すべてのプロダクト
Search

このプロダクト

    Identity as a Service:AWS SSO

    ドキュメントセンター

    Identity as a Service:AWS SSO

    最終更新日:Nov 11, 2025

    このトピックでは、IDaaS で AWS ユーザーのシングルサインオン (SSO) を構成する方法について説明します。

    手順

    IDaaS 側での構成

    1. AWS アプリケーションを作成します。

      1. IDaaS コンソールにログインし、IDaaS インスタンスを選択して、[操作] 列の [コンソールにアクセス] をクリックします。

      2. [アプリケーション] > [アプリケーションの追加] > [アプリケーションマーケットプレイス] に移動し、[AWS SSO] を検索して、[アプリケーションの追加] をクリックします。

      3. アプリケーション名を確認し、[今すぐ追加] をクリックします。

    2. アプリケーションの SSO を構成します。[ログオンアクセス] > [シングルサインオン] タブで、次のパラメーターを設定します。

      フィールド

      説明

      SSO

      ステータスを Enabled に設定します。

      AWS SSO サインイン URL

      AWS IAM Identity Center から提供された [AWS アクセスポータルサインイン URL] を入力します。

      AWS SSO ACS URL

      AWS IAM Identity Center から提供された [IAM Identity Center Assertion Consumer Service (ACS) URL] を入力します。

      AWS SSO Issuer URL

      AWS IAM Identity Center から提供された [IAM Identity Center Issuer URL] を入力します。

      アプリケーションアカウント

      必要に応じてオプションを選択します。このトピックでは、例として [アプリケーションアカウント優先、IDaaS アカウント名をフォールバックとして使用] を使用します。

      権限付与範囲

      必要に応じて [手動権限付与] または [すべてのユーザー] を選択します。テスト目的で、[権限付与範囲][すべてのユーザー] に設定して、IDaaS アカウントに権限を割り当てるステップをスキップします。

    3. ID プロバイダー (IdP) 情報を取得します。次のいずれかのメソッドを使用して構成を完了します。

      1. メソッド 1: Application Settings セクションで、IdP Metadata ファイルをダウンロードします。このファイルを使用して、AWS ID プロバイダーの IdP SAML メタデータを構成します。

      2. メソッド 2: [IdP SSO URL][IdP 一意識別子] を取得します。これらを使用して、AWS ID プロバイダーの [IdP サインイン URL][IdP Issuer URL] を構成します。

    4. 公開キー証明書。証明書をダウンロードまたはコピーし、AWS アプリケーションにインポートまたは貼り付けます。

    5. ユーザーアクセス権限を割り当てます。Application User タブで、[アプリケーションアカウントの追加] をクリックします。

      重要

      アプリケーションアクセスに使用される ID 名は、AWS プラットフォームで構成されているユーザー名と同一である必要があります。

    AWS 側での構成

    1. AWS プラットフォームにログインします。

    2. 右上隅で [マイアカウント] をクリックし、[AWS マネジメントコンソール] を選択します。

    3. 検索バーに IAM と入力し、[IAM Identity Center] を選択します。

    4. ダッシュボードで [設定] に移動し、[ID ソース] を選択して、[アクション] > [ID ソースの変更] をクリックします。

    5. ID ソースを [外部 ID プロバイダー] に変更し、[次へ] をクリックします。

    6. サービスプロバイダーのメタデータセクションから [AWS アクセスポータルサインイン URL][IAM Identity Center Assertion Consumer Service (ACS) URL]、および [IAM Identity Center Issuer URL] をコピーします。これらの値を、IDaaS アプリケーションの [AWS SSO サインイン URL][AWS SSO ACS URL]、および [AWS SSO Issuer URL] フィールドにそれぞれ貼り付けます。

    7. ID プロバイダーのメタデータセクションで、IDaaS アプリケーションから取得した [IdP SSO URL][IdP 一意識別子][IdP サインイン URL][IdP Issuer URL] フィールドに貼り付けます。または、IDaaS からダウンロードした IdP Metadata ファイルをアップロードします。IdP 証明書については、[ファイルを選択] をクリックし、IDaaS からダウンロードした [公開キー証明書] ファイルをアップロードします。完了したら、[次へ] をクリックします。

    8. [ID ソースの変更] を確認します。

    9. 新しいユーザーを作成します。左側のナビゲーションウィンドウで [ユーザー] をクリックし、[ユーザーの追加] をクリックします。プロンプトに従って、必要な情報を入力します。

    10. ユーザーに権限を付与します。

      1. 左側のナビゲーションウィンドウで、[マルチアカウント権限] > [AWS アカウント] に移動します。

      2. [ユーザーまたはグループを割り当てる] をクリックします。

      3. [ユーザー] タブで、権限を付与するユーザーを検索して選択します。[次へ] をクリックします。

      4. [権限セットの作成] をクリックします。必要な権限を選択します。この例では、[AdministratorAccess] 権限を選択し、[次へ] をクリックします。

      5. 確認と送信ページで、ユーザーと権限を確認し、[送信] をクリックして権限付与を完了します。

    SSO の検証

    1. IdP 起点

      AWS SSO アプリケーションの権限を持つアカウントを使用して IDaaS アプリケーションポータルにログインします。AWS アプリケーションアイコンをクリックして SSO を開始し、フェデレーションユーザーとして AWS にログインします。

    2. SP 起点

      AWS IAM Identity Center で、[AWS アクセスポータル URL] をコピーします。

      シークレットブラウザウィンドウで [AWS アクセスポータル URL] を開きます。すでに IDaaS ポータルにログインしている場合は、フェデレーションユーザーとして自動的に AWS にログインします。ログインしていない場合は、Alibaba Cloud IDaaS ログインページにリダイレクトされます。このページで、ユーザー名とパスワードを入力し、[ログイン] をクリックします。IDaaS にログインすると、自動的に AWS にログインします。