翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# WorkSpaces Personal で SAML 2.0 を設定する
SAML 2.0 を使用して ID フェデレーションを設定することにより、ユーザーの SAML 2.0 ID プロバイダー (IdP) 認証情報と認証方法を使用して WorkSpaces クライアントアプリケーションの登録と WorkSpaces へのサインインを有効にします。SAML 2.0 を使用した ID フェデレーションを設定するには、IAM ロールとリレーステート URL を使用して、IdP を設定し、 AWSを有効にします。これにより、フェデレーションユーザーに対して WorkSpaces ディレクトリへのアクセス権が付与されます。リレーステートは、 AWSに正常にサインインした後にユーザーが転送される WorkSpaces ディレクトリエンドポイントです。
**Topics**
+ [要件](#setting-up-saml-requirements)
+ [前提条件](#setting-up-saml-prerequisites)
+ [ステップ 1: IAM で SAML ID AWS プロバイダーを作成する](#create-saml-identity-provider)
+ [ステップ 2: SAML 2.0 フェデレーション IAM ロールを作成する](#create-saml-iam-role)
+ [ステップ 3: IAM ロールにインラインポリシーを埋め込む](#embed-inline-policy)
+ [ステップ 4: SAML 2.0 ID プロバイダーを設定する](#configure-saml-id-provider)
+ [ステップ 5: SAML 認証レスポンスのアサーションを作成する](#create-assertions-saml-auth)
+ [ステップ 6: フェデレーションのリレーステートを設定する](#configure-relay-state)
+ [ステップ 7: WorkSpaces ディレクトリで SAML 2.0 との統合を有効にする](#enable-integration-saml)
## 要件
+ SAML 2.0 認証は、以下のリージョンで使用できます。
+ 米国東部 (バージニア北部) リージョン
+ 米国西部 (オレゴン) リージョン
+ アフリカ (ケープタウン) リージョン
+ アジアパシフィック (ムンバイ) リージョン
+ アジアパシフィック (ソウル) リージョン
+ アジアパシフィック (シンガポール) リージョン
+ アジアパシフィック (シドニー) リージョン
+ アジアパシフィック (東京) リージョン
+ カナダ (中部) リージョン
+ 欧州 (フランクフルト) リージョン
+ 欧州 (アイルランド) リージョン
+ 欧州 (ロンドン) リージョン
+ 南米 (サンパウロ) リージョン
+ イスラエル (テルアビブ) リージョン
+ AWS GovCloud (米国西部)
+ AWS GovCloud (米国東部)
+ WorkSpaces で SAML 2.0 認証を使用する場合、IdP は、ディープリンクターゲットリソースまたはリレーステートエンドポイントの URL を使用して、未承諾の IdP を起点とする SSO をサポートする必要があります。IdP の例には、ADFS、Azure AD、Duo Single Sign-On、Okta、PingFederate、および PingOne などがあります。詳細については、IdP のユーザードキュメントを参照してください。
+ SAML 2.0 認証は、Simple AD を使用して起動された WorkSpaces で機能しますが、Simple AD は SAML 2.0 IdP と統合されないため、これは推奨されません。
+ SAML 2.0 認証は、次の WorkSpaces クライアントでサポートされています。SAML 2.0 認証は、他のクライアントバージョンではサポートされていません。Amazon WorkSpaces の [[クライアントダウンロード]](https://clients.amazonworkspaces.com/) を開いて、最新バージョンを確認します。
+ Windows クライアントアプリケーションのバージョン 5.1.0.3029 以降
+ macOS クライアントバージョン 5.x 以降
+ Ubuntu 22.04 バージョン 2024.1 以降、Ubuntu 20.04 バージョン 24.1 以降向けの Linux クライアント
+ Web Access
他のクライアントバージョンは、フォールバックが有効になっていない限り、SAML 2.0 認証が有効になっている WorkSpaces に接続できません。詳細については、「[WorkSpaces ディレクトリで SAML 2.0 認証を有効にする](https://d1.awsstatic.com/workspaces-saml-guide.pdf)」を参照してください。
ADFS、Azure AD、Duo Single Sign-On、Okta、OneLogin、PingFederate、PingOne for Enterprise を使用して SAML 2.0 を WorkSpaces と統合する手順については、「[Amazon WorkSpaces SAML Authentication Implementation Guide](https://d1.awsstatic.com/workspaces-saml-guide.pdf)」を参照してください。
## 前提条件
WorkSpaces ディレクトリへの SAML 2.0 ID プロバイダー (IdP) 接続を設定する前に、以下の前提条件を満たしていることを確認してください。
1. WorkSpaces ディレクトリで使用する Microsoft Active Directory からのユーザー ID を統合するように IdP を設定します。WorkSpace を持つユーザーの場合、IdP を使用して WorkSpaces にサインインするには、Active Directory ユーザーおよび SAML クレーム値の **sAMAccountName** 属性と **email** 属性が一致している必要があります。Active Directory を IdP と統合する方法の詳細については、IdP のドキュメントを参照してください。
1. AWSとの信頼関係を確立するために IdP を設定します。
+ AWS フェデレーションの設定の詳細については、[「サードパーティーの SAML ソリューションプロバイダーと の統合 AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_saml_3rd-party.html)」を参照してください。関連する例には、 AWS 管理コンソールにアクセスするための IdP と AWS IAM の統合が含まれます。
+ IdP を使用して、組織を IdP として定義するフェデレーションメタデータドキュメントを生成し、ダウンロードします。署名されたこの XML ドキュメントは、証明書利用者の信頼を確立するために使用されます。後で IAM コンソールからアクセスできる場所にこのファイルを保存します。
1. WorkSpaces 管理コンソールを使用して、WorkSpaces のディレクトリを作成または登録します。詳細については、「[WorkSpaces のディレクトリを管理する](https://docs.aws.amazon.com/workspaces/latest/adminguide/manage-workspaces-directory.html)」を参照してください。WorkSpaces の SAML 2.0 認証は、次のディレクトリタイプでサポートされています。
+ AD Connector
+ AWS Managed Microsoft AD
1. サポートされているディレクトリタイプを使用して IdP にサインインできるユーザー用の WorkSpace を作成します。WorkSpaces 管理コンソール、 AWS CLI、または WorkSpaces API を使用して WorkSpace を作成できます。詳細については、「[WorkSpaces を使用して仮想デスクトップを起動する](https://docs.aws.amazon.com/workspaces/latest/adminguide/launch-workspaces-tutorials.html)」を参照してください。
## ステップ 1: IAM で SAML ID AWS プロバイダーを作成する
まず、IAM で SAML IdP AWS を作成します。この IdP は、組織内の IdP ソフトウェアによって生成されたメタデータドキュメントを使用して、組織の IdP とAWS 信頼の関係を定義します。詳細については、「[SAML ID プロバイダーの作成と管理 (Amazon Web Services 管理コンソール)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml.html#idp-manage-identityprovider-console)」を参照してください。 AWS GovCloud (米国西部) および GovCloud AWS GovCloud (米国東部) で SAML IdPs[AWS 「Identity and Access Management](https://docs.aws.amazon.com/govcloud-us/latest/UserGuide/govcloud-iam.html)」を参照してください。
## ステップ 2: SAML 2.0 フェデレーション IAM ロールを作成する
次に、SAML 2.0 フェデレーション IAM ロールを作成します。この手順では、IAM と組織の IdP 間に、IdP をフェデレーションの信頼されるエンティティと識別する信頼関係を確立します。
SAML IdP への IAM ロールを作成するには
1. IAM コンソール ([https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)) を開きます。
1. ナビゲーションペインで **[ロール]** を選択してから、**[ロールを作成する]** を選択します。
1. [**ロールタイプ**] で [**SAML 2.0 フェデレーション**] を選択します。
1. **[SAML プロバイダー]** で、作成した SAML IdP を選択します。
**重要**
2 つの SAML 2.0 アクセスメソッド ([**プログラムによるアクセスのみを許可する**] または [**プログラムによるアクセスと Amazon Web Services マネジメントコンソールによるアクセスを許可する**]) のいずれも選択しないでください。
1. [**属性**] で 、[**SAML:sub\_type**] を選択します。
1. **[値]** に「`persistent`」と入力します。この値は、値が persistent の SAML サブジェクトタイプアサーションを含む SAML ユーザーストリーミングリクエストへのロールアクセスを制限します。SAML:sub\_type が persistent の場合、IdP は特定のユーザーからのすべての SAML リクエストで同じ一意の値を NameID 要素に送信します。SAML:sub\_type アサーションの詳細については、[「API アクセスに AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_saml.html#CreatingSAML-configuring)**SAML ベースのフェデレーションを使用する」の「SAML ベースのフェデレーションでユーザーを一意に識別**する」セクションを参照してください。
1. 正しい信頼されたエンティティおよび条件を確認して SAML 2.0 の信頼情報を確かめたら、[**次: アクセス許可**] を選択します。
1. [**アクセス権限ポリシーをアタッチする**] ページで、[**Next: Tags**] を選択します。
1. (オプション) 追加する各タグのキーと値を入力します。詳細については、「[IAM ユーザーとロールのタグ付け](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html)」を参照してください。
1. 終了したら、[**Next: Review**] を選択します。後でこのロールにインラインポリシーを作成して埋め込みます。
1. [**Role name**] (ロール名) に、このロールの目的を識別できる名前を入力します。なぜなら複数エンティティがロールを参照している可能性があります。ロールが作成された後のロールの名前の編集はできません。
1. (オプション) **[ロールの説明]** に、新しいロールの説明を入力します。
1. ロールの詳細を確認し、[**ロールの作成**] を選択します。
1. 新しい IAM ロールの信頼ポリシーに sts:TagSession アクセス権限を追加します。詳細については、「[AWS STSでのセッションタグの受け渡し](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_session-tags.html)」を参照してください。新しい IAM ロールの詳細ページで、**[Trust relationships]** (信頼関係) タブを選択してから、**[Edit trust relationship]** (信頼関係の編集) を選択します。信頼関係の編集ポリシーエディタが開いたら、**[sts:TagSession\*]** アクセス許可を次のように設定します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Federated": "arn:aws:iam::{{111122223333}}:saml-provider/IDENTITY-PROVIDER"
},
"Action": [
"sts:AssumeRoleWithSAML",
"sts:TagSession"
],
"Condition": {
"StringEquals": {
"SAML:aud": "https://signin.aws.amazon.com/saml"
}
}
}
]
}
```
------
`IDENTITY-PROVIDER` をステップ 1 で作成した SAML IdP の名前で置き換えます。次に、[**Update Trust Policy**] (信頼ポリシーの更新) を選択します。
## ステップ 3: IAM ロールにインラインポリシーを埋め込む
次に、作成したロールにインライン IAM ポリシーを埋め込みます。インラインポリシーを埋め込むと、ポリシーのアクセス許可が、間違ったプリンシパルエンティティにアタッチされることを回避できます。インラインポリシーは、フェデレーションユーザーに WorkSpaces ディレクトリへのアクセスを提供します。
**重要**
ソース IP AWS に基づいて へのアクセスを管理する IAM ポリシーは、 `workspaces:Stream`アクションではサポートされていません。WorkSpaces の IP アクセスコントロールを管理するには、[IP アクセスコントロールグループ](https://docs.aws.amazon.com/workspaces/latest/adminguide/amazon-workspaces-ip-access-control-groups.html)を使用します。さらに、SAML 2.0 認証を使用する場合は、SAML 2.0 IdP から利用可能な IP アクセスコントロールポリシーを使用できます。
1. 作成した IAM ロールの詳細で、**[Permissions]** (アクセス許可) タブを選択し、必要なアクセス許可を、ロールのアクセス許可ポリシーに追加します。**[Create policy wizard]** (ポリシーの作成ウィザード) が起動します。
1. [**ポリシーの作成**] で、[**JSON**] タブを選択します。
1. 次の JSON ポリシーを JSON ウィンドウにコピーして貼り付けます。次に、 AWS リージョンコード、アカウント ID、ディレクトリ ID を入力してリソースを変更します。以下のポリシーでは、`"Action": "workspaces:Stream"` は、WorkSpaces ディレクトリのデスクトップセッションに接続する権限を WorkSpaces ユーザーに提供するアクションです。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "workspaces:Stream",
"Resource": "arn:aws:workspaces:us-east-1:123456789012:directory/DIRECTORY-ID",
"Condition": {
"StringEquals": {
"workspaces:userId": "${saml:sub}"
}
}
}
]
}
```
------
を WorkSpaces ディレクトリが存在する AWS リージョン`REGION-CODE`に置き換えます。`DIRECTORY-ID` を WorkSpaces 管理コンソールで確認できる WorkSpaces ディレクトリ ID に置換します。 AWS GovCloud (米国西部) または AWS GovCloud (米国東部) のリソースの場合、ARN には の形式を使用します`arn:aws-us-gov:workspaces:REGION-CODE:ACCOUNT-ID-WITHOUT-HYPHENS:directory/DIRECTORY-ID`。
1. 完了したら、[**ポリシーの確認**] をクリックします。構文エラーがある場合は、「[ポリシーの検証](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_policy-validator.html)」によってレポートされます。
## ステップ 4: SAML 2.0 ID プロバイダーを設定する
次に、SAML 2.0 IdP によっては、[https://signin.aws.amazon.com/static/saml-metadata.xml](https://signin.aws.amazon.com/static/saml-metadata.xml) の`saml-metadata.xml`ファイルを IdP にアップロードして、サービスプロバイダー AWS として信頼するように IdP を手動で更新する必要がある場合があります。このステップは、IdP のメタデータを更新します。一部の IdP では、すでに更新が設定されています。この場合は、次のステップに進みます。
IdP でこの更新がまだ設定されていない場合には、IdP から提供されるドキュメントでメタデータを更新する方法に関する情報を確認します。プロバイダーによっては、URL を入力し、また IdP によってファイルを取得してインストールするオプションが提供されます。また、URL からファイルをダウンロードし、ローカルファイルとして指定する必要があるプロバイダーもあります。
**重要**
このとき、IdP のユーザーに、IdP で設定した WorkSpaces アプリケーションへのアクセスを許可することもできます。ディレクトリの WorkSpaces アプリケーションにアクセスする権限を与えられているユーザーに対して、自動的に WorkSpace が作成されるわけではありません。同様に、WorkSpace が作成されるユーザーに対して、自動的に WorkSpaces アプリケーションへのアクセス権が与えられるわけではありません。SAML 2.0 認証を使用して WorkSpace に正常に接続するには、ユーザーが IdP によって承認され、WorkSpace が作成されている必要があります。
**注記**
エンドユーザーが同じ SAML 2.0 ID プロバイダー (IdP) を使用しているときに複数の異なる WorkSpaces ユーザー ID を頻繁に切り替える場合は、ログイン試行のたびに IdP が強制認証 (ForceAuthn) するように設定されていることを確認します。これにより、IdP が既存の SSO セッションを再利用できなくなり、ユーザーが別の WorkSpace に切り替えているときに認証が失敗する可能性があります。ForceAuthn (または同等のもの) 設定を有効にする方法については、IdP のドキュメントを参照してください。
## ステップ 5: SAML 認証レスポンスのアサーションを作成する
次に、IdP が認証レスポンスで SAML 属性 AWS として に送信する情報を設定します。IdP によっては、既に設定されています。その場合、「[ステップ 6: フェデレーションのリレーステートを設定する](https://docs.aws.amazon.com/workspaces/latest/adminguide/setting-up-saml.html#configure-relay-state)」へ進んでください。
この情報がまだ IdP で設定されていない場合は、次の操作を実行します。
+ **SAML Subject NameID (SAML サブジェクト名 ID)** – 署名するユーザーの一意の識別子。値は WorkSpaces ユーザー名と一致する必要があります。通常は、Active Directory ユーザー用の **sAMAccountName** 属性です。
+ **SAML Subject Type (SAML サブジェクトタイプ)** (値を `persistent` に設定) – 値を `persistent` に設定すると、特定のユーザーからのすべての SAML リクエストの `NameID` 要素に同じ一意の値を IdP が送信することを確保できます。[ステップ 2: SAML 2.0 フェデレーション IAM ロールを作成する](https://docs.aws.amazon.com/appstream2/latest/developerguide/external-identity-providers-setting-up-saml.html#external-identity-providers-grantperms)で説明されているように、SAML sub\_type が `persistent` に設定されている SAML リクエストのみを許可する条件が IAM ポリシーに含まれていることを確認します。
+ **`Attribute` 要素 (`Name` 属性が `https://aws.amazon.com/SAML/Attributes/Role` に設定)** – この要素には、IdP によってマッピングされたユーザーの IAM ロールと SAML IdP を一覧表示する 1 つ以上の `AttributeValue` 要素が含まれます。このロールと IdP は、カンマ区切りの ARN のペアとして指定されます。予期される値の例は `arn:aws:iam::ACCOUNTNUMBER:role/ROLENAME,arn:aws:iam::ACCOUNTNUMBER:saml-provider/PROVIDERNAME` です。
+ **`Attribute` `Name` 属性が に設定されている 要素 `https://aws.amazon.com/SAML/Attributes/RoleSessionName`** – この要素には、SSO 用に発行される AWS 一時的な認証情報の識別子を提供する `AttributeValue` 要素が 1 つ含まれています。`AttributeValue` 要素の値は 2~64 文字とし、英数字、アンダースコア、および **\_ . : / = \+ - @** のみを含めることができます。スペースを含めることはできません。値は通常、E メールアドレスまたはユーザープリンシパル名 (UPN) です。ユーザーの表示名のように、スペースを含む値とすることはできません。
+ **`Attribute` 要素 (`Name` 属性を `https://aws.amazon.com/SAML/Attributes/PrincipalTag:Email` に設定)** – この要素には、ユーザーの E メールアドレスを指定する `AttributeValue` 要素が含まれます。この値は、WorkSpaces ディレクトリで定義されている WorkSpaces ユーザーの E メールアドレスと一致する必要があります。タグ値には、文字、数字、スペース、および特殊文字 (**\_ . : / = \+ - @**) の組み合わせを含めることができます。詳細については、IAM ユーザーガイドの「[IAM および AWS STSでのタグ付けの規則](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html#id_tags_rules)」を参照してください。
+ **`Attribute` 要素 (`Name` 属性を `https://aws.amazon.com/SAML/Attributes/PrincipalTag:UserPrincipalName` に設定) (オプション)** — この要素には、サインインしているユーザーの Active Directory `userPrincipalName` を指定する `AttributeValue` 要素が 1 つ含まれています。値は `username@domain.com` の形式で指定する必要があります。このパラメータは、証明書ベースの認証で、エンドユーザー証明書のサブジェクト代替名として使用します。詳細については、「証明書ベースの認証」を参照してください。
+ **`Attribute` 要素 (`Name` 属性を `https://aws.amazon.com/SAML/Attributes/PrincipalTag:ObjectSid` に設定) (オプション)** — この要素には、サインインしているユーザーの Active Directory セキュリティ識別子 (SID) を指定する `AttributeValue` 要素が 1 つ含まれています。このパラメータを証明書ベースの認証で使用すると、Active Directory ユーザーへの強力なマッピングが可能になります。詳細については、「証明書ベースの認証」を参照してください。
+ **`Attribute` 要素 (`Name` 属性を `https://aws.amazon.com/SAML/Attributes/PrincipalTag:ClientUserName` に設定) (オプション)** — この要素には、代替ユーザー名形式を指定する `AttributeValue` 要素が 1 つ含まれています。`corp\username`、`corp.example.com\username`、`username@corp.example.com` などのユーザー名形式を必要とするユースケースで、WorkSpaces クライアントを使用してログインする場合は、この属性を使用します。タグのキーと値には、文字、数字、スペース、特殊文字 (**\_ : / . \+ = @ -**) の任意の組み合わせを使用できます。詳細については、IAM ユーザーガイドの「[IAM および AWS STSでのタグ付けの規則](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html#id_tags_rules)」を参照してください。`corp\username` または `corp.example.com\username` の形式を使用する場合は、SAML アサーションの **\\** を **/** に置き換えてください。
+ **`Name` 属性が https://aws.amazon.com/SAML/Attributes/PrincipalTag:Domain (オプション) に設定された `Attribute` 要素** – この要素には、サインインしているユーザーの Active Directory DNS 完全修飾ドメイン名 (FQDN) を提供する `AttributeValue` 要素が 1 つ含まれています。このパラメータは、ユーザーの Active Directory `userPrincipalName` に代替サフィックスが含まれている場合に、証明書ベースの認証で使用されます。値は、サブドメインを含め、`domain.com` で指定する必要があります。
+ **`Attribute` 要素 (`Name` 属性が https://aws.amazon.com/SAML/Attributes/SessionDuration に設定) (オプション)** – この要素には、再認証が必要となる前にユーザーがアクティブでいられるフェデレーティッドストリーミングセッションの最大時間を特定する 1 つの `AttributeValue` 要素が含まれています。デフォルト値は 3600 秒 (60 分) です。SAML IdP の詳細については、「[SAML `SessionDurationAttribute`](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml_assertions.html#saml_role-session-duration)」を参照してください。
**注記**
`SessionDuration` はオプションの属性ですが、これを SAML レスポンスに含めることをお勧めします。この属性を指定しない場合、セッション継続時間はデフォルト値の 3,600 秒 (60 分) に設定されます。WorkSpaces デスクトップセッションは、セッションの有効期限が切れると切断されます。
これらの要素を設定する方法については、「*IAM ユーザーガイド*」の「[認証レスポンスの SAML アサーションを設定する](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml_assertions.html)」を参照してください。IdP の特定の設定要件に関する詳細は、IdP のドキュメントを参照してください。
## ステップ 6: フェデレーションのリレーステートを設定する
次に、IdP を使用して WorkSpaces ディレクトリのリレーステートの URL を指すようにフェデレーションのリレーステートを設定します。による認証が成功すると AWS、ユーザーは WorkSpaces ディレクトリエンドポイントに誘導されます。このエンドポイントは、SAML 認証レスポンスでリレー状態として定義されます。
リレーステート URL は次の形式です。
```
https://relay-state-region-endpoint/sso-idp?registrationCode=registration-code
```
WorkSpaces ディレクトリ登録コード、およびディレクトリが位置するリージョンと関連付けられたリレーステートのエンドポイントから、リレーステートの URL を構築します。登録コードは WorkSpaces 管理コンソールで確認できます。
必要に応じて、WorkSpaces でクロスリージョンリダイレクトを使用している場合は、登録コードをプライマリリージョンおよびフェイルオーバーリージョンのディレクトリに関連付けられた完全修飾ドメイン名 (FQDN) に置き換えることができます。詳細については、「[ Amazon WorkSpaces のクロスリージョンリダイレクト](https://docs.aws.amazon.com/workspaces/latest/adminguide/cross-region-redirection.html)」を参照してください。クロスリージョンリダイレクトと SAML 2.0 認証を使用する場合、プライマリディレクトリとフェイルオーバーディレクトリの両方を SAML 2.0 認証に対して有効にし、各リージョンに関連付けられたリレーステートエンドポイントを使用して IdP で個別に設定する必要があります。これにより、ユーザーがサインインする前に WorkSpaces クライアントアプリケーションを登録するときに FQDN を正しく構成でき、フェイルオーバーイベント中にユーザーが認証できるようになります。
次の表は、WorkSpaces SAML 2.0 認証を利用できるリージョンのリレーステートエンドポイントを示しています。
**WorkSpaces SAML 2.0 認証が利用可能なリージョン**
| リージョン | リレーステートのエンドポイント |
| --- | --- |
| 米国東部 (バージニア北部) リージョン | [See the AWS documentation website for more details](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/setting-up-saml.html) |
| 米国西部 (オレゴン) リージョン | [See the AWS documentation website for more details](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/setting-up-saml.html) |
| アフリカ (ケープタウン) リージョン | workspaces.euc-sso.af-south-1.aws.amazon.com |
| アジアパシフィック (ムンバイ) リージョン | workspaces.euc-sso.ap-south-1.aws.amazon.com |
| アジアパシフィック (ソウル) リージョン | workspaces.euc-sso.ap-northeast-2.aws.amazon.com |
| アジアパシフィック (シンガポール) リージョン | workspaces.euc-sso.ap-southeast-1.aws.amazon.com |
| アジアパシフィック (シドニー) リージョン | workspaces.euc-sso.ap-southeast-2.aws.amazon.com |
| アジアパシフィック (東京) リージョン | workspaces.euc-sso.ap-northeast-1.aws.amazon.com |
| カナダ (中部) リージョン | workspaces.euc-sso.ca-central-1.aws.amazon.com |
| 欧州 (フランクフルト) リージョン | workspaces.euc-sso.eu-central-1.aws.amazon.com |
| 欧州 (アイルランド) リージョン | workspaces.euc-sso.eu-west-1.aws.amazon.com |
| 欧州 (ロンドン) リージョン | workspaces.euc-sso.eu-west-2.aws.amazon.com |
| 南米 (サンパウロ) リージョン | workspaces.euc-sso.sa-east-1.aws.amazon.com |
| イスラエル (テルアビブ) リージョン | workspaces.euc-sso.il-central-1.aws.amazon.com |
| AWS GovCloud (米国西部) | [See the AWS documentation website for more details](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/setting-up-saml.html) 詳細については、「*AWS GovCloud (US) ユーザーガイド*」の「[Amazon WorkSpaces](https://docs.aws.amazon.com/govcloud-us/latest/UserGuide/govcloud-workspaces.html)」を参照してください。 |
| AWS GovCloud (米国東部) | [See the AWS documentation website for more details](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/setting-up-saml.html) 詳細については、「*AWS GovCloud (US) ユーザーガイド*」の「[Amazon WorkSpaces](https://docs.aws.amazon.com/govcloud-us/latest/UserGuide/govcloud-workspaces.html)」を参照してください。 |
ID プロバイダー (IdP) によって開始されるフローでは、SAML 2.0 フェデレーションに使用するクライアントを指定できます。これを行うには、リレー状態 URL の末尾の `&client=` の後に、`native` または `web` を指定します。このパラメータがリレー状態の URL で指定されている場合、対応するセッションは指定されたクライアントで自動的に開始されます。
## ステップ 7: WorkSpaces ディレクトリで SAML 2.0 との統合を有効にする
WorkSpaces ディレクトリで SAML 2.0 認証を有効にするには、WorkSpaces コンソールを使用できます。
**SAML 2.0 との統合を有効にするには**
1. [https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home) で WorkSpaces コンソールを開きます。
1. ナビゲーションペインで **[ディレクトリ]** を選択します。
1. WorkSpaces のディレクトリ ID を選択します。
1. **[Authentication]** (認証) で、**[Edit]** (編集) を選択します。
1. **[Edit SAML 2.0 Identity Provider]** (SAML 2.0 ID プロバイダーの編集) を選択します。
1. **[Enable SAML 2.0 authentication]** (SAML 2.0 認証の有効化) チェックボックスをオンにします。
1. **[User Access URL]** (ユーザーアクセス URL) と **[IdP deep link parameter name]** (IdP ディープリンクパラメータ名) には、ステップ 1 で設定した IdP とアプリケーションに該当する値を入力します。IdP ディープリンクパラメータ名を省略すると、デフォルトで「RelayState」という名前になります。次の表に、アプリケーションの ID プロバイダー別に固有のユーザーアクセス URL とパラメータ名を示します。
**許可リストに追加するドメインと IP アドレス**
[See the AWS documentation website for more details](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/setting-up-saml.html)
ユーザーアクセス URL は、通常、未承諾の IdP を起点とする SSO のプロバイダーによって定義されます。ユーザーはこの URL をウェブブラウザに入力して、SAML アプリケーションに直接フェデレートできます。IdP のユーザーアクセス URL とパラメータ値をテストするには、**[Test]** (テスト) を選択します。現在のブラウザまたは別のブラウザのプライベートウィンドウにテスト URL をコピーして貼り付け、現在の AWS 管理コンソールセッションを中断することなく SAML 2.0 ログオンをテストします。IdP を起点とするフローが開いたら、WorkSpaces クライアントを登録できます。詳細については、「[Identity provider (IdP)-initiated flow](https://docs.aws.amazon.com/workspaces/latest/adminguide/amazon-workspaces-saml.html)」(ID プロバイダー (IdP) を起点とするフロー) を参照してください。
1. **[Allow clients that do not support SAML 2.0 to login]** (SAML 2.0 をサポートしていないクライアントにログインを許可する) チェックボックスをオンまたはオフにして、フォールバック設定を管理します。SAML 2.0 をサポートしていないクライアントタイプまたはバージョンを使用しているユーザーに WorkSpaces へのアクセスを引き続き提供する場合や、ユーザーが最新のクライアントバージョンにアップグレードする時間が必要な場合に、この設定をオンにします。
**注記**
この設定により、ユーザーは SAML 2.0 ではなく、古いクライアントバージョンを使用したディレクトリ認証を通じてログインできます。
1. ウェブクライアントで SAML を使用するには、Web Access を有効にします。詳細については、「[Amazon WorkSpaces Web Access を有効化および設定する](https://docs.aws.amazon.com/workspaces/latest/adminguide/web-access.html)」を参照してください。
**注記**
SAML を使用する PCoIP は Web Access ではサポートされていません。
1. **[保存]** を選択します。これで WorkSpaces ディレクトリで SAML 2.0 との統合が有効になりました。IdP およびクライアントアプリケーションを起点とするフローを使用して WorkSpaces クライアントアプリケーションを登録し、WorkSpaces にサインインできます。