WorkSpaces Personal で SAML 2.0 を設定する - Amazon WorkSpaces
要件前提条件ステップ 1: AWS IAM で SAML ID プロバイダーを作成するステップ 2: SAML 2.0 フェデレーション IAM ロールを作成するステップ 3: IAM ロールにインラインポリシーを埋め込むステップ 4: SAML 2.0 ID プロバイダーを設定するステップ 5: SAML 認証レスポンスのアサーションを作成するステップ 6: フェデレーションのリレーステートを設定するステップ 7: WorkSpaces ディレクトリで SAML 2.0 との統合を有効にする

WorkSpaces Personal で SAML 2.0 を設定する

SAML 2.0 を使用して ID フェデレーションを設定することにより、ユーザーの SAML 2.0 ID プロバイダー (IdP) 認証情報と認証方法を使用して WorkSpaces クライアントアプリケーションの登録と WorkSpaces へのサインインを有効にします。SAML 2.0 を使用した ID フェデレーションを設定するには、IAM ロールとリレーステート URL を使用して、IdP を設定し、AWS を有効にします。これにより、フェデレーションユーザーに対して WorkSpaces ディレクトリへのアクセス権が付与されます。リレーステートは、AWS に正常にサインインした後にユーザーが転送される WorkSpaces ディレクトリエンドポイントです。

要件

  • SAML 2.0 認証は、以下のリージョンで使用できます。

    • 米国東部 (バージニア北部) リージョン

    • 米国西部 (オレゴン) リージョン

    • アフリカ(ケープタウン)リージョン

    • アジアパシフィック (ムンバイ) リージョン

    • アジアパシフィック (ソウル) リージョン

    • アジアパシフィック (シンガポール) リージョン

    • アジアパシフィック (シドニー) リージョン

    • アジアパシフィック (東京) リージョン

    • カナダ (中部) リージョン

    • 欧州 (フランクフルト) リージョン

    • 欧州 (アイルランド) リージョン

    • 欧州 (ロンドン) リージョン

    • 南米 (サンパウロ) リージョン

    • イスラエル (テルアビブ) リージョン

    • AWS GovCloud (米国西部)

    • AWS GovCloud (米国東部)

  • WorkSpaces で SAML 2.0 認証を使用する場合、IdP は、ディープリンクターゲットリソースまたはリレーステートエンドポイントの URL を使用して、未承諾の IdP を起点とする SSO をサポートする必要があります。IdP の例には、ADFS、Azure AD、Duo Single Sign-On、Okta、PingFederate、および PingOne などがあります。詳細については、IdP のユーザードキュメントを参照してください。

  • SAML 2.0 認証は、Simple AD を使用して起動された WorkSpaces で機能しますが、Simple AD は SAML 2.0 IdP と統合されないため、これは推奨されません。

  • SAML 2.0 認証は、次の WorkSpaces クライアントでサポートされています。SAML 2.0 認証は、他のクライアントバージョンではサポートされていません。Amazon WorkSpaces の [クライアントダウンロード] を開いて、最新バージョンを確認します。

    • Windows クライアントアプリケーションのバージョン 5.1.0.3029 以降

    • macOS クライアントバージョン 5.x 以降

    • Ubuntu 22.04 バージョン 2024.1 以降、Ubuntu 20.04 バージョン 24.1 以降向けの Linux クライアント

    • Web Access

    他のクライアントバージョンは、フォールバックが有効になっていない限り、SAML 2.0 認証が有効になっている WorkSpaces に接続できません。詳細については、「WorkSpaces ディレクトリで SAML 2.0 認証を有効にする」を参照してください。

ADFS、Azure AD、Duo Single Sign-On、Okta、OneLogin、PingFederate、PingOne for Enterprise を使用して SAML 2.0 を WorkSpaces と統合する手順については、「Amazon WorkSpaces SAML Authentication Implementation Guide」を参照してください。

前提条件

WorkSpaces ディレクトリへの SAML 2.0 ID プロバイダー (IdP) 接続を設定する前に、以下の前提条件を満たしていることを確認してください。

  1. WorkSpaces ディレクトリで使用する Microsoft Active Directory からのユーザー ID を統合するように IdP を設定します。WorkSpace を持つユーザーの場合、IdP を使用して WorkSpaces にサインインするには、Active Directory ユーザーおよび SAML クレーム値の sAMAccountName 属性と email 属性が一致している必要があります。Active Directory を IdP と統合する方法の詳細については、IdP のドキュメントを参照してください。

  2. AWS との信頼関係を確立するために IdP を設定します。

    • AWS フェデレーションの構成の詳細については、「サードパーティーの SAML ソリューションプロバイダーと AWS の統合」を参照してください。関連する例には、AWS マネジメントコンソールにアクセスするための AWS IAM との IdP 統合があります。

    • IdP を使用して、組織を IdP として定義するフェデレーションメタデータドキュメントを生成し、ダウンロードします。署名されたこの XML ドキュメントは、証明書利用者の信頼を確立するために使用されます。後で IAM コンソールからアクセスできる場所にこのファイルを保存します。

  3. WorkSpaces 管理コンソールを使用して、WorkSpaces のディレクトリを作成または登録します。詳細については、「WorkSpaces のディレクトリを管理する」を参照してください。WorkSpaces の SAML 2.0 認証は、次のディレクトリタイプでサポートされています。

    • AD Connector

    • AWS Managed Microsoft AD

  4. サポートされているディレクトリタイプを使用して IdP にサインインできるユーザー用の WorkSpace を作成します。WorkSpaces 管理コンソール、AWS CLI、または WorkSpaces API を使用して WorkSpace を作成できます。詳細については、「WorkSpaces を使用して仮想デスクトップを起動する」を参照してください。

ステップ 1: AWS IAM で SAML ID プロバイダーを作成する

まず、AWS IAM で SAML IdP を作成します。この IdP は、組織の IdP ソフトウェアで生成するメタデータドキュメントを使用して、組織の IdP と AWS との間の信頼関係を定義します。詳細については、「SAML ID プロバイダーの作成と管理 (Amazon Web Services 管理コンソール)」を参照してください。AWS GovCloud (米国西部) および AWS GovCloud (米国東部) での SAML IdP の使用については、「AWS Identity and Access Management」を参照してください。

ステップ 2: SAML 2.0 フェデレーション IAM ロールを作成する

次に、SAML 2.0 フェデレーション IAM ロールを作成します。この手順では、IAM と組織の IdP 間に、IdP をフェデレーションの信頼されるエンティティと識別する信頼関係を確立します。

SAML IdP への IAM ロールを作成するには

  1. IAM コンソール (https://console.aws.amazon.com/iam/) を開きます。

  2. ナビゲーションペインで [ロール] を選択してから、[ロールを作成する] を選択します。

  3. [ロールタイプ] で [SAML 2.0 フェデレーション] を選択します。

  4. [SAML プロバイダー] で、作成した SAML IdP を選択します。

    重要

    2 つの SAML 2.0 アクセスメソッド ([プログラムによるアクセスのみを許可する] または [プログラムによるアクセスと Amazon Web Services マネジメントコンソールによるアクセスを許可する]) のいずれも選択しないでください。

  5. [属性] で 、[SAML:sub_type] を選択します。

  6. [値] に「persistent」と入力します。この値は、値が persistent の SAML サブジェクトタイプアサーションを含む SAML ユーザーストリーミングリクエストへのロールアクセスを制限します。SAML:sub_type が persistent の場合、IdP は特定のユーザーからのすべての SAML リクエストで同じ一意の値を NameID 要素に送信します。SAML:sub_type アサーションに関する詳細は、「SAML ベースのフェデレーションを使用した AWS への API アクセス」の「SAML ベースのフェデレーションでユーザーを一意に識別する」を参照してください。

  7. 正しい信頼されたエンティティおよび条件を確認して SAML 2.0 の信頼情報を確かめたら、[次: アクセス許可] を選択します。

  8. [アクセス権限ポリシーをアタッチする] ページで、[Next: Tags] を選択します。

  9. (オプション) 追加する各タグのキーと値を入力します。詳細については、「IAM ユーザーとロールのタグ付け」を参照してください。

  10. 終了したら、[Next: Review] を選択します。後でこのロールにインラインポリシーを作成して埋め込みます。

  11. [Role name] (ロール名) に、このロールの目的を識別できる名前を入力します。なぜなら複数エンティティがロールを参照している可能性があります。ロールが作成された後のロールの名前の編集はできません。

  12. (オプション) [ロールの説明] に、新しいロールの説明を入力します。

  13. ロールの詳細を確認し、[ロールの作成] を選択します。

  14. 新しい IAM ロールの信頼ポリシーに sts:TagSession アクセス権限を追加します。詳細については、「AWS STS でのセッションタグの受け渡し」を参照してください。新しい IAM ロールの詳細ページで、[Trust relationships] (信頼関係) タブを選択してから、[Edit trust relationship] (信頼関係の編集) を選択します。信頼関係の編集ポリシーエディタが開いたら、[sts:TagSession*] アクセス許可を次のように設定します。

    JSON
    {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Federated": "arn:aws:iam::111122223333:saml-provider/IDENTITY-PROVIDER"
            },
            "Action": [
                "sts:AssumeRoleWithSAML",
                "sts:TagSession"
            ],
            "Condition": {
                "StringEquals": {
                    "SAML:aud": "https://signin.aws.amazon.com/saml"
                }
            }
        }
    ]
}

IDENTITY-PROVIDER をステップ 1 で作成した SAML IdP の名前で置き換えます。次に、[Update Trust Policy] (信頼ポリシーの更新) を選択します。

ステップ 3: IAM ロールにインラインポリシーを埋め込む

次に、作成したロールにインライン IAM ポリシーを埋め込みます。インラインポリシーを埋め込むと、ポリシーのアクセス許可が、間違ったプリンシパルエンティティにアタッチされることを回避できます。インラインポリシーは、フェデレーションユーザーに WorkSpaces ディレクトリへのアクセスを提供します。

重要

ソース IP に基づいて AWS へのアクセスを管理する IAM ポリシーは、workspaces:Stream アクションではサポートされていません。WorkSpaces の IP アクセスコントロールを管理するには、IP アクセスコントロールグループを使用します。さらに、SAML 2.0 認証を使用する場合は、SAML 2.0 IdP から利用可能な IP アクセスコントロールポリシーを使用できます。

  1. 作成した IAM ロールの詳細で、[Permissions] (アクセス許可) タブを選択し、必要なアクセス許可を、ロールのアクセス許可ポリシーに追加します。[Create policy wizard] (ポリシーの作成ウィザード) が起動します。

  2. [ポリシーの作成] で、[JSON] タブを選択します。

  3. 次の JSON ポリシーを JSON ウィンドウにコピーして貼り付けます。次に、AWS リージョンコード、アカウント ID、ディレクトリ ID を入力してリソースを編集します。以下のポリシーでは、"Action": "workspaces:Stream" は、WorkSpaces ディレクトリのデスクトップセッションに接続する権限を WorkSpaces ユーザーに提供するアクションです。

    JSON
    {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "workspaces:Stream",
            "Resource": "arn:aws:workspaces:us-east-1:123456789012:directory/DIRECTORY-ID",
            "Condition": {
                "StringEquals": {
                    "workspaces:userId": "${saml:sub}"
                }
            }
        }
    ]
}

    REGION-CODE を WorkSpaces ディレクトリが存在する AWS リージョンに置換します。DIRECTORY-ID を WorkSpaces 管理コンソールで確認できる WorkSpaces ディレクトリ ID に置換します。AWS GovCloud (米国西部) または AWS GovCloud (米国東部) のリソースの場合は、ARN の形式として arn:aws-us-gov:workspaces:REGION-CODE:ACCOUNT-ID-WITHOUT-HYPHENS:directory/DIRECTORY-ID を使用します。

  4. 完了したら、[ポリシーの確認] をクリックします。構文エラーがある場合は、「ポリシーの検証」によってレポートされます。

ステップ 4: SAML 2.0 ID プロバイダーを設定する

SAML 2.0 IdP によっては、https://signin.aws.amazon.com/static/saml-metadata.xmlsaml-metadata.xml ファイルを手動でアップロードして、AWS を信頼するサービスプロバイダーとするように、その IdP をアップデートする必要が生じます。このステップは、IdP のメタデータを更新します。一部の IdP では、すでに更新が設定されています。この場合は、次のステップに進みます。

IdP でこの更新がまだ設定されていない場合には、IdP から提供されるドキュメントでメタデータを更新する方法に関する情報を確認します。プロバイダーによっては、URL を入力し、また IdP によってファイルを取得してインストールするオプションが提供されます。また、URL からファイルをダウンロードし、ローカルファイルとして指定する必要があるプロバイダーもあります。

重要

このとき、IdP のユーザーに、IdP で設定した WorkSpaces アプリケーションへのアクセスを許可することもできます。ディレクトリの WorkSpaces アプリケーションにアクセスする権限を与えられているユーザーに対して、自動的に WorkSpace が作成されるわけではありません。同様に、WorkSpace が作成されるユーザーに対して、自動的に WorkSpaces アプリケーションへのアクセス権が与えられるわけではありません。SAML 2.0 認証を使用して WorkSpace に正常に接続するには、ユーザーが IdP によって承認され、WorkSpace が作成されている必要があります。

ステップ 5: SAML 認証レスポンスのアサーションを作成する

次に、認証レスポンスの中に IdP が AWS に送信する SAML 属性としての情報を設定します。IdP によっては、既に設定されています。その場合、「ステップ 6: フェデレーションのリレーステートを設定する」へ進んでください。

この情報がまだ IdP で設定されていない場合は、次の操作を実行します。

  • SAML Subject NameID (SAML サブジェクト名 ID) – 署名するユーザーの一意の識別子。値は WorkSpaces ユーザー名と一致する必要があります。通常は、Active Directory ユーザー用の sAMAccountName 属性です。

  • SAML Subject Type (SAML サブジェクトタイプ) (値を persistent に設定) – 値を persistent に設定すると、特定のユーザーからのすべての SAML リクエストの NameID 要素に同じ一意の値を IdP が送信することを確保できます。ステップ 2: SAML 2.0 フェデレーション IAM ロールを作成するで説明されているように、SAML sub_type が persistent に設定されている SAML リクエストのみを許可する条件が IAM ポリシーに含まれていることを確認します。

  • Attribute 要素 (Name 属性が https://aws.amazon.com/SAML/Attributes/Role に設定) – この要素には、IdP によってマッピングされたユーザーの IAM ロールと SAML IdP を一覧表示する 1 つ以上の AttributeValue 要素が含まれます。このロールと IdP は、カンマ区切りの ARN のペアとして指定されます。予期される値の例は arn:aws:iam::ACCOUNTNUMBER:role/ROLENAME,arn:aws:iam::ACCOUNTNUMBER:saml-provider/PROVIDERNAME です。

  • Attribute 要素 (Name 属性が https://aws.amazon.com/SAML/Attributes/RoleSessionName に設定) – この要素には SSO 用に発行される一時的な AWS 認証情報用の識別子を提供する 1 つの AttributeValue 要素が含まれています。AttributeValue 要素の値は 2~64 文字とし、英数字、アンダースコア、および _ . : / = + - @ のみを含めることができます。スペースを含めることはできません。値は通常、E メールアドレスまたはユーザープリンシパル名 (UPN) です。ユーザーの表示名のように、スペースを含む値とすることはできません。

  • Attribute 要素 (Name 属性を https://aws.amazon.com/SAML/Attributes/PrincipalTag:Email に設定) – この要素には、ユーザーの E メールアドレスを指定する AttributeValue 要素が含まれます。この値は、WorkSpaces ディレクトリで定義されている WorkSpaces ユーザーの E メールアドレスと一致する必要があります。タグ値には、文字、数字、スペース、および特殊文字 (_ . : / = + - @) の組み合わせを含めることができます。詳細については、「IAM ユーザーガイド」の「IAM および AWS STS でのタグ付けの規則」を参照してください。

  • Attribute 要素 (Name 属性を https://aws.amazon.com/SAML/Attributes/PrincipalTag:UserPrincipalName に設定) (オプション) — この要素には、サインインしているユーザーの Active Directory userPrincipalName を指定する AttributeValue 要素が 1 つ含まれています。値は username@domain.com の形式で指定する必要があります。このパラメータは、証明書ベースの認証で、エンドユーザー証明書のサブジェクト代替名として使用します。詳細については、「証明書ベースの認証」を参照してください。

  • Attribute 要素 (Name 属性を https://aws.amazon.com/SAML/Attributes/PrincipalTag:ObjectSid に設定) (オプション) — この要素には、サインインしているユーザーの Active Directory セキュリティ識別子 (SID) を指定する AttributeValue 要素が 1 つ含まれています。このパラメータを証明書ベースの認証で使用すると、Active Directory ユーザーへの強力なマッピングが可能になります。詳細については、「証明書ベースの認証」を参照してください。

  • Attribute 要素 (Name 属性を https://aws.amazon.com/SAML/Attributes/PrincipalTag:ClientUserName に設定) (オプション) — この要素には、代替ユーザー名形式を指定する AttributeValue 要素が 1 つ含まれています。corp\usernamecorp.example.com\usernameusername@corp.example.com などのユーザー名形式を必要とするユースケースで、WorkSpaces クライアントを使用してログインする場合は、この属性を使用します。タグのキーと値には、文字、数字、スペース、特殊文字 (_ : / . + = @ -) の任意の組み合わせを使用できます。詳細については、「IAM ユーザーガイド」の「IAM および AWS STS でのタグ付けの規則」を参照してください。corp\username または corp.example.com\username の形式を使用する場合は、SAML アサーションの \/ に置き換えてください。

  • Name 属性が https://aws.amazon.com/SAML/Attributes/PrincipalTag:Domain (オプション) に設定された Attribute 要素 – この要素には、サインインしているユーザーの Active Directory DNS 完全修飾ドメイン名 (FQDN) を提供する AttributeValue 要素が 1 つ含まれています。このパラメータは、ユーザーの Active Directory userPrincipalName に代替サフィックスが含まれている場合に、証明書ベースの認証で使用されます。値は、サブドメインを含め、domain.com で指定する必要があります。

  • Attribute 要素 (Name 属性が https://aws.amazon.com/SAML/Attributes/SessionDuration に設定) (オプション) – この要素には、再認証が必要となる前にユーザーがアクティブでいられるフェデレーティッドストリーミングセッションの最大時間を特定する 1 つの AttributeValue 要素が含まれています。デフォルト値は 3600 秒 (60 分) です。SAML IdP の詳細については、「SAML SessionDurationAttribute」を参照してください。

    注記

    SessionDuration はオプションの属性ですが、これを SAML レスポンスに含めることをお勧めします。この属性を指定しない場合、セッション継続時間はデフォルト値の 3,600 秒 (60 分) に設定されます。WorkSpaces デスクトップセッションは、セッションの有効期限が切れると切断されます。

これらの要素を設定する方法については、「IAM ユーザーガイド」の「認証レスポンスの SAML アサーションを設定する」を参照してください。IdP の特定の設定要件に関する詳細は、IdP のドキュメントを参照してください。

ステップ 6: フェデレーションのリレーステートを設定する

次に、IdP を使用して WorkSpaces ディレクトリのリレーステートの URL を指すようにフェデレーションのリレーステートを設定します。AWS による認証に成功すると、ユーザーは WorkSpaces ディレクトリエンドポイントに誘導され、SAML 認証レスポンスでリレーステートとして定義されます。

リレーステート URL は次の形式です。


https://relay-state-region-endpoint/sso-idp?registrationCode=registration-code

WorkSpaces ディレクトリ登録コード、およびディレクトリが位置するリージョンと関連付けられたリレーステートのエンドポイントから、リレーステートの URL を構築します。登録コードは WorkSpaces 管理コンソールで確認できます。

必要に応じて、WorkSpaces でクロスリージョンリダイレクトを使用している場合は、登録コードをプライマリリージョンおよびフェイルオーバーリージョンのディレクトリに関連付けられた完全修飾ドメイン名 (FQDN) に置き換えることができます。詳細については、「 Amazon WorkSpaces のクロスリージョンリダイレクト」を参照してください。クロスリージョンリダイレクトと SAML 2.0 認証を使用する場合、プライマリディレクトリとフェイルオーバーディレクトリの両方を SAML 2.0 認証に対して有効にし、各リージョンに関連付けられたリレーステートエンドポイントを使用して IdP で個別に設定する必要があります。これにより、ユーザーがサインインする前に WorkSpaces クライアントアプリケーションを登録するときに FQDN を正しく構成でき、フェイルオーバーイベント中にユーザーが認証できるようになります。

次の表は、WorkSpaces SAML 2.0 認証を利用できるリージョンのリレーステートエンドポイントを示しています。

WorkSpaces SAML 2.0 認証が利用可能なリージョン
リージョン リレーステートのエンドポイント
米国東部 (バージニア北部) リージョン

  • workspaces.euc-sso.us-east-1.aws.amazon.com

  • (FIPS) workspaces.euc-sso-fips.us-east-1.aws.amazon.com
米国西部 (オレゴン) リージョン

  • workspaces.euc-sso.us-west-2.aws.amazon.com

  • (FIPS) workspaces.euc-sso-fips.us-west-2.aws.amazon.com
アフリカ(ケープタウン)リージョン workspaces.euc-sso.af-south-1.aws.amazon.com
アジアパシフィック (ムンバイ) リージョン workspaces.euc-sso.ap-south-1.aws.amazon.com
アジアパシフィック (ソウル) リージョン workspaces.euc-sso.ap-northeast-2.aws.amazon.com
アジアパシフィック (シンガポール) リージョン workspaces.euc-sso.ap-southeast-1.aws.amazon.com
アジアパシフィック (シドニー) リージョン workspaces.euc-sso.ap-southeast-2.aws.amazon.com
アジアパシフィック (東京) リージョン workspaces.euc-sso.ap-northeast-1.aws.amazon.com
カナダ (中部) リージョン workspaces.euc-sso.ca-central-1.aws.amazon.com
欧州 (フランクフルト) リージョン workspaces.euc-sso.eu-central-1.aws.amazon.com
欧州 (アイルランド) リージョン workspaces.euc-sso.eu-west-1.aws.amazon.com
欧州 (ロンドン) リージョン workspaces.euc-sso.eu-west-2.aws.amazon.com
南米 (サンパウロ) リージョン workspaces.euc-sso.sa-east-1.aws.amazon.com
イスラエル (テルアビブ) リージョン workspaces.euc-sso.il-central-1.aws.amazon.com
AWS GovCloud (米国西部)

  • workspaces.euc-sso.us-gov-west-1.amazonaws-us-gov.com

  • (FIPS) workspaces.euc-sso-fips.us-gov-west-1.amazonaws-us-gov.com

注記

詳細については、「AWS GovCloud (US) ユーザーガイド」の「Amazon WorkSpaces」を参照してください。
AWS GovCloud (米国東部)

  • workspaces.euc-sso.us-gov-east-1.amazonaws-us-gov.com

  • (FIPS) workspaces.euc-sso-fips.us-gov-east-1.amazonaws-us-gov.com

注記

詳細については、「AWS GovCloud (US) ユーザーガイド」の「Amazon WorkSpaces」を参照してください。

ID プロバイダー (IdP) によって開始されるフローでは、SAML 2.0 フェデレーションに使用するクライアントを指定できます。これを行うには、リレー状態 URL の末尾の &client= の後に、native または web を指定します。このパラメータがリレー状態の URL で指定されている場合、対応するセッションは指定されたクライアントで自動的に開始されます。

ステップ 7: WorkSpaces ディレクトリで SAML 2.0 との統合を有効にする

WorkSpaces ディレクトリで SAML 2.0 認証を有効にするには、WorkSpaces コンソールを使用できます。

SAML 2.0 との統合を有効にするには

  1. https://console.aws.amazon.com/workspaces/v2/home で WorkSpaces コンソールを開きます。

  2. ナビゲーションペインで [ディレクトリ] を選択します。

  3. WorkSpaces のディレクトリ ID を選択します。

  4. [Authentication] (認証) で、[Edit] (編集) を選択します。

  5. [Edit SAML 2.0 Identity Provider] (SAML 2.0 ID プロバイダーの編集) を選択します。

  6. [Enable SAML 2.0 authentication] (SAML 2.0 認証の有効化) チェックボックスをオンにします。

  7. [User Access URL] (ユーザーアクセス URL) と [IdP deep link parameter name] (IdP ディープリンクパラメータ名) には、ステップ 1 で設定した IdP とアプリケーションに該当する値を入力します。IdP ディープリンクパラメータ名を省略すると、デフォルトで「RelayState」という名前になります。次の表に、アプリケーションの ID プロバイダー別に固有のユーザーアクセス URL とパラメータ名を示します。

    許可リストに追加するドメインと IP アドレス
    ID プロバイダー パラメータ ユーザーアクセス URL
    ADFS RelayState https://<host>/adfs/ls/idpinitiatedsignon.aspx?RelayState=RPID=<relaying-party-uri>
    Azure AD RelayState https://myapps.microsoft.com/signin/<app_id>?tenantId=<tenant_id>
    Duo Single Sign-On RelayState https://<sub-domain>.sso.duosecurity.com/saml2/sp/<app_id>/sso
    Okta RelayState https://<sub_domain>.okta.com/app/<app_name>/<app_id>/sso/saml
    OneLogin RelayState https://<sub-domain>.onelogin.com/trust/saml2/http-post/sso/<app-id>
    JumpCloud RelayState https://sso.jumpcloud.com/saml2/<app-id>
    Auth0 RelayState https://<DefaultTenatName>.us.auth0.com/samlp/<Client_Id>
    PingFederate TargetResource https://<host>/idp/startSSO.ping?PartnerSpId=<sp_id>
    PingOne for Enterprise TargetResource https://sso.connect.pingidentity.com/sso/sp/initsso?saasid=<app_id>&idpid=<idp_id>

    ユーザーアクセス URL は、通常、未承諾の IdP を起点とする SSO のプロバイダーによって定義されます。ユーザーはこの URL をウェブブラウザに入力して、SAML アプリケーションに直接フェデレートできます。IdP のユーザーアクセス URL とパラメータ値をテストするには、[Test] (テスト) を選択します。テスト URL をコピーして現在のブラウザまたは別のブラウザのプライベートウィンドウに貼り付けると、現在の AWS マネジメントコンソールセッションを中断せずに SAML 2.0 ログオンをテストできます。IdP を起点とするフローが開いたら、WorkSpaces クライアントを登録できます。詳細については、「Identity provider (IdP)-initiated flow」(ID プロバイダー (IdP) を起点とするフロー) を参照してください。

  8. [Allow clients that do not support SAML 2.0 to login] (SAML 2.0 をサポートしていないクライアントにログインを許可する) チェックボックスをオンまたはオフにして、フォールバック設定を管理します。SAML 2.0 をサポートしていないクライアントタイプまたはバージョンを使用しているユーザーに WorkSpaces へのアクセスを引き続き提供する場合や、ユーザーが最新のクライアントバージョンにアップグレードする時間が必要な場合に、この設定をオンにします。

    注記

    この設定により、ユーザーは SAML 2.0 ではなく、古いクライアントバージョンを使用したディレクトリ認証を通じてログインできます。

  9. ウェブクライアントで SAML を使用するには、Web Access を有効にします。詳細については、「Amazon WorkSpaces Web Access を有効化および設定する」を参照してください。

    注記

    SAML を使用する PCoIP は Web Access ではサポートされていません。

  10. [保存] を選択します。これで WorkSpaces ディレクトリで SAML 2.0 との統合が有効になりました。IdP およびクライアントアプリケーションを起点とするフローを使用して WorkSpaces クライアントアプリケーションを登録し、WorkSpaces にサインインできます。