
+ [Amazon WorkSpaces Secure Browser でのウェブポータルの起動](review-settings.md)

# Amazon WorkSpaces Secure Browser のネットワーク設定の実行
<a name="network-settings"></a>

WorkSpaces Secure Browser のネットワーク設定を行うには、以下の手順に従います。

1. [https://console.aws.amazon.com/workspaces-web/home](https://console.aws.amazon.com/workspaces-web/home) で WorkSpaces Secure Browser コンソールを開きます。

1. **[WorkSpaces Secure Browser]**、**[ウェブポータル]** の順に選択した後、**[ウェブポータルを作成]** を選択します。

1. **[ステップ 1: ネットワーク接続を指定]** ページで、次の手順を実行して VPC をウェブポータルに接続し、VPC とサブネットを設定します。

   1. **[ネットワークの詳細]** では、WorkSpaces Secure Browser でユーザーにアクセスを許可するコンテンツに接続されている VPC を選択します。

   1. 次の要件を満たすプライベートサブネットを 3 つまで選択します。詳細については、「[Amazon WorkSpaces Secure Browser のネットワーク](setup-vpc.md)」を参照してください。
      + ポータルを作成するには、少なくとも 2 つのプライベートサブネットを選択する必要があります。
      + ウェブポータルの高可用性を確保するために、VPC の固有のアベイラビリティーゾーンに最大数のプライベートサブネットを提供することをお勧めします。

   1. [セキュリティグループ] をクリックします。

# Amazon WorkSpaces Secure Browser のポータル設定の実行
<a name="portal-settings"></a>

**[ステップ 2: ウェブポータル設定の構成]** ページで、次の手順を実行して、ユーザーがセッションを開始するときのブラウジングエクスペリエンスをカスタマイズします。

1. **[ウェブポータルの詳細]** の **[表示名]** に、ウェブポータルの識別可能な名前を入力します。

1. **[インスタンスタイプ]** で、ドロップダウンメニューからウェブポータルのインスタンスタイプを選択します。次に、ウェブポータルの**最大同時ユーザー数**を入力します。詳細については、「[Amazon WorkSpaces Secure Browser でのポータルのサービスクォータの管理](request-service-quota.md)」を参照してください。
**注記**  
新しいインスタンスタイプを選択すると、月間のアクティブユーザーあたりのコストが変わります。料金の詳細については、「[Amazon WorkSpaces Secure Browser の料金](https://aws.amazon.com/workspaces/web/pricing/)」を参照してください。

1. **カスタムドメイン**では、ポータルのカスタムドメインを設定して、デフォルトのポータルエンドポイントではなく独自のドメイン名を使用してアクセスを有効にできます。詳細については、「[ポータルのカスタムドメインの設定](custom-domains.md)」を参照してください。**これはオプションです。**

1. **Session Logger** で、セッションログファイルを保存するための S3 バケットを指定できます。詳細については、「[Amazon WorkSpaces Secure Browser のセッションロガーの設定](session-logger.md)」を参照してください。**これはオプションです。**

1. **ユーザーアクセスログ**記録の **Kinesis ストリーム ID** で、ログファイルを送信する Amazon Kinesis データストリームを選択します。詳細については、「[Amazon WorkSpaces Secure Browser でのユーザーアクティビティログ記録の設定](user-logging.md)」を参照してください。**これはオプションです。**

1. **IP Access Control** で、信頼されたネットワークへのアクセスを制限するかどうかを選択します。詳細については、「[Amazon WorkSpaces Secure Browser での IP アクセスコントロールの管理](ip-access-controls.md)」を参照してください。**これはオプションです。**

1. **データ保護設定**で、WorkSpaces Secure Browser のポリシーを作成して、機密情報を編集できます。詳細については、「[Amazon WorkSpaces Secure Browser でのデータ保護設定の管理](data-protection-settings.md)」を参照してください。**これはオプションです**。

1. **URL フィルタリング**では、アクセスを制限するために特定の URLs またはドメインカテゴリへのアクセスまたはブロックをエンドユーザーに許可する URLsを指定できます。詳細については、「[Amazon WorkSpaces Secure Browser でのウェブコンテンツのフィルタリング](web-content-filtering.md)」を参照してください。**これはオプションです。**

   1. 選択したいくつかのドメインにセッションブラウジングを制限するには、トグルを有効にして**すべての URLsをブロック**し、**URL の追加**をクリックして、エンドユーザーがアクセスできる URLs のリストを指定します。

   1. エンドユーザーに対してブロックする URLs のリストを作成するには、**URL を追加** をクリックしてブロックする単一の URLs を一覧表示するか、**カテゴリを追加** をクリックしてブロックされているドメインのカテゴリ (ソーシャルネットワーキングなど) を選択します。

1. **ポリシー設定**では、ウェブポータルの最新の安定バージョンで使用できる Chrome ポリシーを使用して、任意のブラウザポリシーを設定できます。詳細については、「[Amazon WorkSpaces Secure Browser でのブラウザポリシーの管理](browser-policies.md)」を参照してください。**これはオプションです。**

   1. **ビジュアルエディタ**で最も一般的なポリシーのいくつかをすばやく選択できます。
      + **スタートアップ URL - オプション**で、ユーザーがブラウザを起動するときにホームページとして使用するドメインを入力します。ご利用の VPC では、この URL との安定した接続が必要です。
      + **[プライベートブラウジング]** と **[履歴の削除]** を選択または選択解除して、ユーザーのセッション中にこれらの機能をオンまたはオフにします。
**注記**  
プライベートブラウジング中にアクセスした URL、またはユーザーがブラウザ履歴を削除する前にアクセスした URL は、ユーザーアクセスロギングに記録できません。詳細については、「[Amazon WorkSpaces Secure Browser でのユーザーアクティビティログ記録の設定](user-logging.md)」を参照してください。
      + **ブラウザのブックマーク - オプション**で、ユーザーがブラウザに表示するブックマーク**の表示名**、**ドメイン**、**フォルダ**を入力します。次に、**[ブックマークを追加]** を選択します。
**注記**  
**[ドメイン]** はブラウザのブックマークに必須のフィールドです。  
Chrome では、ユーザーはブックマークツールバーの **[マネージドブックマーク]** フォルダでマネージドブックマークを検索できます。

   1. ビジュアルエディタの代わりに JSON エディタを使用して、ポリシーを直接追加または編集することもできます。ポリシーの特定の形式については、[Chrome Enterprise ポリシーリスト](https://chromeenterprise.google/policies/)を参照してください。

   1. ウェブポータルに JSON ファイルをアップロードすることで、組織で使用される Chrome ポリシーをインポートすることもできます。詳細については、「」を参照してください。 [チュートリアル: Amazon WorkSpaces Secure Browser でのカスタムブラウザポリシーの設定](browser-policies-custom.md)

      ポリシーファイルをアップロードすると、コンソールのファイルに利用可能なポリシーが表示されます。ただし、ビジュアルエディタですべてのポリシーを編集することはできません。コンソールは、**[その他の JSON ポリシー]** には、ビジュアルエディタでは編集できない JSON ファイル内のポリシーを一覧表示します。これらのポリシーを変更するには、手動で編集する必要があります。

1. ポータルに**タグ**を追加します。タグを使用して、 AWS リソースを検索またはフィルタリングできます。タグはキーとオプションの値で構成され、ポータルリソースに関連付けられています。**これはオプションです。**

1. **[次へ]** を選択して続行します。

# Amazon WorkSpaces Secure Browser のユーザー設定の実行
<a name="user-settings"></a>

**[ステップ 3: ユーザー設定を選択]** ページで、次の手順を実行して、ユーザーがセッション中に上部のナビゲーションバーからアクセスできる機能を選択し、**[次へ]** を選択します。

1. **ブランディングのカスタマイズ**では、ビジュアル要素、テキストコンテンツ、利用規約を変更することで、エンドユーザーに表示されるサインイン画面とロード画面をカスタマイズできます。詳細については、「[Amazon WorkSpaces Secure Browser でのブランドカスタマイズ](branding-customization.md)」を参照してください。**これはオプションです。**

1. アクセス**許可**で、シングルサインオンの拡張機能を有効にするかどうかを選択します。詳細については、「[Amazon WorkSpaces Secure Browser でのシングルサインオン拡張機能の管理](allow-extension.md)」を参照してください。

1. **[ユーザーにウェブポータルからローカルデバイスへの印刷を許可する]** で、**[許可]** または **[許可しない]** を選択します。

1. **[ユーザーにウェブポータルへのディープリンクを許可する]** で、**[許可]** または **[許可しない]** を選択します。ディープリンクの詳細については、「[Amazon WorkSpaces Secure Browser のディープリンク](deep-links.md)」を参照してください。

1. ポータル**セッションでローカル認証の使用をユーザーに許可するには**、**許可する** または**許可しない **を選択します。ウェブ認証の詳細については、「」を参照してください[Amazon WorkSpaces Secure Browser での WebAuthn リダイレクトサポートの有効化](web-authentication.md)。

1. **ツールバーコントロール**で、 **機能**で必要な設定を選択します。

1. **設定** で、ツールバーの状態 (ドッキングまたはデタッチ）、テーマ (ダークモードまたはライトモード）、アイコンの可視性、セッションの最大表示解像度など、セッションの開始時にツールバーの表示ビューを管理します。これらのオプションを完全に制御できるように、これらの設定を未設定のままにします。詳細については、「[Amazon WorkSpaces Secure Browser でのツールバーコントロールの管理](toolbar-controls.md)」を参照してください。

1. **セッションタイムアウトの場合は**、以下を指定します。
   + [**Disconnect timeout in minutes (切断タイムアウト (分単位))**] では、ユーザーが切断した後にストリーミングセッションをアクティブのままにする時間を選択します。切断、またはこの時間間隔内のネットワークの中断の後、ユーザーが再接続を試みる場合、前のセッションに接続されます。それ以外の場合は、新しいストリーミングインスタンスで新しいセッションに接続されます。

     ユーザーがセッションを終了すると、切断タイムアウトは適用されません。代わりに、ユーザーに対して開いているドキュメントを保存するかどうかの確認が表示され、その後すぐにストリーミングインスタンスから切断されます。その後、ユーザーが使用していたインスタンスは終了します。
   + [**Idle disconnect timeout in minutes (アイドル切断タイムアウト (分単位))**] では、ユーザーがストリーミングセッションから切断されるまでにアイドル状態 (非アクティブ) であることができる時間と、[**Disconnect timeout in minutes (切断タイムアウト (分単位))**] 期間の開始時刻を選択します。ユーザーは、アイドル状態のために切断される前に通知されます。ユーザーが [**Disconnect timeout in minutes (切断タイムアウト (分単位))**] で指定した期間が経過する前にストリーミングセッションへの再接続を試みると、前のセッションに接続されます。それ以外の場合は、新しいストリーミングインスタンスで新しいセッションに接続されます。この値を 0 に設定すると無効になります。この値を無効にした場合、ユーザーはアイドル状態が原因で切断されることはありません。
**注記**  
ストリーミングセッション中にキーボードまたはマウス入力の提供を停止すると、ユーザーはアイドル状態と見なされます。ファイルのアップロードとダウンロード、オーディオ入力、オーディオ出力、およびピクセルの変更は、ユーザーアクティビティとはなりません。[**Idle disconnect timeout in minutes (アイドル切断タイムアウト (分単位))**] の期間が経過した後でも引き続きアイドル状態である場合、ユーザーは切断されます。

# Amazon WorkSpaces Secure Browser の ID プロバイダーの設定
<a name="identity-settings"></a>

以下の手順に従って、ID プロバイダー (IdP) を設定します。

**Topics**
+ [Amazon WorkSpaces Secure Browser の ID プロバイダータイプの選択](choose-type.md)
+ [Amazon WorkSpaces Secure Browser の ID プロバイダータイプの変更](change-type.md)

# Amazon WorkSpaces Secure Browser の ID プロバイダータイプの選択
<a name="choose-type"></a>

WorkSpaces Secure Browser には、**スタンダード**と **AWS IAM アイデンティティセンター** の 2 つの認証タイプがあります。**[ID プロバイダーの設定]** ページで、ポータルで使用する認証タイプを選択します。
+ **[スタンダード]** (デフォルトオプション) では、サードパーティーの SAML 2.0 ID プロバイダー (Okta や Ping など) とポータルを直接フェデレーションするように設定します。詳細については、「[Amazon WorkSpaces Secure Browser のスタンダード認証タイプの設定](configure-standard.md)」を参照してください。スタンダードタイプでは、SP 開始と IdP 開始の両方の認証フローがサポートされています。
+ **[IAM アイデンティティセンター]** (詳細オプション) では、IAM アイデンティティセンターとポータルがフェデレーションするように設定します。この認証タイプを使用するには、IAM アイデンティティセンターと WorkSpaces Secure Browser ポータルの両方が同じ AWS リージョンに存在する必要があります。詳細については、「[Amazon WorkSpaces Secure Browser の IAM アイデンティティセンター認証タイプの設定](configure-iam.md)」を参照してください。

**Topics**
+ [Amazon WorkSpaces Secure Browser のスタンダード認証タイプの設定](configure-standard.md)
+ [Amazon WorkSpaces Secure Browser の IAM アイデンティティセンター認証タイプの設定](configure-iam.md)

# Amazon WorkSpaces Secure Browser のスタンダード認証タイプの設定
<a name="configure-standard"></a>

*スタンダード*認証タイプはデフォルトの認証タイプです。SAML 2.0 準拠の IdP を利用して、サービスプロバイダー開始 (SP 開始) と ID プロバイダー開始 (IdP 開始) のサインインフローをサポートできます。スタンダード認証タイプでは、以下の手順に従って、サードパーティーの SAML 2.0 IdP (Okta や Ping など) とポータルが直接フェデレーションするように設定します。

**Topics**
+ [Amazon WorkSpaces Secure Browser での ID プロバイダーの設定](configure-idp-step1.md)
+ [独自の IdP での IdP の設定](configure-idp-step2.md)
+ [Amazon WorkSpaces Secure Browser での IdP 設定の完了](upload-metadata.md)
+ [Amazon WorkSpaces Secure Browser での特定の IdP の使用に関するガイダンス](idp-guidance.md)

# Amazon WorkSpaces Secure Browser での ID プロバイダーの設定
<a name="configure-idp-step1"></a>

ID プロバイダーを設定するには、以下の手順に従います。

1. 作成ウィザードの **[ID プロバイダーを設定]** ページで、**[スタンダード]** を選択します。

1. **[標準 IdP で続行]** を選択します。

1. SP メタデータファイルをダウンロードします。個々のメタデータ値のタブは開いたままにしておきます。
   + SP メタデータファイルを使用できる場合は、**[メタデータファイルをダウンロード]** を選択してサービスプロバイダー (SP) メタデータドキュメントをダウンロードし、次の手順でサービスプロバイダーメタデータファイルを IdP にアップロードします。この操作を行わないと、ユーザーはサインインできません。
   + プロバイダーが SP メタデータファイルをアップロードしない場合は、メタデータ値を手動で入力します。

1. **[SAML サインインタイプを選択]** で、**[SP および IdP によって開始された SAML アサーション]** または **[SP によって開始された SAML アサーションのみ]** を選択します。
   + **[SP および IdP によって開始された SAML アサーション]** を選択すると、ポータルで両方のタイプのサインインフローがサポートされます。IdP 開始フローをサポートするポータルでは、ユーザーがポータル URL にアクセスしてセッションを開始する必要はなく、IdP から直接 SAML アサーションをサービス ID フェデレーションエンドポイントに送信できます。
     + このオプションを選択すると、ポータルは未承諾の IdP 開始 SAML アサーションを受け入れるようになります。
     + このオプションでは、SAML 2.0 ID プロバイダーで **[デフォルトのリレー状態]** を設定する必要があります。ポータルのリレー状態パラメータは、コンソールの **[IdP によって開始された SAML サインイン]** で確認できます。または、SP メタデータファイルの `<md:IdPInitRelayState>` からコピーすることもできます。
     +  メモ
       + リレー状態の形式は次のとおりです: `redirect_uri=https%3A%2F%2Fportal-id.workspaces-web.com%2Fsso&response_type=code&client_id=1example23456789&identity_provider=Example-Identity-Provider`。
       + SP メタデータファイルから値をコピーして貼り付ける場合は、`&amp; ` を `&` に変更してください。`&amp;` は XML エスケープ文字です。
   + ポータルで SP 開始のサインインフローのみをサポートするように設定するには、**[SP によって開始された SAML アサーションのみ]** を選択します。このオプションでは、IdP 開始のサインインフローからの未承諾の SAML アサーションは拒否されます。
**注記**  
一部のサードパーティー IdP では、SP 開始フローを活用して IdP 開始の認証エクスペリエンスを提供するカスタム SAML アプリケーションを作成できます。例については、「[Okta ブックマークアプリケーションを追加する](https://help.okta.com/oag/en-us/content/topics/access-gateway/add-app-saml-pass-thru-add-bookmark.htm)」を参照してください。

1. **[このプロバイダーへの SAML リクエストに署名する]** を有効にするかどうかを選択します。SP 開始の認証により、IdP は認証リクエストがポータルから送信されていることを検証できるため、他のサードパーティーからのリクエストを受け付けないようにできます。

   1. 署名証明書をダウンロードし、IdP にアップロードします。同じ署名証明書をシングルログアウトに使用できます。

   1. IdP で署名付きリクエストを有効にします。名称は IdP によって異なる場合があります。
**注記**  
RSA-SHA256 は、サポートされている唯一のリクエスト署名アルゴリズムであり、デフォルトのリクエスト署名アルゴリズムでもあります。

1. **[暗号化された SAML アサーションが必要]** を有効にするかどうかを選択します。有効にすると、IdP から送信される SAML アサーションを暗号化できます。これにより、IdP と WorkSpaces Secure Browser 間の SAML アサーションでデータが傍受されるのを防ぐことができます。
**注記**  
暗号化証明書はこのステップでは利用できません。この証明書はポータルの起動後に作成されます。ポータルを起動したら、暗号化証明書をダウンロードし、IdP にアップロードします。次に、IdP でアサーションの暗号化を有効にします (名称は IdP によって異なる場合があります)。

1. **[シングルログアウト]** を有効にするかどうかを選択します。シングルサインアウトを有効にすると、エンドユーザーは 1 アクションで IdP と WorkSpaces Secure Browser の両方のセッションからサインアウトできるようになります。

   1. WorkSpaces Secure Browser から署名証明書をダウンロードし、IdP にアップロードします。これは、前のステップで **[リクエスト署名]** に使用したものと同じ署名証明書です。

   1. **[シングルログアウト]** を使用するには、SAML 2.0 ID プロバイダーで **[シングルログアウト URL]** を設定する必要があります。ポータルの**シングルログアウト URL** は、コンソールの **[サービスプロバイダー (SP) の詳細] - [個々のメタデータ値を表示]** で確認できます。または、SP メタデータファイルの `<md:SingleLogoutService>` からも確認できます。

   1. IdP で **[シングルログアウト]** を有効にします。名称は IdP によって異なる場合があります。

# 独自の IdP での IdP の設定
<a name="configure-idp-step2"></a>

独自の IdP で IdP を設定するには、以下の手順に従います。

1. ブラウザで新しいタブが開きます。

1. ポータルメタデータを SAML IdP に追加します。

   前のステップでダウンロードした SP メタデータドキュメントを IdP にアップロードするか、メタデータ値をコピーして IdP の適切なフィールドに貼り付けます。一部のプロバイダーはファイルのアップロードを許可していません。

   このプロセスの詳細はプロバイダーによって異なる場合があります。IdP の設定にポータルの詳細を追加する方法については、[Amazon WorkSpaces Secure Browser での特定の IdP の使用に関するガイダンス](idp-guidance.md) でプロバイダーのドキュメントを参照してください。

1. SAML アサーションの **[NameID]** を確認します。

   SAML IdP によって SAML アサーションの **[NameID]** にユーザー E メールフィールドが設定されていることを確認します。**NameID** とユーザーの E メールアドレスは、ポータルで SAML フェデレーションユーザーを一意に識別するために使用されます。永続的な SAML Name ID 形式を使用します。

1. オプション: IdP 開始の認証の **[リレー状態]** を設定します。

   前のステップで **[SP および IdP によって開始された SAML アサーションを受け入れる]** を選択した場合は、「[Amazon WorkSpaces Secure Browser での ID プロバイダーの設定](configure-idp-step1.md) 」のステップ 2 に従って、IdP アプリケーションのデフォルトの**リレー状態**を設定します。

1. オプション: **[リクエスト署名]** を設定します。前のステップで **[このプロバイダーへの SAML リクエストに署名する]** を選択した場合は、「[Amazon WorkSpaces Secure Browser での ID プロバイダーの設定](configure-idp-step1.md)」のステップ 3 に従って署名証明書を IdP にアップロードし、リクエスト署名を有効にします。Okta などの一部の IdP では、**[リクエスト署名]** を使用するために **[NameID]** が「永続的」タイプであることが必要になる場合があります。上記の手順に従って、SAML アサーションの **[NameID]** を確認してください。

1. オプション: **[アサーションの暗号化]** を設定します。**[このプロバイダーに暗号化された SAML アサーションをリクエストする]** を選択した場合は、ポータルの作成が完了するまで待ってから、以下の「メタデータをアップロードする」のステップ 4 に従って、暗号化証明書を IdP にアップロードし、アサーションの暗号化を有効にします。

1. オプション: **[シングルログアウト]** を設定します。**[シングルログアウト]** を選択した場合は、「[Amazon WorkSpaces Secure Browser での ID プロバイダーの設定](configure-idp-step1.md)」のステップ 5 のステップに従って、署名証明書を IdP にアップロードし、**[シングルログアウト URL]** に入力して、**[シングルログアウト]** を有効にします。

1. IdP 内のユーザーに WorkSpaces Secure Browser を使用するためのアクセス権を付与します。

1. IdP からメタデータ交換ファイルをダウンロードします。次のステップで、このメタデータを WorkSpaces Secure Browser にアップロードします。

# Amazon WorkSpaces Secure Browser での IdP 設定の完了
<a name="upload-metadata"></a>

WorkSpaces Secure Browser で IdP 設定を完了するには、以下の手順に従います。

1. WorkSpaces Secure Browser コンソールに戻ります。作成ウィザードの **[ID プロバイダーを設定]** ページに移動し、**[IdP メタデータ]** の下で、メタデータファイルをアップロードするか、IdP のメタデータ URL を入力します。ポータルは IdP からのこのメタデータを使用して信頼を確立します。

1. メタデータファイルをアップロードするには、**[IdP メタデータドキュメント]** で **[ファイルを選択]** を選びます。前のステップでダウンロードした XML 形式のメタデータファイルを IdP からアップロードします。

1. メタデータ URL を使用するには、前のステップで設定した IdP に移動し、その**メタデータ URL** を取得します。WorkSpaces Secure Browser コンソールに戻り、**[IdP メタデータ URL]** で IdP から取得したメタデータ URL を入力します。

1. 終了したら、[**Next **] (次へ) を選択します。

1. **[このプロバイダーに暗号化された SAML アサーションをリクエストする]** オプションを有効にしたポータルの場合、ポータルの IdP 詳細セクションから暗号化証明書をダウンロードし、IdP にアップロードする必要があります。その後、その IdP でこのオプションを有効にできます。
**注記**  
WorkSpaces Secure Browser では、IdP の設定内の SAML アサーションにサブジェクトまたは NameID がマッピングされ、設定されている必要があります。IdP はこれらのマッピングを自動的に作成できます。これらのマッピングが正しく設定されていないと、ユーザーはウェブポータルにサインインしてセッションを開始できません。  
WorkSpaces Secure Browser では、SAML レスポンスに以下のクレームが含まれている必要があります。*<Your SP Entity ID>* と *<Your SP ACS URL>* は、コンソールまたは CLI を使用して、ポータルのサービスプロバイダーの詳細やメタデータドキュメントから確認できます。  
`AudienceRestriction` クレームの `Audience` 値で SP エンティティ ID をレスポンスのターゲットとして設定。例:  

     ```
     <saml:AudienceRestriction>
         <saml:Audience><Your SP Entity ID></saml:Audience>
     </saml:AudienceRestriction>
     ```
元の SAML リクエスト ID の値 `InResponseTo` を含む `Response` クレーム。例:  

     ```
     <samlp:Response ... InResponseTo="<originalSAMLrequestId>">
     ```
`SubjectConfirmationData` クレームの `Recipient` 値で SP ACS URL を設定し、`InResponseTo` 値で元の SAML リクエスト ID を設定。例:  

     ```
     <saml:SubjectConfirmation>
         <saml:SubjectConfirmationData ... 
             Recipient="<Your SP ACS URL>"
             InResponseTo="<originalSAMLrequestId>"
             />
     </saml:SubjectConfirmation>
     ```
WorkSpaces Secure Browser はリクエストパラメータと SAML アサーションを検証します。IdP 開始の SAML アサーションの場合、リクエストの詳細は HTTP POST リクエストの本文内で `RelayState` パラメータの形式になっている必要があります。リクエスト本文には、SAML アサーションを `SAMLResponse` パラメータとして含める必要があります。これらの両方が含まれていれば、前の手順が正しく完了しています。  
IdP 開始の SAML プロバイダーの `POST` 本文の例を以下に示します。  

   ```
   SAMLResponse=<Base64-encoded SAML assertion>&RelayState=<RelayState> 
   ```

# Amazon WorkSpaces Secure Browser での特定の IdP の使用に関するガイダンス
<a name="idp-guidance"></a>

ポータルの SAML フェデレーションを正しく設定するには、以下のリンクの先で、一般的に利用されている IdP のドキュメントを参照してください。


| IdP | SAML アプリケーションの設定 | ユーザー管理 | IdP 開始の認証 | リクエスト署名 | アサーションの暗号化 | シングルログアウト | 
| --- | --- | --- | --- | --- | --- | --- | 
| Okta | [SAML アプリケーション統合を作成する](https://help.okta.com/oie/en-us/content/topics/apps/apps_app_integration_wizard_saml.htm) | [ユーザー管理](https://help.okta.com/oie/en-us/content/topics/apps/apps_app_integration_wizard_saml.htm) | [アプリケーション統合ウィザード SAML フィールドリファレンス](https://help.okta.com/oie/en-us/content/topics/apps/apps_app_integration_wizard_saml.htm) | [アプリケーション統合ウィザード SAML フィールドリファレンス](https://help.okta.com/oie/en-us/content/topics/apps/apps_app_integration_wizard_saml.htm) | [アプリケーション統合ウィザード SAML フィールドリファレンス](https://help.okta.com/oie/en-us/content/topics/apps/apps_app_integration_wizard_saml.htm) | [アプリケーション統合ウィザード SAML フィールドリファレンス](https://help.okta.com/oie/en-us/content/topics/apps/apps_app_integration_wizard_saml.htm) | 
| Entra | [独自のアプリケーションを作成する](https://help.okta.com/oie/en-us/content/topics/apps/apps_app_integration_wizard_saml.htm) | [クイックスタート: ユーザーアカウントを作成して割り当てる](https://learn.microsoft.com/en-us/entra/identity/enterprise-apps/add-application-portal-assign-users) | [エンタープライズアプリケーションのシングルサインオンを有効にする](https://learn.microsoft.com/en-us/entra/identity/enterprise-apps/add-application-portal-setup-sso) | [SAML リクエスト署名の検証](https://learn.microsoft.com/en-us/entra/identity/enterprise-apps/howto-enforce-signed-saml-authentication) | [Microsoft Entra SAML トークン暗号化を設定する](https://learn.microsoft.com/en-us/entra/identity/enterprise-apps/howto-saml-token-encryption?tabs=azure-portal) | [シングルサインアウト SAML プロトコル](https://learn.microsoft.com/en-us/entra/identity-platform/single-sign-out-saml-protocol) | 
| Ping | [SAML アプリケーションを追加する](https://docs.pingidentity.com/r/en-us/pingone/pingone_p1tutorial_add_a_saml_app) | [[ユーザー]](https://docs.pingidentity.com/r/en-us/pingone/p1_c_aboutusers) | [IdP 開始の SSO の有効化](https://docs.pingidentity.com/r/en-us/pingone/pingone_configuring_the_oidc_application) | [PingOne for Enterprise での認証リクエスト署名の設定](https://docs.pingidentity.com/r/en-us/solution-guides/htg_config_authn_req_sign_p14e) | [PingOne for Enterprise は暗号化をサポートしていますか?](https://support.pingidentity.com/s/article/Does-PingOne-support-encryption) | [SAML 2.0 シングルログアウト](https://docs.pingidentity.com/r/en-us/pingone/pingone_c_saml_2-0_slo?tocId=aKUl0dlpyVDVw3PJmLIGGg) | 
| OneLogin | [SAML Custom Connector (Advanced) (4266907)](https://support.onelogin.com/kb/4266907/saml-custom-connector-advanced) | [OneLogin にユーザーを手動で追加](https://www.onelogin.com/getting-started/free-trial-plan/add-users-manually) | [SAML Custom Connector (Advanced) (4266907)](https://support.onelogin.com/kb/4266907/saml-custom-connector-advanced) | [SAML Custom Connector (Advanced) (4266907)](https://support.onelogin.com/kb/4266907/saml-custom-connector-advanced) | [SAML Custom Connector (Advanced) (4266907)](https://support.onelogin.com/kb/4266907/saml-custom-connector-advanced) | [SAML Custom Connector (Advanced) (4266907)](https://support.onelogin.com/kb/4266907/saml-custom-connector-advanced) | 
| IAM アイデンティティセンター | [独自の SAML 2.0 アプリケーションを設定](https://docs.aws.amazon.com/singlesignon/latest/userguide/customermanagedapps-saml2-setup.html#customermanagedapps-set-up-your-own-app-saml2) | [独自の SAML 2.0 アプリケーションを設定](https://docs.aws.amazon.com/singlesignon/latest/userguide/customermanagedapps-saml2-setup.html#customermanagedapps-set-up-your-own-app-saml2) | [独自の SAML 2.0 アプリケーションを設定](https://docs.aws.amazon.com/singlesignon/latest/userguide/customermanagedapps-saml2-setup.html#customermanagedapps-set-up-your-own-app-saml2) | 該当なし | 該当なし | 該当なし | 

# Amazon WorkSpaces Secure Browser の IAM アイデンティティセンター認証タイプの設定
<a name="configure-iam"></a>

**IAM アイデンティティセンター**タイプ (詳細) では、IAM アイデンティティセンターとポータルをフェデレーションします。以下の条件に該当する場合のみ、このオプションを選択します。
+ IAM Identity Center は、ウェブポータル AWS リージョン と同じ AWS アカウント および に設定されています。
+ を使用している場合は AWS Organizations、管理アカウントを使用します。

IAM アイデンティティセンター認証タイプでウェブポータルを作成する前に、IAM アイデンティティセンターをスタンドアロンプロバイダーとして設定する必要があります。詳細については、「[IAM アイデンティティセンターの一般的なタスクの開始方法](https://docs.aws.amazon.com/singlesignon/latest/userguide/getting-started.html)」を参照してください。または、SAML 2.0 IdP を IAM アイデンティティセンターに接続することもできます。詳細については、「[外部 ID プロバイダーに接続する](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source-idp.html)」を参照してください。そうしないと、ウェブポータルに割り当てるユーザーやグループがありません。

既に IAM アイデンティティセンターを使用している場合は、プロバイダーのタイプとして IAM アイデンティティセンターを選択し、以下の手順に従ってウェブポータルからユーザーやグループを追加、表示、削除できます。

**注記**  
この認証タイプを使用するには、IAM アイデンティティセンターが AWS リージョン WorkSpaces Secure Browser ポータルと同じ AWS アカウント および にある必要があります。IAM アイデンティティセンターが別の AWS アカウント または にある場合は AWS リージョン、**標準**認証タイプの手順に従ってください。詳細については、「[Amazon WorkSpaces Secure Browser のスタンダード認証タイプの設定](configure-standard.md)」を参照してください。  
を使用している場合は AWS Organizations、管理アカウントを使用して IAM アイデンティティセンターと統合された WorkSpaces Secure Browser ポータルのみを作成できます。

**Topics**
+ [IAM アイデンティティセンターでのウェブポータルの作成](web-portal-IAM.md)
+ [IAM アイデンティティセンターでのウェブポータルの管理](manage-IAM.md)
+ [ウェブポータルへのユーザーとグループの追加](add-users-groups.md)
+ [ウェブポータルのユーザーとグループの表示または削除](remove-users-groups.md)

# IAM アイデンティティセンターでのウェブポータルの作成
<a name="web-portal-IAM"></a>

IAM アイデンティティセンターでウェブポータルを作成するには、以下の手順に従います。

**IAM Identity Center でウェブポータルを作成するには**

1. 「**ステップ 4: ID プロバイダーを設定する**」でポータル作成時に **[AWS IAM アイデンティティセンター]** を選択します。

1. **[IAM アイデンティティセンターで続行]** を選択します。

1. **[ユーザーとグループを割り当てる]** ページで、**[ユーザー]**/**[グループ]** タブを選択します。

1. ポータルに追加するユーザーまたはグループの横にあるチェックボックスをオンにします。

1. ポータルの作成後、関連付けたユーザーは IAM アイデンティティセンターのユーザー名とパスワードを使用して WorkSpaces Secure Browser にサインインできます。

# IAM アイデンティティセンターでのウェブポータルの管理
<a name="manage-IAM"></a>

IAM アイデンティティセンターでウェブポータルを管理するには、以下の手順に従います。

**IAM Identity Center でウェブポータルを管理するには**

1. ポータルが作成されると、IAM アイデンティティセンターコンソールで設定済みアプリケーションとして表示されます。

1. このアプリケーションの設定にアクセスするには、サイドバーで**[アプリケーション]** を選択し、ウェブポータルの表示名と一致する名前の設定済みアプリケーションを探します。
**注記**  
表示名を入力していない場合は、代わりにポータルの GUID が表示されます。GUID はウェブポータルのエンドポイント URL にプレフィックスが付く ID です。

# ウェブポータルへのユーザーとグループの追加
<a name="add-users-groups"></a>

既存のウェブポータルにユーザーやグループを追加するには、以下の手順に従います。

**既存のウェブポータルにユーザーやグループを追加するには**

1. [https://console.aws.amazon.com/workspaces-web/home?region=us-east-1#/](https://console.aws.amazon.com/workspaces-web/home?region=us-east-1#/) で WorkSpaces Secure Browser コンソールを開きます。

1. **[WorkSpaces Secure Browser]**、**[ウェブポータル]** の順に選択し、ウェブポータルを選択してから、**[編集]** を選択します。

1. **[ID プロバイダー設定]** と **[追加のユーザーとグループを割り当てる]** を選択します。ここから、ユーザーやグループをウェブポータルに追加できます。
**注記**  
IAM Identity Center コンソールからユーザーまたはグループを追加することはできません。これは WorkSpaces Secure Browser ポータルの編集ページから行う必要があります。

# ウェブポータルのユーザーとグループの表示または削除
<a name="remove-users-groups"></a>

ウェブポータルのユーザーやグループを表示または削除するには、**[割り当てられたユーザー]** の表で使用可能なアクションを使用します。詳細については、「[アプリケーションへのアクセスの管理](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-applications.html)」を参照してください。

**注記**  
WorkSpaces Secure Browser ポータルの編集ページでは、ユーザーやグループを表示したり削除したりすることはできません。これは IAM Identity Center コンソールの編集ページから行う必要があります。

# Amazon WorkSpaces Secure Browser の ID プロバイダータイプの変更
<a name="change-type"></a>

ポータルの認証タイプはいつでも変更できます。これを実行するには、次の手順を実行します。
+ **[IAM アイデンティティセンター]** から **[スタンダード]** に変更するには、「[Amazon WorkSpaces Secure Browser のスタンダード認証タイプの設定](configure-standard.md)」の手順に従います。
+ **[スタンダード]** から **[IAM アイデンティティセンター]** に変更するには、「[Amazon WorkSpaces Secure Browser の IAM アイデンティティセンター認証タイプの設定](configure-iam.md)」の手順に従います。

ID プロバイダータイプの変更は反映されるまでに最大 15 分かかる場合がありますが、進行中のセッションが自動的に終了されることはありません。

`UpdatePortal` イベントを調べる AWS CloudTrail ことで、 を通じてポータルへの ID プロバイダータイプの変更を表示できます。タイプはイベントのリクエストペイロードとレスポンスペイロードに表示されます。

# Amazon WorkSpaces Secure Browser でのウェブポータルの起動
<a name="review-settings"></a>

設定が完了したウェブポータルは以下の手順に従って起動できます。

1. **[ステップ 5: 確認して起動]** ページで、ウェブポータル用に選択した設定を確認します。**[編集]** を選択して、特定のセクション内の設定を変更できます。これらの設定は、コンソールの **[ウェブポータル]** タブから後で変更することもできます。

1. 完了したら、**[ウェブポータルを起動]** を選択します。

1. ウェブポータルのステータスを表示するには、**[ウェブポータル]** を選択し、ポータルを選択して **[詳細を表示]** を選択します。

   ウェブポータルのステータスは、次のいずれかです。
   + **[不完全]** - ウェブポータルの構成に必要な ID プロバイダー設定がありません。
   + **[保留中]** - ウェブポータルは設定に変更を適用しています。
   + **[アクティブ]** - ウェブポータルは準備が整い、使用可能です。

1. ポータルが**アクティブ**になるまで最大 15 分待ってください。

# Amazon WorkSpaces Secure Browser でのウェブポータルのテスト
<a name="getting-started-step2"></a>

ウェブポータルを作成したら、WorkSpaces Secure Browser エンドポイントにサインインして、接続されているウェブサイトをエンドユーザーと同じように閲覧できます。

[Amazon WorkSpaces Secure Browser の ID プロバイダーの設定](identity-settings.md) でこれらのステップをしでに完了している場合は、このセクションをスキップして [Amazon WorkSpaces Secure Browser でのウェブポータルの配布](getting-started-step3.md) に進んでください。

1. [https://console.aws.amazon.com/workspaces-web/home?region=us-east-1\$1/](https://console.aws.amazon.com/workspaces-web/home?region=us-east-1#/) で WorkSpaces Secure Browser コンソールを開きます。

1. **[WorkSpaces Secure Browser]**、**[ウェブポータル]** の順に選択し、ウェブポータルを選択してから、**[詳細の表示]** を選択します。

1. **[ウェブポータルエンドポイント]** で、ポータルの指定した URL に移動します。ウェブポータルエンドポイントは、ポータルに設定されている ID プロバイダーを使用してユーザーがサインインした後にウェブポータルを起動するアクセスポイントです。インターネット上で公開されており、ネットワークに埋め込むことができます。

1. WorkSpaces Secure Browser サインインページで、**[サインイン]**、**[SAML]** の順に選択し、SAML 認証情報を入力します。

1. **[セッションは準備中です]** ページが表示されたら、WorkSpaces Secure Browser セッションが開始されます。このページを閉じたり、終了しないでください。

1. ウェブブラウザが起動し、スタートアップ URL と、ブラウザのポリシー設定で設定したその他の動作が表示されます。

1. これで、リンクを選択するか、またはアドレスバーに URL を入力して、接続されているウェブサイトを参照できるようになりました。

# Amazon WorkSpaces Secure Browser でのウェブポータルの配布
<a name="getting-started-step3"></a>

ユーザーが WorkSpaces Secure Browser を使用開始する準備ができたら、以下のオプションから選択してポータルを配布します。
+ ポータルを SAML アプリケーションゲートウェイに追加して、ユーザーが IdP から直接セッションを開始できるようにします。そのためには、SAML 2.0 準拠の IdP で IdP 開始のサインインフローを使用します。詳細については、「[Amazon WorkSpaces Secure Browser のスタンダード認証タイプの設定](configure-standard.md)」の「**SP 開始および IdP 開始の SAML アサーション**」を参照してください。または、SP 開始のフローを使用して IdP 開始の認証エクスペリエンスを提供できるカスタム SAML アプリケーションを作成することもできます。詳細については、「[ブックマークアプリケーション統合を作成する](https://help.okta.com/en-us/Content/Topics/Apps/apps-create-bookmark.htm)」を参照してください。
+ 所有しているウェブサイトにポータル URL を追加し、ブラウザリダイレクトを使用してユーザーをそのウェブポータルに誘導します。
+ ポータル URL をユーザーに E メールで送信するか、ブラウザのホームページまたはブックマークとして管理しているデバイスにプッシュします。
+ ポータル URL の代わりにポータル用にカスタムドメインを設定している場合は、カスタムドメインを使用して、ユーザーにより統合されたブランドエクスペリエンスを実現します。詳細については、「[ポータルのカスタムドメインの設定](custom-domains.md)」を参照してください。