※本FAQは「StartIn」にてAWS IAM Identity Centerとシングルサインオンを行うための設定方法となります。
本設定以外のAWS IAM Identity Centerに関するお問い合わせは受け付けできかねますのでご了承ください。
※本手順にて正常に動作しない場合、弊社での確認のため、お客様の環境をお借りする場合があります。 |
AWS IAM Identity Center と StartIn のシングルサインオン設定手順は以下のとおりです。
1. [StartIn] メタデータの取得
1-1. 統合管理画面 > StartIn > シングルサインオン メタデータ から、「メタデータドキュメントをダウンロード」をクリックし、メタデータをダウンロードしておきます。
2. [AWS] シングルサインオン設定
2-1. AWSへルートユーザーでサインインし、サービスから「IAM Identity Center(AWS Single Sign-ON の後継サービス)を選択します。
2-2. サービスが有効化されていない場合は、「AWS SSOを有効化」を選択し、有効化します。
2-3. 「設定>アイデンティティソース>アクション」から「アイデンティティソースを変更」を選択します。
2-4. 「外部IDプロバイダー」を選択し、「次へ」をクリックします。
2-5. 「サービスプロバイダーのメタデータ>メタデータファイルをダウンロード」から、メタデータファイルをダウンロードします。
2-6. 「アイデンティティプロパイダーのメタデータ>IdP SAML メタデータ>ファイルを選択」から、手順1-1でダウンロードしたメタデータドキュメントを選択し、「次へ」をクリックします。
2-7. 画面下部のテキストボックスへ「承諾」と有力し、「アイデンティティリソースを変更」をクリックします。
3. [AWS] シングルサインオンユーザーの設定
3-1. メニューの「ユーザー」を選択し、「ユーザーを追加」をクリックします。
3-2. シングルサインオンを行うユーザーの情報を入力し、「次へ」をクリックします。
3-3. 「次へ」をクリックします。
※ユーザーをグループに追加する場合は、この画面で設定します。詳細はAWSのドキュメント等を参照してください。
3-4. 「ユーザーの確認と追加」画面で「ユーザーを追加」をクリックします。
3-5. メニューから「マルチアカウント許可>許可セット」を選択し、「許可セットを作成」をクリックします。
3-6. 「許可セットのタイプ」から「事前定義された許可セット」、「事前定義された許可セットのポリシー」から「AdministratorAccsess」を選択し、「次へ」をクリックします。
※ユーザーに割り当てる許可ポリシーを任意の内容に変更する場合は、この画面で設定します。詳細はAWSのドキュメント等を参照してください。
3-7. 「許可セットの詳細」に任意の設定を行い、「次へ」をクリックします。
3-8. 内容を確認し「次へ」をクリックします。
3-9. メニューから「マルチアカウント許可>AWSアカウント」を選択し、ユーザー名をクリックします。
3-10. 「ユーザーまたはグループを割り当て」をクリックします。
3-11. 手順3-2で作成したユーザーを選択し、「次へ」をクリックします。
3-12. 手順3-7で作成した許可セットを選択し、次へをクリックします。
3-13. 内容を確認して「送信」をクリックします。
4. [StartIn] シングルサインオン設定
4-1. 統合管理画面 > StartIn > シングルサインオン > サービスプロバイダー設定 > 追加 から、AWS用のサービスプロバイダー設定を行います。
サービスプロバイダー名 |
<任意の名称> |
ファイルからインポート |
2-5でダウンロードしたメタデータファイルを選択 |
有効 |
ON |
4-2. ログインURL、NameIDマッピングを次のように設定し、「適用」します。
ログインURL |
AWSへのログインURL |
NameIDマッピング |
(オプション)
ONにした場合、ここで選択したStartInユーザーの属性値がAWSへ連携されます。 |
4-3. 統合管理画面 > StartIn > ID管理 > 管理グループ から、作成したサービスプロバイダーへのアクセス許可を設定します。
詳細は「DigitalArts@Cloud」マニュアル を確認してください。