翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# Amazon WorkSpaces Secure Browser での ID プロバイダーの設定
<a name="configure-idp-step1"></a>

ID プロバイダーを設定するには、以下の手順に従います。

1. 作成ウィザードの **[ID プロバイダーを設定]** ページで、**[スタンダード]** を選択します。

1. **[標準 IdP で続行]** を選択します。

1. SP メタデータファイルをダウンロードします。個々のメタデータ値のタブは開いたままにしておきます。
   + SP メタデータファイルを使用できる場合は、**[メタデータファイルをダウンロード]** を選択してサービスプロバイダー (SP) メタデータドキュメントをダウンロードし、次の手順でサービスプロバイダーメタデータファイルを IdP にアップロードします。この操作を行わないと、ユーザーはサインインできません。
   + プロバイダーが SP メタデータファイルをアップロードしない場合は、メタデータ値を手動で入力します。

1. **[SAML サインインタイプを選択]** で、**[SP および IdP によって開始された SAML アサーション]** または **[SP によって開始された SAML アサーションのみ]** を選択します。
   + **[SP および IdP によって開始された SAML アサーション]** を選択すると、ポータルで両方のタイプのサインインフローがサポートされます。IdP 開始フローをサポートするポータルでは、ユーザーがポータル URL にアクセスしてセッションを開始する必要はなく、IdP から直接 SAML アサーションをサービス ID フェデレーションエンドポイントに送信できます。
     + このオプションを選択すると、ポータルは未承諾の IdP 開始 SAML アサーションを受け入れるようになります。
     + このオプションでは、SAML 2.0 ID プロバイダーで **[デフォルトのリレー状態]** を設定する必要があります。ポータルのリレー状態パラメータは、コンソールの **[IdP によって開始された SAML サインイン]** で確認できます。または、SP メタデータファイルの `<md:IdPInitRelayState>` からコピーすることもできます。
     +  メモ
       + リレー状態の形式は次のとおりです: `redirect_uri=https%3A%2F%2Fportal-id.workspaces-web.com%2Fsso&response_type=code&client_id=1example23456789&identity_provider=Example-Identity-Provider`。
       + SP メタデータファイルから値をコピーして貼り付ける場合は、`&amp; ` を `&` に変更してください。`&amp;` は XML エスケープ文字です。
   + ポータルで SP 開始のサインインフローのみをサポートするように設定するには、**[SP によって開始された SAML アサーションのみ]** を選択します。このオプションでは、IdP 開始のサインインフローからの未承諾の SAML アサーションは拒否されます。
**注記**  
一部のサードパーティー IdP では、SP 開始フローを活用して IdP 開始の認証エクスペリエンスを提供するカスタム SAML アプリケーションを作成できます。例については、「[Okta ブックマークアプリケーションを追加する](https://help.okta.com/oag/en-us/content/topics/access-gateway/add-app-saml-pass-thru-add-bookmark.htm)」を参照してください。

1. **[このプロバイダーへの SAML リクエストに署名する]** を有効にするかどうかを選択します。SP 開始の認証により、IdP は認証リクエストがポータルから送信されていることを検証できるため、他のサードパーティーからのリクエストを受け付けないようにできます。

   1. 署名証明書をダウンロードし、IdP にアップロードします。同じ署名証明書をシングルログアウトに使用できます。

   1. IdP で署名付きリクエストを有効にします。名称は IdP によって異なる場合があります。
**注記**  
RSA-SHA256 は、サポートされている唯一のリクエスト署名アルゴリズムであり、デフォルトのリクエスト署名アルゴリズムでもあります。

1. **[暗号化された SAML アサーションが必要]** を有効にするかどうかを選択します。有効にすると、IdP から送信される SAML アサーションを暗号化できます。これにより、IdP と WorkSpaces Secure Browser 間の SAML アサーションでデータが傍受されるのを防ぐことができます。
**注記**  
暗号化証明書はこのステップでは利用できません。この証明書はポータルの起動後に作成されます。ポータルを起動したら、暗号化証明書をダウンロードし、IdP にアップロードします。次に、IdP でアサーションの暗号化を有効にします (名称は IdP によって異なる場合があります)。

1. **[シングルログアウト]** を有効にするかどうかを選択します。シングルサインアウトを有効にすると、エンドユーザーは 1 アクションで IdP と WorkSpaces Secure Browser の両方のセッションからサインアウトできるようになります。

   1. WorkSpaces Secure Browser から署名証明書をダウンロードし、IdP にアップロードします。これは、前のステップで **[リクエスト署名]** に使用したものと同じ署名証明書です。

   1. **[シングルログアウト]** を使用するには、SAML 2.0 ID プロバイダーで **[シングルログアウト URL]** を設定する必要があります。ポータルの**シングルログアウト URL** は、コンソールの **[サービスプロバイダー (SP) の詳細] - [個々のメタデータ値を表示]** で確認できます。または、SP メタデータファイルの `<md:SingleLogoutService>` からも確認できます。

   1. IdP で **[シングルログアウト]** を有効にします。名称は IdP によって異なる場合があります。