

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# Verified Access 信頼プロバイダー
<a name="trust-providers"></a>

信頼プロバイダーは、ユーザーとデバイスに関する情報を に送信するサービスです AWS Verified Access。この情報はトラストコンテキストと呼ばれます。これには、メールアドレスや「営業」組織のメンバーなどのユーザー ID に基づく属性や、インストール済みのセキュリティパッチやウイルス対策ソフトウェアのバージョンなどのデバイス管理情報が含まれる場合があります。

Verified Access は、以下のカテゴリの信頼プロバイダーをサポートします。
+ **ユーザー ID** — ユーザーのデジタルアイデンティティを保存および管理する ID プロバイダー (IdP) サービス。
+ **デバイス管理** — ラップトップ、タブレット、スマートフォンなどのデバイス用のデバイス管理システム。

**Topics**
+ [Verified Access のユーザー ID 信頼プロバイダー](user-trust.md)
+ [Verified Access のデバイスベースの信頼プロバイダー](device-trust.md)

# Verified Access のユーザー ID 信頼プロバイダー
<a name="user-trust"></a>

 AWS IAM アイデンティティセンター または OpenID Connect 互換のユーザー ID 信頼プロバイダーのいずれかを使用できます。

**Topics**
+ [IAM アイデンティティセンター を信頼プロバイダーとして使用](#identity-center)
+ [OpenID Connect 信頼プロバイダーの使用](#oidc-provider)

## IAM アイデンティティセンター を信頼プロバイダーとして使用
<a name="identity-center"></a>

 AWS Verified Access では、*ユーザー ID *信頼プロバイダー AWS IAM アイデンティティセンター として を使用できます。

### 前提条件と考慮事項
<a name="create-idc-prereq"></a>
+ IAM Identity Center インスタンスは AWS Organizations インスタンスである必要があります。スタンドアロン AWS アカウントの IAM Identity Center インスタンスは機能しません。
+ IAM Identity Center インスタンスは、Verified Access 信頼プロバイダーを作成するリージョンと同じ AWS リージョンで有効にする必要があります。
+ Verified Access は、最大 1,000 のグループに割り当てられている IAM アイデンティティセンターのユーザーにアクセスを提供できます。

さまざまなインスタンスタイプの詳細については、AWS IAM アイデンティティセンター ユーザーガイドの「[IAM アイデンティティセンターの組織とアカウントインスタンスの管理](https://docs.aws.amazon.com/singlesignon/latest/userguide/identity-center-instances.html)」を参照してください。

### IAM アイデンティティセンター信頼プロバイダーの作成
<a name="create-identity-center"></a>

 AWS アカウントで IAM Identity Center を有効にしたら、次の手順を使用して、Verified Access の信頼プロバイダーとして IAM Identity Center を設定できます。

**IAM Identity Center 信頼プロバイダーを作成するには (AWS コンソール)**

1. Amazon VPC コンソールの [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) を開いてください。

1. ナビゲーションペインで、「** Verified Access 信頼プロバイダー**」を選択し、[** Verified Access 信頼プロバイダーの作成**] を選択します。

1. (オプション) [**名前タグ**] と [**説明**] に、信頼プロバイダーの名前と説明を入力します。

1. [**ポリシー参照名**] には、後でポリシールールを利用するときに使用する識別子を入力します。

1. [**信頼プロバイダのタイプ**] で、[**ユーザー信頼プロバイダー**] を選択します。

1. [**ユーザー信頼プロバイダのタイプ**] で [**IAM アイデンティティセンター**] を選択します。

1. (オプション) タグを追加するには、[**新しいタグを追加**] を選択し、そのタグのキーと値を入力してください。

1. [** Verified Access 信頼プロバイダーの作成**] を選択します。

**IAM Identity Center 信頼プロバイダーを作成するには (AWS CLI)**
+ [create-verified-access-trust-provider](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-verified-access-trust-provider.html) (AWS CLI)

### IAM アイデンティティセンターの信頼プロバイダーの削除
<a name="delete-identity-center"></a>

信頼プロバイダーを削除する前に、信頼プロバイダーが添付されているインスタンスからすべてのエンドポイントとグループ設定を削除する必要があります。

**IAM Identity Center 信頼プロバイダーを削除するには (AWS コンソール)**

1. Amazon VPC コンソールの [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) を開いてください。

1. ナビゲーションペインで [** Verified Access 信頼プロバイダー**] を選択し、[** Verified Access 信頼プロバイダー] で削除する信頼プロバイダーを選択します**。

1. 「**アクション**」、「** Verified Access 信頼プロバイダの削除**」の順に選択します。

1. テキストボックスに「`delete`」と入力して削除を確定します。

1. **[削除]** を選択します。

**IAM Identity Center 信頼プロバイダーを削除するには (AWS CLI)**
+ [delete-verified-access-trust-provider](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-verified-access-trust-provider.html) (AWS CLI)

## OpenID Connect 信頼プロバイダーの使用
<a name="oidc-provider"></a>

AWS Verified Access は、標準の OpenID Connect (OIDC) メソッドを使用する ID プロバイダーをサポートしています。Verified Access では、OIDC 互換プロバイダーをユーザー ID 信頼プロバイダーとして使用できます。ただし、潜在的な OIDC プロバイダーが多数存在するため、 AWS は Verified Access との各 OIDC 統合をテストできません。

Verified Access は、評価対象のトラストデータを OIDC プロバイダーの `UserInfo Endpoint` から取得します。この `Scope` パラメータは、検索するトラストデータのセットを決定するために使用されます。トラストデータを受信すると、Verified Access ポリシーがそのデータに対して評価されます。

2025 年 2 月 24 日に作成された信頼プロバイダーでは、OIDC 信頼プロバイダーからの ID トークンクレームが`addition_user_context`キーに含まれます。

2025 年 2 月 24 日より前に作成された信頼プロバイダーでは、Verified Access は OIDC プロバイダーによって`ID token`送信された からの信頼データを使用しません。`UserInfo Endpoint` からのトラストデータのみがポリシーに照らして評価されます。

2025 年 2 月 24 日に作成された信頼プロバイダーの場合、デフォルトのセッション期間は 1 日です。2025 年 2 月 24 日より前に作成された信頼プロバイダーの場合、デフォルトのセッション期間は 7 日間です。

更新トークンが指定されている場合、Verified Access は更新トークンの有効期限をセッション期間として使用します。更新トークンがない場合は、デフォルトのセッション期間が使用されます。

**Topics**
+ [OIDC 信頼プロバイダーを作成するための前提条件](#create-oidc-prereq)
+ [OIDC 信頼プロバイダーの作成](#create-oidc-provider)
+ [OIDC 信頼プロバイダーの変更](#modify-oidc-provider)
+ [OIDC 信頼プロバイダーの削除](#delete-oidc-provider)

### OIDC 信頼プロバイダーを作成するための前提条件
<a name="create-oidc-prereq"></a>

信頼プロバイダーサービスから次の情報を直接収集する必要があります。
+ Issuer 
+ 認可エンドポイント
+ トークンエンドポイント
+ UserInfo エンドポイント
+ クライアント ID
+ クライアントシークレット
+ スコープ

### OIDC 信頼プロバイダーの作成
<a name="create-oidc-provider"></a>

以下の手順に従って、信頼プロバイダーとして OIDC を作成します。

**OIDC 信頼プロバイダーを作成するには (AWS コンソール)**

1. Amazon VPC コンソールの [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) を開いてください。

1. ナビゲーションペインで、「** Verified Access 信頼プロバイダー**」を選択し、[** Verified Access 信頼プロバイダーの作成**] を選択します。

1. (オプション) [**名前タグ**] と [**説明**] に、信頼プロバイダーの名前と説明を入力します。

1. [**ポリシー参照名**] には、後でポリシールールを利用するときに使用する識別子を入力します。

1. [**信頼プロバイダのタイプ**] で、[**ユーザー信頼プロバイダー**] を選択します。

1. [**ユーザ信頼プロバイダのタイプ**] で、[**OIDC (OpenID Connect)**] を選択します。

1. **OIDC (OpenID Connect)** の場合は、信頼プロバイダーを選択します。

1. [**Issuer**] には、OIDC 発行者の ID を入力します。

1. **[認可エンドポイント]** には、認可エンドポイントの完全な URL を入力します。

1. [**トークンエンドポイント**] には、トークンエンドポイントの完全な URL を入力します。

1. [**ユーザーエンドポイント**] には、ユーザーエンドポイントの完全な URL を入力します。

1. (ネイティブアプリケーション OIDC) **パブリック署名キー URL** には、パブリック署名キーエンドポイントの完全な URL を入力します。

1. [**クライアント ID **]に、OAuth 2.0 クライアント ID を入力します。

1. **[クライアントシークレット**] に OAuth 2.0 クライアントシークレットを入力します。

1. ID プロバイダーで定義されている対象範囲のスペースで区切られたリストを入力します。openid スコープには、少なくとも**スコープ**が必要です。

1. (オプション) タグを追加するには、[**新しいタグを追加**] を選択し、そのタグのキーと値を入力してください。

1. [** Verified Access 信頼プロバイダーの作成**] を選択します。

1. OIDC プロバイダーの許可リストにリダイレクト URI を追加する必要があります。
   + HTTP アプリケーション – 次の URI を使用します: **https://application\$1domain/oauth2/idpresponse**。コンソールでは、Verified Access エンドポイント**の詳細**タブにアプリケーションドメインがあります。 AWS CLI または AWS SDK を使用すると、Verified Access エンドポイントを記述するときに、アプリケーションドメインが出力に含まれます。
   + TCP アプリケーション – 次の URI を使用します: **http://localhost:8000**。

**OIDC 信頼プロバイダーを作成するには (AWS CLI)**
+ [create-verified-access-trust-provider](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-verified-access-trust-provider.html) (AWS CLI)

### OIDC 信頼プロバイダーの変更
<a name="modify-oidc-provider"></a>

信頼プロバイダーの作成後、その設定を更新できます。

**OIDC 信頼プロバイダーを変更するには (AWS コンソール)**

1. Amazon VPC コンソールの [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) を開いてください。

1. ナビゲーションペインで [** Verified Access 信頼プロバイダー**] を選択し、[** Verified Access 信頼プロバイダー**] で変更する信頼プロバイダーを選択します。

1. [**アクション**]、[** Verified Access 信頼プロバイダの変更**] の順に選択します。

1. オプションを変更します。

1. [** Verified Access 信頼プロバイダーの変更**] を選択します。

**OIDC 信頼プロバイダーを変更するには (AWS CLI)**
+ [modify-verified-access-trust-provider](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-verified-access-trust-provider.html) (AWS CLI)

### OIDC 信頼プロバイダーの削除
<a name="delete-oidc-provider"></a>

ユーザーの信頼プロバイダーを削除する前に、まず信頼プロバイダーが添付されているインスタンスからすべてのエンドポイントとグループ設定を削除する必要があります。

**OIDC 信頼プロバイダーを削除するには (AWS コンソール)**

1. Amazon VPC コンソールの [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) を開いてください。

1. ナビゲーションペインで [** Verified Access 信頼プロバイダー**] を選択し、[** Verified Access 信頼プロバイダー] で削除する信頼プロバイダーを選択します**。

1. 「**アクション**」、「** Verified Access 信頼プロバイダの削除**」の順に選択します。

1. テキストボックスに「`delete`」と入力して削除を確定します。

1. **[削除]** を選択します。

**OIDC 信頼プロバイダーを削除するには (AWS CLI)**
+ [delete-verified-access-trust-provider](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-verified-access-trust-provider.html) (AWS CLI)

# Verified Access のデバイスベースの信頼プロバイダー
<a name="device-trust"></a>

 AWS Verified Access でデバイス信頼プロバイダーを使用できます。Verified Access インスタンスでは 1 つまたは複数のデバイス信頼プロバイダーを使用できます。

**Topics**
+ [サポートされているデバイス信頼プロバイダー](#supported-trust-providers)
+ [デバイスベースの信頼プロバイダーの作成](#create-device-trust)
+ [デバイスベースの信頼プロバイダーの変更](#modify-device-trust)
+ [デバイスベースの信頼プロバイダーの削除](#delete-device-trust)

## サポートされているデバイス信頼プロバイダー
<a name="supported-trust-providers"></a>

以下のデバイス信頼プロバイダーは Verified Access と統合できます。
+ CrowdStrike — [CrowdStrike と AWS Verified Access によるプライベートアプリケーションの保護](https://github.com/CrowdStrike/Cloud-AWS/tree/main/verified-access)
+ Jamf — [ Verified Access と Jamf デバイス ID の統合](https://learn.jamf.com/en-US/bundle/technical-paper-aws-verified-access/page/Overview.html)
+ JumpCloud – [ JumpCloud と AWS Verified Access の統合](https://jumpcloud.com/support/integrate-with-aws-verified-access)

## デバイスベースの信頼プロバイダーの作成
<a name="create-device-trust"></a>

これらの手順に従って、Verified Access で使用するデバイス信頼プロバイダーを作成して設定します。

**Verified Access デバイス信頼プロバイダーを作成するには (AWS コンソール)**

1. Amazon VPC コンソールの [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) を開いてください。

1. ナビゲーションペインで、「** Verified Access 信頼プロバイダー**」を選択し、[** Verified Access 信頼プロバイダーの作成**] を選択します。

1. (オプション) [**名前タグ**] と [**説明**] に、信頼プロバイダーの名前と説明を入力します。

1. **ポリシー参照名**のポリシールールを後で利用する際に使用する識別子を入力します。

1. [**信頼プロバイダーのタイプ**] には、[**デバイス ID**] を選択します。

1. **[デバイス ID タイプ]** には、**[Jamf]** または **[CrowdStrike]** または **[JumpCloud]** を選択します。

1. [**テナント ID**] には、テナントアプリケーションの識別子を入力します。

1. (オプション) **[パブリック署名キー URL]** には、デバイス信頼プロバイダーが共有する一意のキー URL を入力します。(このパラメータは Jamf、CrowdStrike、または JumpCloud では必要ありません。)

1. [** Verified Access 信頼プロバイダーの作成**] を選択します。

**注記**  
OIDC プロバイダーの許可リストにリダイレクト URI を追加する必要があります。このためは、Verified Access エンドポイントの `DeviceValidationDomain` を使用します。これは AWS マネジメントコンソール、Verified Access エンドポイント**の詳細**タブの 、または AWS CLI を使用してエンドポイントを記述することで確認できます。OIDC プロバイダーの許可リストに以下を追加してください。https://`DeviceValidationDomain`/oauth2/idpresponse

**Verified Access デバイス信頼プロバイダーを作成するには (AWS CLI)**
+ [create-verified-access-trust-provider](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-verified-access-trust-provider.html) (AWS CLI)

## デバイスベースの信頼プロバイダーの変更
<a name="modify-device-trust"></a>

信頼プロバイダーの作成後、その設定を更新できます。

**Verified Access デバイス信頼プロバイダーを変更するには (AWS コンソール)**

1. Amazon VPC コンソールの [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) を開いてください。

1. ナビゲーションペインで、[**Verified Access 信頼プロバイダー**] を選択します。

1. 信頼プロバイダーを選択します。

1. [**アクション**] を選択し、[**Verified Access 信頼プロバイダーの変更**] を選択します。

1. 必要に応じて説明を変更します。

1. (オプション) **[パブリック署名キー URL]** では、デバイス信頼プロバイダーが共有する一意のキー URL を変更します。(ご使用のデバイス信頼プロバイダーが Jamf、CrowdStrike、または JumpCloud の場合、このパラメータは必要ありません。)

1. [** Verified Access 信頼プロバイダーの変更**] を選択します。

**Verified Access デバイス信頼プロバイダーを変更するには (AWS CLI)**
+ [modify-verified-access-trust-provider](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-verified-access-trust-provider.html) (AWS CLI)

## デバイスベースの信頼プロバイダーの削除
<a name="delete-device-trust"></a>

不要になった信頼プロバイダーは、削除することができます。

**Verified Access デバイス信頼プロバイダーを削除するには (AWS コンソール)**

1. Amazon VPC コンソールの [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) を開いてください。

1. ナビゲーションペインで、[**Verified Access 信頼プロバイダー**] を選択します。

1. 「**Verified Access 信頼プロバイダー**」で、削除する信頼プロバイダーを選択します。

1. [**アクション**] を選択し、[**Verified Access 信頼プロバイダーの削除**] を選択します。

1. 確認を求められたら、「**delete**」と入力してから、[**Delete**] (削除) を選択します。

**Verified Access デバイス信頼プロバイダーを削除するには (AWS CLI)**
+ [delete-verified-access-trust-provider](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-verified-access-trust-provider.html) (AWS CLI)