# 証明書利用者の信頼およびクレームの追加によって SAML 2.0 IdP を設定する IAM ID プロバイダー、および SAML アクセス用のロールを作成すると、外部 ID プロバイダー (IdP) の詳細とそのユーザーが許可されているアクションが AWS に通知されます。次のステップでは、IdP に対し、サービスプロバイダーとしての AWS について通知します。これは、IdP と AWS の間に*証明書利用者の信頼*を追加することと呼ばれます。証明書利用者の信頼を追加するための正確なプロセスは、使用する IdP によって異なります。詳細については、使用している ID 管理ソフトウェアのドキュメントを参照してください。 多くの IdP が URL の指定を許可しています。IdP はこの URL から、証明書利用者の情報と証明書が含まれる XML ドキュメントを読み取ることができます。AWS には、サインインエンドポイント URL を使用します。次の例は、オプションの `region-code` を含む URL 形式を示しています。 `https://{{region-code}}.signin.aws.amazon.com/static/saml-metadata.xml` SAML 暗号化が必要な場合は、URL に が SAML プロバイダーに割り当てる一意の識別子 AWS を含める必要があります。この識別子は ID プロバイダーの詳細ページにあります。次の例は、一意の識別子を含むリージョンのサインイン URL を示しています。 `https://{{region-code}}.signin.aws.amazon.com/static/saml/{{IdP-ID}}/saml-metadata.xml` 実行可能な {{region-code}} 値のリストについては、「[AWS サインインエンドポイント](https://docs.aws.amazon.com/general/latest/gr/signin-service.html)」の **[Region]** (リージョン) 列を参照します。AWS 値には、非リージョンエンドポイント `https://signin.aws.amazon.com/saml` を使用することもできます。 URL を直接指定できない場合は、XML ドキュメントを前述の URL からダウンロードし、ダウンロードした XML ドキュメントを IdP ソフトウェアにインポートします。 また、IdP で、AWS を証明書利用者として指定する適切なクレームルールを作成する必要があります。IdPが AWS エンドポイントにSAML応答を送信すると、1つ以上の*クレーム*を含む SAML *アサーション*が含まれます。クレームとは、ユーザーとそのグループに関する情報です。クレームルールはその情報を SAML 属性にマッピングします。SAML フェデレーティッドプリンシパルのアクセス許可を確認するため、AWS が IAM ポリシーで使用する必要な属性が IdP からの SAML 認証レスポンスに確実に含まれていることを確認できます。詳細については、以下の各トピックを参照してください。 + [AWS リソースへの SAML フェデレーションアクセスを許可するロールの概要](id_roles_providers_saml.md#CreatingSAML-configuring-role). このトピックでは、IAM ポリシーで SAML 固有のキーを使用することに加え、SAML フェデレーティッドプリンシパルにアクセス許可を制限するために使用する方法について説明します。 + [認証レスポンス用の SAML アサーションを設定する](id_roles_providers_create_saml_assertions.md). このトピックでは、ユーザーに関する情報を含む SAML クレームを設定する方法について説明します。クレームは SAML アサーションにバンドルされ、AWS に送信される SAML レスポンスに含まれます。AWS ポリシーによって必要とされる情報が、AWS が認識して使用できる形式で SAML アサーションに含まれていることを確認する必要があります。 + [サードパーティーの SAML ソリューションプロバイダーを AWS に統合する](id_roles_providers_saml_3rd-party.md)。このトピックには、サードパーティの組織から提供されている、ID ソリューションを AWS と統合する方法に関するドキュメントへのリンクが記載されています。 **注記** フェデレーションの耐障害性を高めるには、IdP と AWS フェデレーションを、複数の SAML サインインエンドポイントをサポートするように設定することをお勧めします。詳細については、AWS セキュリティブログの記事「[フェイルオーバーにリージョン SAML エンドポイントを使用する方法](https://aws.amazon.com/blogs//security/how-to-use-regional-saml-endpoints-for-failover)」を参照してください。