アマゾン ウェブ サービス(AWS)クラウド アプリケーション

この操作を行うには、特権管理者としてログインする必要があります。

SAML(Security Assertion Markup Language)を利用すると、ユーザーは Google Cloud の認証情報で企業向けクラウド アプリケーションにログインできます。

アマゾン ウェブ サービス用に SAML 経由での SSO を設定する

アマゾン ウェブ サービス アプリケーション用に SAML 経由でのシングル サインオン(SSO)を設定する方法は、次のとおりです。

始める前に

ユーザー プロビジョニングを設定する前に、アマゾン ウェブ サービスのカスタム ユーザー属性を作成する必要があります。手順は次のとおりです。

  1. Google 管理コンソールログインします。

    特権管理者権限のあるアカウント(末尾が @gmail.com でないもの)でログインしてください。

  2. 管理コンソールのホームページから、[ユーザー] にアクセスします。
  3. [ユーザー] のリストの上部にある、ユーザー属性を管理アイコン "" をクリックします。
  4. 右上の [カスタム属性を追加] をクリックします。
  5. カスタム属性を次のように設定します。
    • カテゴリ: Amazon
    • 説明: Amazon カスタム属性

    [カスタム フィールド] には次のように入力します。

    • 名前: 役割
    • 情報の種類: テキスト
    • 公開設定: ユーザーと管理者が閲覧可能
    • 値の数: 複数の値
  6. [追加] をクリックします。

    追加したカテゴリが、[ユーザー属性を管理] ページに表示されます。

手順 1: Google の ID プロバイダ(IdP)情報を入手する
  1. Google 管理コンソールログインします。

    特権管理者権限のあるアカウント(末尾が @gmail.com でないもの)でログインしてください。

  2. 管理コンソールのホームページから、[セキュリティ] 次に [SAML アプリケーションに対するシングル サインオン(SSO)の設定] に移動します。

    この操作を行うには、特権管理者としてログインする必要があります。

  3. [IdP メタデータ] でファイルをダウンロードします。

管理コンソールは開いたままにして、Amazon のマネジメント コンソールで次の手順を実施した後に SSO の設定を続けられるようにします。

手順 2: アマゾン ウェブ サービスを SAML 2.0 のサービス プロバイダ(SP)として設定する
  1. 新しいブラウザタブで、AWS マネジメント コンソールにログインし、IAM コンソール(https://console.aws.amazon.com/iam/)を開きます。
  2. ナビゲーション パネルで、[Identity Providers] > [Create Provider] を選択します。
  3. [Provider Type] で [SAML] を選択します。
  4. [Provider Name] に「GoogleApps」などのプロバイダ名を入力します。
  5. [Choose File] をクリックし、上述の手順 1 でダウンロードした IdP メタデータ ファイルを選択します。
  6. [Continue Step]、[Create] の順にクリックします。

    [Identity Providers] ページの IdP の一覧に「GoogleApps」が表示されます。

  7. 左側のサイドバーで、[Roles] > [Create a New Role] をクリックします。
  8. [Set role name] に、役割の名前を入力します。
  9. [Continue Step] をクリックします。
  10. [Select Role Type] ページの [Role for Identity Provider Access] で [Grant Web Single Sign-On (WebSSO) access to SAML providers] を選択します。
  11. [Continue Step] をクリックします。
  12. [Establish trust] ページのデフォルト設定をそのままにして、[Next Step] をクリックします。
  13. ポリシーを選択し、Google SSO 経由で AWS にログインするユーザーに権限を付与します(例: AdministratorAccess)。
  14. [Continue Step] をクリックします。
  15. 次のページで、[Role ARN] の内容をメモします。これには、AWS アカウント ID と役割の名前が含まれています。

    例: arn:aws:iam::ACCOUNT_NUMBER:role/SSO

  16. [Create the Role] をクリックします。
  17. ID プロバイダのリストから Google サービスを選択し、[Provider ARN] の内容をメモします。これには、AWS アカウント ID とプロバイダ名が含まれています。

    例: arn:aws:iam::ACCOUNT_NUMBER:saml-provider/GoogleApps

  18. [Save] をクリックして、ウェブ連携のシングル サインオン設定を保存します。
手順 3: Google を SAML ID プロバイダ(IdP)として設定する
  1. 管理コンソールを開いたままにしたブラウザタブに戻ります。
  2. 管理コンソールのホームページから、[アプリ] 次に [ウェブアプリとモバイルアプリ] にアクセスします。
  3. 検索欄に「Amazon Web Services」と入力します。
  4. 検索結果で、Amazon Web Services SAML アプリにカーソルを合わせ、[選択] をクリックします。
  5. [Google ID プロバイダの詳細] ページで、[続行] をクリックします。

    [サービス プロバイダの詳細] ページには、アマゾン ウェブ サービスの [ACS の URL] と [エンティティ ID] の値がデフォルトで設定されています。

  6. [続行] をクリックします。
  7. [属性のマッピング] ページで、[フィールドを選択] メニューをクリックして、次の Google ディレクトリの属性を対応するアマゾン ウェブ サービスの属性にマッピングします
     
    Google ディレクトリの属性 アマゾン ウェブ サービスの属性
    Basic Information > Primary Email https://aws.amazon.com/SAML/Attributes/RoleSessionName
    [Amazon] > [役割]* https://aws.amazon.com/SAML/Attributes/Role

    (*)上述の始める前にで作成したカスタム属性です。

  8. [完了] をクリックします。
手順 4: アマゾン ウェブ サービス アプリを有効にする
  1. Google 管理コンソールログインします。

    特権管理者権限のあるアカウント(末尾が @gmail.com でないもの)でログインしてください。

  2. 管理コンソールのホームページから、[アプリ] 次に [ウェブアプリとモバイルアプリ] にアクセスします。
  3. [Amazon Web Services] を選択します。
  4. [ユーザー アクセス] をクリックします。
  5. 組織に属するすべてのユーザーに対してサービスを有効または無効にするには、[オン(すべてのユーザー)] または [オフ(すべてのユーザー)] をクリックし、[保存] をクリックします。

  6. (省略可)特定の組織部門に対してサービスを有効または無効にするには:

    1. 左側で組織部門を選択します。
    2. [オン] または [オフ] をオンにします。
    3. 親組織部門のサービス設定が変更された場合に自分の設定を維持するには、[オーバーライド] をクリックします。
    4. 組織部門のサービスのステータスがすでに [上書きされました] に設定されている場合は、次のいずれかを選択します。
      • 継承 - 親組織と同じ設定に戻します。
      • 保存 - 親の設定が変更された場合でも、新しい設定を保存します。

    詳しくは、組織構造についてのページをご覧ください。

  7. (省略可)ユーザー グループに対してサービスを有効にする
    アクセス グループを使用すると、組織部門内の一部のユーザーや、異なる組織部門の複数のユーザーに対してサービスを有効にすることができます。詳細

  8. アマゾン ウェブ サービスのユーザー アカウントのメール ID が、お使いの Google ドメインのものと一致することを確認します。
手順 5: Google Workspace とアマゾン ウェブ サービス間の SSO の動作を確認する(Google Workspace のみ)

注: アマゾン ウェブ サービスを設定したアカウントにログインしていることを確認してください。

  1. Google 管理コンソールログインします。

    特権管理者権限のあるアカウント(末尾が @gmail.com でないもの)でログインしてください。

  2. 管理コンソールのホームページから、[アプリ] 次に [ウェブアプリとモバイルアプリ] にアクセスします。
  3. [Amazon Web Services] を選択します。
  4. 左上の [SAML ログインをテスト] をクリックします。

    アマゾン ウェブ サービスが別のタブで開きます。開かない場合は、表示された SAML エラー メッセージの情報を参考にして、必要に応じて IdP と SP の設定を更新し、SAML ログインを再テストします。

手順 6: ユーザー プロビジョニングを設定する

アマゾン ウェブ サービスではユーザー プロビジョニングを設定する必要はありません。

AWS では、SAML 2.0 IdP(ID プロバイダ)で認証されたすべての連携ユーザーに対する役割ベースのログインをサポートしています。役割を指定するには、属性値「https://aws.amazon.com/SAML/Attributes/Role」をアマゾン ウェブ サービスのアカウントに対応するカスタム属性にマッピングします(上述の手順 3 をご覧ください)。

この役割のマッピングを作成しておけば、AWS マネジメント コンソールで対応する IAM(Identity and Access Management)ユーザーを作成しなくても、組織内のユーザーが SAML SSO の機能を使って AWS マネジメント コンソールや指定した AWS IAM の役割にログインできます。

AWS の役割のマッピングについて詳しくは、AWS のドキュメントをご覧ください。



Google、Google Workspace、および関連するマークとロゴは、Google LLC の商標です。その他すべての企業名および商品名は、関連各社の商標または登録商標です。

この情報は役に立ちましたか?
改善できる点がありましたらお聞かせください。

さらにサポートが必要な場合

問題を迅速に解決できるよう、ログインして追加のサポート オプションをご利用ください。

true
14 日間の無料試用を今すぐ開始してください

ビジネス向けのメール、オンライン ストレージ、共有カレンダー、ビデオ会議、その他多数の機能を搭載。G Suite の無料試用を今すぐ開始してください。

検索
検索をクリア
検索終了
Google アプリ
メインメニュー
ヘルプセンターを検索
true
73010
false