翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# Verified Access のユーザー ID 信頼プロバイダー
AWS IAM アイデンティティセンター または OpenID Connect 互換のユーザー ID 信頼プロバイダーのいずれかを使用できます。
**Topics**
+ [IAM アイデンティティセンター を信頼プロバイダーとして使用](#identity-center)
+ [OpenID Connect 信頼プロバイダーの使用](#oidc-provider)
## IAM アイデンティティセンター を信頼プロバイダーとして使用
AWS Verified Access では、*ユーザー ID *信頼プロバイダー AWS IAM アイデンティティセンター として を使用できます。
### 前提条件と考慮事項
+ IAM Identity Center インスタンスは AWS Organizations インスタンスである必要があります。スタンドアロン AWS アカウントの IAM Identity Center インスタンスは機能しません。
+ IAM Identity Center インスタンスは、Verified Access 信頼プロバイダーを作成するリージョンと同じ AWS リージョンで有効にする必要があります。
+ Verified Access は、最大 1,000 のグループに割り当てられている IAM アイデンティティセンターのユーザーにアクセスを提供できます。
さまざまなインスタンスタイプの詳細については、AWS IAM アイデンティティセンター ユーザーガイドの「[IAM アイデンティティセンターの組織とアカウントインスタンスの管理](https://docs.aws.amazon.com/singlesignon/latest/userguide/identity-center-instances.html)」を参照してください。
### IAM アイデンティティセンター信頼プロバイダーの作成
AWS アカウントで IAM Identity Center を有効にしたら、次の手順を使用して、Verified Access の信頼プロバイダーとして IAM Identity Center を設定できます。
**IAM Identity Center 信頼プロバイダーを作成するには (AWS コンソール)**
1. Amazon VPC コンソールの [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) を開いてください。
1. ナビゲーションペインで、「** Verified Access 信頼プロバイダー**」を選択し、[** Verified Access 信頼プロバイダーの作成**] を選択します。
1. (オプション) [**名前タグ**] と [**説明**] に、信頼プロバイダーの名前と説明を入力します。
1. [**ポリシー参照名**] には、後でポリシールールを利用するときに使用する識別子を入力します。
1. [**信頼プロバイダのタイプ**] で、[**ユーザー信頼プロバイダー**] を選択します。
1. [**ユーザー信頼プロバイダのタイプ**] で [**IAM アイデンティティセンター**] を選択します。
1. (オプション) タグを追加するには、[**新しいタグを追加**] を選択し、そのタグのキーと値を入力してください。
1. [** Verified Access 信頼プロバイダーの作成**] を選択します。
**IAM Identity Center 信頼プロバイダーを作成するには (AWS CLI)**
+ [create-verified-access-trust-provider](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-verified-access-trust-provider.html) (AWS CLI)
### IAM アイデンティティセンターの信頼プロバイダーの削除
信頼プロバイダーを削除する前に、信頼プロバイダーが添付されているインスタンスからすべてのエンドポイントとグループ設定を削除する必要があります。
**IAM Identity Center 信頼プロバイダーを削除するには (AWS コンソール)**
1. Amazon VPC コンソールの [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) を開いてください。
1. ナビゲーションペインで [** Verified Access 信頼プロバイダー**] を選択し、[** Verified Access 信頼プロバイダー] で削除する信頼プロバイダーを選択します**。
1. 「**アクション**」、「** Verified Access 信頼プロバイダの削除**」の順に選択します。
1. テキストボックスに「`delete`」と入力して削除を確定します。
1. **[削除]** を選択します。
**IAM Identity Center 信頼プロバイダーを削除するには (AWS CLI)**
+ [delete-verified-access-trust-provider](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-verified-access-trust-provider.html) (AWS CLI)
## OpenID Connect 信頼プロバイダーの使用
AWS Verified Access は、標準の OpenID Connect (OIDC) メソッドを使用する ID プロバイダーをサポートしています。Verified Access では、OIDC 互換プロバイダーをユーザー ID 信頼プロバイダーとして使用できます。ただし、潜在的な OIDC プロバイダーが多数存在するため、 AWS は Verified Access との各 OIDC 統合をテストできません。
Verified Access は、評価対象のトラストデータを OIDC プロバイダーの `UserInfo Endpoint` から取得します。この `Scope` パラメータは、検索するトラストデータのセットを決定するために使用されます。トラストデータを受信すると、Verified Access ポリシーがそのデータに対して評価されます。
2025 年 2 月 24 日に作成された信頼プロバイダーでは、OIDC 信頼プロバイダーからの ID トークンクレームが`addition_user_context`キーに含まれます。
2025 年 2 月 24 日より前に作成された信頼プロバイダーでは、Verified Access は OIDC プロバイダーによって`ID token`送信された からの信頼データを使用しません。`UserInfo Endpoint` からのトラストデータのみがポリシーに照らして評価されます。
2025 年 2 月 24 日に作成された信頼プロバイダーの場合、デフォルトのセッション期間は 1 日です。2025 年 2 月 24 日より前に作成された信頼プロバイダーの場合、デフォルトのセッション期間は 7 日間です。
更新トークンが指定されている場合、Verified Access は更新トークンの有効期限をセッション期間として使用します。更新トークンがない場合は、デフォルトのセッション期間が使用されます。
**Topics**
+ [OIDC 信頼プロバイダーを作成するための前提条件](#create-oidc-prereq)
+ [OIDC 信頼プロバイダーの作成](#create-oidc-provider)
+ [OIDC 信頼プロバイダーの変更](#modify-oidc-provider)
+ [OIDC 信頼プロバイダーの削除](#delete-oidc-provider)
### OIDC 信頼プロバイダーを作成するための前提条件
信頼プロバイダーサービスから次の情報を直接収集する必要があります。
+ Issuer
+ 認可エンドポイント
+ トークンエンドポイント
+ UserInfo エンドポイント
+ クライアント ID
+ クライアントシークレット
+ スコープ
### OIDC 信頼プロバイダーの作成
以下の手順に従って、信頼プロバイダーとして OIDC を作成します。
**OIDC 信頼プロバイダーを作成するには (AWS コンソール)**
1. Amazon VPC コンソールの [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) を開いてください。
1. ナビゲーションペインで、「** Verified Access 信頼プロバイダー**」を選択し、[** Verified Access 信頼プロバイダーの作成**] を選択します。
1. (オプション) [**名前タグ**] と [**説明**] に、信頼プロバイダーの名前と説明を入力します。
1. [**ポリシー参照名**] には、後でポリシールールを利用するときに使用する識別子を入力します。
1. [**信頼プロバイダのタイプ**] で、[**ユーザー信頼プロバイダー**] を選択します。
1. [**ユーザ信頼プロバイダのタイプ**] で、[**OIDC (OpenID Connect)**] を選択します。
1. **OIDC (OpenID Connect)** の場合は、信頼プロバイダーを選択します。
1. [**Issuer**] には、OIDC 発行者の ID を入力します。
1. **[認可エンドポイント]** には、認可エンドポイントの完全な URL を入力します。
1. [**トークンエンドポイント**] には、トークンエンドポイントの完全な URL を入力します。
1. [**ユーザーエンドポイント**] には、ユーザーエンドポイントの完全な URL を入力します。
1. (ネイティブアプリケーション OIDC) **パブリック署名キー URL** には、パブリック署名キーエンドポイントの完全な URL を入力します。
1. [**クライアント ID **]に、OAuth 2.0 クライアント ID を入力します。
1. **[クライアントシークレット**] に OAuth 2.0 クライアントシークレットを入力します。
1. ID プロバイダーで定義されている対象範囲のスペースで区切られたリストを入力します。openid スコープには、少なくとも**スコープ**が必要です。
1. (オプション) タグを追加するには、[**新しいタグを追加**] を選択し、そのタグのキーと値を入力してください。
1. [** Verified Access 信頼プロバイダーの作成**] を選択します。
1. OIDC プロバイダーの許可リストにリダイレクト URI を追加する必要があります。
+ HTTP アプリケーション – 次の URI を使用します: **https://application\$1domain/oauth2/idpresponse**。コンソールでは、Verified Access エンドポイント**の詳細**タブにアプリケーションドメインがあります。 AWS CLI または AWS SDK を使用すると、Verified Access エンドポイントを記述するときに、アプリケーションドメインが出力に含まれます。
+ TCP アプリケーション – 次の URI を使用します: **http://localhost:8000**。
**OIDC 信頼プロバイダーを作成するには (AWS CLI)**
+ [create-verified-access-trust-provider](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-verified-access-trust-provider.html) (AWS CLI)
### OIDC 信頼プロバイダーの変更
信頼プロバイダーの作成後、その設定を更新できます。
**OIDC 信頼プロバイダーを変更するには (AWS コンソール)**
1. Amazon VPC コンソールの [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) を開いてください。
1. ナビゲーションペインで [** Verified Access 信頼プロバイダー**] を選択し、[** Verified Access 信頼プロバイダー**] で変更する信頼プロバイダーを選択します。
1. [**アクション**]、[** Verified Access 信頼プロバイダの変更**] の順に選択します。
1. オプションを変更します。
1. [** Verified Access 信頼プロバイダーの変更**] を選択します。
**OIDC 信頼プロバイダーを変更するには (AWS CLI)**
+ [modify-verified-access-trust-provider](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-verified-access-trust-provider.html) (AWS CLI)
### OIDC 信頼プロバイダーの削除
ユーザーの信頼プロバイダーを削除する前に、まず信頼プロバイダーが添付されているインスタンスからすべてのエンドポイントとグループ設定を削除する必要があります。
**OIDC 信頼プロバイダーを削除するには (AWS コンソール)**
1. Amazon VPC コンソールの [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) を開いてください。
1. ナビゲーションペインで [** Verified Access 信頼プロバイダー**] を選択し、[** Verified Access 信頼プロバイダー] で削除する信頼プロバイダーを選択します**。
1. 「**アクション**」、「** Verified Access 信頼プロバイダの削除**」の順に選択します。
1. テキストボックスに「`delete`」と入力して削除を確定します。
1. **[削除]** を選択します。
**OIDC 信頼プロバイダーを削除するには (AWS CLI)**
+ [delete-verified-access-trust-provider](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-verified-access-trust-provider.html) (AWS CLI)