Amazon Web Services クラウドアプリ

SAML(Security Assertion Markup Language)2.0 標準を使用すると、多くのクラウドアプリにシングル サインオン(SSO)を設定できます。SSO を設定すると、ユーザーは Google Workspace の認証情報で SSO を使用してアプリにログインできます。

SAML を使用して Amazon Web Services の SSO を設定する

すべて開く  |  すべて閉じる

この操作を行うには、特権管理者としてログインする必要があります。

始める前に

SSO を設定する前に、カスタム ユーザー属性を作成する必要があります。

  1. 特権管理者アカウントで Google 管理コンソール にログインします。

    特権管理者アカウントを使用していない場合は、この手順を完了できません。

  2. メニュー アイコン 次に  [ディレクトリ] > [ユーザー] に移動します。
  3. [その他のオプション] 次に [カスタム属性を管理] をクリックします。
  4. 上部の [カスタム属性を追加] をクリックします。
  5. [カスタム フィールドの追加] セクションで次の操作を行います。
    1. [カテゴリ] に「Amazon」と入力します。
    2. [説明] に「Amazon カスタム属性」と入力します。
    3. [名前] に「ロール」と入力します。
    4. [情報の種類] をクリックし、[テキスト] を選択します。
    5. [公開設定] をクリックし、[ユーザーと管理者が閲覧可能] を選択します。
    6. [値の数] をクリックし、[複数の値] を選択します。

  6. [追加] をクリックします。
    カスタム属性は、[ユーザー属性を管理] ページの [カスタム属性] セクションに表示されます。

手順 1: Google の ID プロバイダ情報を入手する
  1. 特権管理者アカウントで Google 管理コンソール にログインします。

    特権管理者アカウントを使用していない場合は、この手順を完了できません。

  2.  メニュー アイコン  次に  [セキュリティ] > [認証] > [SAML アプリケーションによる SSO] にアクセスします。
  3. ID プロバイダのメタデータをダウンロードします。
  4. 管理コンソールは開いたままにします。アプリの設定手順が終わった後、管理コンソールで設定を続行します。
ステップ 2: Amazon Web Services を SAML 2.0 のサービス プロバイダとして設定する
  1. シークレット モードのブラウザ ウィンドウを開き、AWS マネジメント コンソールにログインします。
  2. IAM コンソールを開きます。
  3. [Identity Providers] 次に [Add Provider] に移動します。
  4. [Provider Type] をクリックし、[SAML] を選択します。
  5. [Provider Name] に名前(GoogleWorkspace など)を入力します。

    : プロバイダ名にスペースを含めることはできません。

  6. [Choose File] をクリックし、ステップ 1 でダウンロードしたメタデータ ファイルを選択します。
  7. [Add Provider] をクリックします。

    [Identity Providers] ページの ID プロバイダのリストに、入力したプロバイダ名(GoogleWorkspace など)が表示されます。

  8. [Roles] 次に [Create role] 次に [Trusted entity type] 次に [SAML 2.0 federation] をクリックします。
  9. [SAML 2.0 federation] で、前に追加した SAML プロバイダ名を選択し、アクセス オプションを選択します。
  10. [次へ] をクリックします。
  11. [Permissions policies] で、SSO を使用して Amazon Web Services にログインするユーザーに権限を付与するポリシー(AdministratorAccess など)を検索して選択します。
  12. [次へ] をクリックします。
  13. [Role details] セクションで、ロール名(例: GoogleSSO)を入力します。
  14. [Create role] をクリックします。
  15. [Roles] ページで、ステップ 12 で作成したロール名の ID プロバイダ ARN をコピーして保存します。
    この値は、ステップ 4 で各ユーザーのカスタム Amazon ユーザー属性を設定するために必要です。
  16. 前に作成したロール名をクリックします。
  17. [Summary] ページで、Role ARN をコピーして保存します。
    この値は、ステップ 4 で各ユーザーのカスタム Amazon ユーザー属性を設定するために必要です。
手順 3: Google を SAML ID プロバイダとして設定する
  1. 特権管理者アカウントで Google 管理コンソール にログインします。

    特権管理者アカウントを使用していない場合は、この手順を完了できません。

  2. メニュー アイコン  次に  [アプリ] > [ウェブアプリとモバイルアプリ] にアクセスします。
  3. [アプリを追加] 次に [アプリを検索] をクリックします。
  4. [アプリ名を入力] に「Amazon Web Services」と入力します。
  5. 検索結果で [Amazon Web Services] にカーソルを合わせ、[選択] をクリックします。
  6. [Google ID プロバイダの詳細] ウィンドウで [続行] をクリックします。
    [サービス プロバイダの詳細] ページには、アプリの詳細がデフォルトで設定されています。
  7. [続行] をクリックします。
  8. [属性のマッピング] ウィンドウで [フィールドを選択] をクリックし、次の Google ディレクトリの属性を対応する Amazon Web Services の属性にマッピングします。https://aws.amazon.com/SAML/Attributes/RoleSessionName 属性と https://aws.amazon.com/SAML/Attributes/Role 属性は必須です。
    Google ディレクトリの属性 アマゾン ウェブ サービスの属性
    [Basic Information] > [Primary email] https://aws.amazon.com/SAML/Attributes/RoleSessionName
    [Amazon] > [役割]* https://aws.amazon.com/SAML/Attributes/Role
    * 「始める前に」セクションで作成したカスタム属性。
  9. (省略可)マッピングを追加するには、[マッピングを追加] をクリックして、マッピングする必要があるフィールドを選択します。
  10. (省略可)このアプリに関連するグループの名前を入力するには:
    1. [グループ メンバーシップ(省略可)] で [グループを検索] をクリックし、グループ名の文字を 1 つ以上入力して、グループ名を選択します。
    2. 必要に応じてグループを追加します(最大 75 個のグループ)。
    3. [アプリの属性] に、対応するサービス プロバイダのグループ属性名を入力します。

    入力したグループ名の数に関係なく、SAML レスポンスには、ユーザーが(直接的または間接的に)メンバーになっているグループのみが含まれます。詳しくは、グループ メンバーシップのマッピングの概要をご覧ください。

  11. [完了] をクリックします。
手順 4: ユーザーに対して CSE をオンにする

開始する前に: 特定のユーザーに対してサービスを有効または無効にするには: 部門ごとにアクセスを管理するには、対象のユーザーのアカウントを組織部門に追加します。部門をまたがってユーザーのアクセスを管理するには、対象のユーザーのアカウントをアクセス グループに追加します。

  1. 特権管理者アカウントで Google 管理コンソール にログインします。

    特権管理者アカウントを使用していない場合は、この手順を完了できません。

  2. メニュー アイコン  次に  [アプリ] > [ウェブアプリとモバイルアプリ] にアクセスします。
  3. [Amazon Web Services] をクリックします。
  4. [ユーザー アクセス] をクリックします。

  5. 組織内のすべてのユーザーに対してサービスを有効または無効にするには、[オン(すべてのユーザー)] または [オフ(すべてのユーザー)] をクリックし、[保存] をクリックします。

  6. (省略可)特定の組織部門に対してサービスを有効または無効にするには:
    1. 左側で組織部門を選択します。
    2. サービスのステータスを変更するには、[オン] または [オフ] を選択します。
    3. 次のいずれかを選択します。
      • [サービス] のステータスが [継承] になっており、親組織の設定が変更された場合でも現在の設定を維持したい場合は、[オーバーライド] をクリックします。
      • [サービスのステータス] が [上書きされました] になっている場合は、[継承] をクリックして親と同じ設定に戻すか、[保存] をクリックして新しい設定を維持します(親組織の設定が変更された場合でも、現在の設定を維持します)。
        : 詳しくは、組織構造についてのページをご覧ください。
  7. (任意)組織部門全体または組織部門内の一部のユーザーに対してサービスを有効にするには、アクセス グループを使用します。詳しくは、グループを使用してサービスへのアクセスをカスタマイズするをご覧ください。
  8. Amazon Web Services のユーザー アカウントのメールドメインが、組織の管理対象の Google アカウントのプライマリ ドメインと一致していることを確認します。
  9. SSO を使用して Amazon Web Services にログインするユーザーごとに、前に作成したカスタム ユーザー属性を設定します。
    1. ユーザーのアカウント ページで、[ユーザー情報] 次に Amazon カスタム属性をクリックします。
    2. [ロール] に、ステップ 2 でコピーしたロール ARN と ID プロバイダ ARN をカンマで区切って入力します。次に例を示します。

      arn:aws:iam::ACCOUNT_NUMBER:role/GoogleSSO,arn:aws:iam::ACCOUNT_NUMBER:provider/GoogleWorkspace

    3. [保存] をクリックします。
手順 5: SSO が動作していることを確認する

Amazon Web Services は、ID プロバイダを起点とする SSO のみをサポートしています。

ID プロバイダを起点とする SSO を確認する

開始する前に: Amazon Web Services を設定したアカウントにログインしていることを確認します。

  1. 特権管理者アカウントで Google 管理コンソール にログインします。

    特権管理者アカウントを使用していない場合は、この手順を完了できません。

  2. メニュー アイコン  次に  [アプリ] > [ウェブアプリとモバイルアプリ] にアクセスします。
  3. [Amazon Web Services] をクリックします。
  4. [Amazon Web Services] セクションで、[SAML ログインをテスト] をクリックします。

    アプリが別のタブで開きます。開かない場合は、エラー メッセージのトラブルシューティングを行ってから、もう一度お試しください。トラブルシューティングについて詳しくは、SAML アプリのエラー メッセージをご覧ください。

手順 6: ユーザー プロビジョニングを設定する
特権管理者は、アプリのユーザー プロビジョニングを自動化できます。詳しくは、Amazon Web Services のユーザー プロビジョニングを設定するをご確認ください。


Google、Google Workspace、および関連するマークとロゴは、Google LLC の商標です。その他すべての企業名および商品名は、関連各社の商標または登録商標です。

この情報は役に立ちましたか?

改善できる点がありましたらお聞かせください。

さらにサポートが必要な場合

次の手順をお試しください。

ヘルプ コミュニティに投稿する コミュニティ メンバーから回答を得る
お問い合わせ 詳しい情報をお知らせください。解決に向けてサポートいたします
true
14 日間の無料試用を今すぐ開始してください

ビジネス向けのメール、オンライン ストレージ、共有カレンダー、ビデオ会議、その他多数の機能を搭載。G Suite の無料試用を今すぐ開始してください。

検索
検索をクリア
検索を終了
Google アプリ
メインメニュー
3551775502205854031
true
ヘルプセンターを検索
true
true
true
true
true
73010
false
false
false
false