翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# AMS コンソールへのフェデレーションの設定 (SALZ)
次の表に詳述されている IAM ロールと SAML ID プロバイダー (信頼されたエンティティ) は、アカウントのオンボーディングの一部としてプロビジョニングされています。これらのロールを使用すると、RFCs、サービスリクエスト、インシデントレポートを送信およびモニタリングし、VPCsとスタックに関する情報を取得できます。
****
| ロール | ID プロバイダー | アクセス許可 |
| --- | --- | --- |
| Customer\$1ReadOnly\$1Role | SAML | 標準 AMS アカウントの場合。RFCs を送信して AMS が管理するインフラストラクチャを変更したり、サービスリクエストやインシデントを作成したりできます。 |
| Customer\$1managed\$1ad\$1user\$1role | SAML | AMS Managed Active Directory アカウントの場合。AMS コンソールにログインして、サービスリクエストとインシデント (RFCsなし) を作成できます。 |
異なるアカウントで使用可能なロールの完全なリストについては、「」を参照してください[AMS の IAM ユーザーロール](defaults-user-role.md)。
オンボーディングチームのメンバーは、フェデレーションソリューションから事前設定された ID プロバイダーにメタデータファイルをアップロードします。Shibboleth や Active Directory フェデレーションサービスなどの SAML 互換 IdP (ID プロバイダー) 間の信頼を確立し、組織内のユーザーが AWS リソースにアクセスできるようにする場合は、SAML ID プロバイダーを使用します。IAM の SAML ID プロバイダーは、上記のロールを持つ IAM 信頼ポリシーのプリンシパルとして使用されます。
他のフェデレーションソリューションは AWS の統合手順を提供しますが、AMS には個別の手順があります。次のブログ記事[「Windows Active Directory、AD FS、SAML 2.0 を使用した AWS へのフェデレーションの有効化](https://aws.amazon.com/blogs/security/enabling-federation-to-aws-using-windows-active-directory-adfs-and-saml-2-0/)」と以下の修正により、企業ユーザーは 1 つのブラウザから複数の AWS アカウントにアクセスできます。
ブログ投稿に従って証明書利用者の信頼を作成したら、次の方法でクレームルールを設定します。
+ **NameId**: ブログ記事に従ってください。
+ **RoleSessionName**: 次の値を使用します。
+ **クレームルール名**: RoleSessionName
+ **属性ストア**: Active Directory
+ **LDAP 属性**: SAM-Account-Name
+ **送信クレームタイプ**: https://aws.amazon.com/SAML/Attributes/RoleSessionName
+ AD グループを取得する: ブログ記事に従ってください。
+ ロールクレーム: ブログ記事に従いますが、カスタムルールには以下を使用します。
```
c:[Type == "http://temp/variable", Value =~ "(?i)^AWS-([^d]{12})-"]
=> issue(Type = "https://aws.amazon.com/SAML/Attributes/Role", Value = RegExReplace(c.Value, "AWS-([^d]{12})-",
"arn:aws:iam::$1:saml-provider/customer-readonly-saml,arn:aws:iam::$1:role/"));
```
AD FS を使用する場合は、次の表に示す形式でロールごとに Active Directory セキュリティグループを作成する必要があります (customer\$1managed\$1ad\$1user\$1role は AMS Managed AD アカウント専用です)。
****
| グループ | ロール |
| --- | --- |
| AWS-[AccountNo]-Customer\$1ReadOnly\$1Role | Customer\$1ReadOnly\$1Role |
| AWS-[AccountNo]-customer\$1managed\$1ad\$1user\$1role | Customer\$1managed\$1ad\$1user\$1role |
詳細については、[「認証レスポンスの SAML アサーションの設定](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml_assertions.html)」を参照してください。
**ヒント**
トラブルシューティングに役立つように、ブラウザの SAML トレーサープラグインをダウンロードします。
# AMS へのフェデレーションリクエストの送信
これが最初のアカウントである場合は、CSDM (複数可) または Cloud Architect (複数可) と協力して、ID プロバイダーのメタデータ XML ファイルを提供します。
追加のアカウントまたは ID プロバイダーをオンボーディングしていて、管理アカウントまたは目的のアプリケーションアカウントにアクセスできる場合は、次の手順に従います。
1. AMS コンソールからサービスリクエストを作成し、ID プロバイダーの追加に必要な詳細を指定します。
+ 新しい ID プロバイダーが作成されるアカウントの AccountId。
+ 希望する ID プロバイダー名を指定しない場合、デフォルトは **customer-saml** になります。通常、これはフェデレーションプロバイダーで設定された設定と一致する必要があります。
+ 既存のアカウントの場合、新しい ID プロバイダーを既存のすべてのコンソールロールに伝達するか、新しい ID プロバイダーを信頼するロールのリストを提供するかを含めます。
+ フェデレーションエージェントからサービスリクエストにエクスポートされたメタデータ XML ファイルをファイルアタッチメントとしてアタッチします。
1. サービスリクエストを作成したのと同じアカウントから、以下の情報を含む CT-ID ct-1e1xtak34nx76 (管理 \$1 その他 \$1 その他 \$1 作成) を使用して新しい RFC を作成します。
+ タイトル:「Onboard SAML IDP for Account 」。
+ ID プロバイダーが作成されるアカウントの AccountId。
+ ID プロバイダー名。
+ 既存のアカウントの場合: ID プロバイダーを既存のすべてのコンソールロールに伝達するか、新しい ID プロバイダーを信頼するロールのリストに伝達するか。
+ メタデータ XML ファイルがアタッチされているステップ 1 で作成されたサービスリクエストのケース ID。