ID フェデレーションは、ユーザーを認証し、リソースへのアクセスを許可するために必要な情報を伝達することを目的とした、2 者間の信頼システムです。このシステムでは、ID プロバイダー (IdP) がユーザー認証を担当し、サービスやアプリケーションなどのサービスプロバイダー (SP) がリソースへのアクセスを制御します。管理上の合意と設定により、SP は IdP によるユーザーの認証を信頼し、IdP から提供されたユーザーに関する情報を利用します。ユーザーを認証した後、IdP はアサーションと呼ばれるメッセージを SP に送信します。このメッセージには、ユーザーのサインイン名と、SP がユーザーとのセッションを確立し、SP が付与すべきリソースアクセス権の範囲を決定するために必要なその他の属性が含まれます。フェデレーションはアクセス制御システムを構築するための一般的なアプローチです。これにより、中央の IdP 内でユーザーを一元的に管理し、SP として機能する複数のアプリケーションやサービスへのアクセスを管理します。
AWS は、従業員、請負業者、パートナー (ワークフォース) を AWS アカウントとビジネスアプリケーションと連携させたり、顧客向けのウェブアプリケーションやモバイルアプリケーションにフェデレーションサポートを追加したりするための独自のソリューションを提供しています。AWS は、セキュリティアサーションマークアップ言語 2.0 (SAML 2.0)、オープン ID 接続 (OIDC)、OAuth 2.0 など、一般的に使用されているオープンアイデンティティ標準をサポートしています。
AWS IAM アイデンティティセンター (AWS SSO の後継) と AWS Identity and Access Management (IAM) の 2 つの AWS サービスを利用して、ワークフォースを AWS アカウントとビジネスアプリケーションと連携させられます。 AWS IAM アイデンティティセンターを選択すると、ユーザーのグループメンバーシップに基づいて一元化された 1 つのディレクトリでユーザーのフェデレーションアクセス許可を定義するのに役立ちます。複数のディレクトリを使用している場合、もしくはユーザー属性に基づいて許可を管理したい場合は、AWS IAM を設計代替案として検討してください。AWS IAM アイデンティティセンターのサービスクォータとその他の設計上の考慮事項の詳細については、AWS IAM アイデンティティセンターユーザーガイドを参照してください。AWS IAM の設計上の考慮事項については、 AWS IAM ユーザーガイドを参照してください。
AWS IAM アイデンティティセンターは、複数の AWS アカウントとビジネスアプリケーションへのフェデレーションアクセスの一元的な管理を容易にし、割り当てられたアカウントとアプリケーションのすべてに対する 1 か所からのシングルサインオンアクセスをユーザーに提供できるようにする AWS のサービスです。AWS IAM アイデンティティセンターは、AWS IAM アイデンティティセンターのユーザーディレクトリ、既存の企業ディレクトリ、または外部 IdP にあるアイデンティティに使用できます。
AWS IAM アイデンティティセンターは、セキュリティアサーションマークアップ言語 2.0 (SAML 2.0) プロトコルを介して、Okta Universal Directory や Azure Active Directory (AD) など、希望する IdP と連携します。 AWS IAM アイデンティティセンターは、フェデレーションユーザーとロール向けの IAM 許可とポリシーをシームレスに活用して、AWS 組織内のすべての AWS アカウントにわたるフェデレーションアクセスを一元管理できるようにします。AWS IAM アイデンティティセンターでは、IdP のディレクトリのグループメンバーシップに基づいてアクセス許可を割り当て、IdP 内のユーザーとグループを変更するだけでユーザーのアクセスを制御できます。 AWS IAM アイデンティティセンターは、Azure AD または Okta Universal Directory から AWS へのユーザーとグループの自動プロビジョニングを可能にするクロスドメインアイデンティティ管理システム (SCIM) 標準もサポートしています。 AWS IAM アイデンティティセンターでは、SAML 2.0 IdP で定義されたユーザー属性に基づいてきめ細かなアクセス許可を定義することで、属性ベースのアクセス制御 (ABAC) を簡単に実装できます。 AWS IAM アイデンティティセンターでは、SCIM 経由で IdP から同期されたユーザー情報から ABAC 属性を選択したり、SAML 2.0 アサーションの一部としてコストセンター、タイトル、ロケールなどの複数の属性を渡したりすることができます。AWS 組織全体に対して一度アクセス許可を定義し、IdP 中の属性を変更するだけで、AWS アクセスを許可、取り消し、または変更できます。AWS IAM アイデンティティセンターでは、IdP のディレクトリのグループメンバーシップに基づいてアクセス許可を割り当て、IdP 内のユーザーとグループを変更するだけでユーザーのアクセスを制御することもできます。
AWS IAM アイデンティティセンターは、ご希望のディレクトリを使用して、AWS IAM アイデンティティセンターの統合アプリケーションと SAML 2.0 互換のクラウドベースのアプリケーション (Salesforce、Box、Microsoft 365 など) に対してユーザーを認証するための IdP として機能できます。AWS IAM アイデンティティセンターを利用して、AWS マネジメントコンソール、AWS コンソールモバイルアプリケーション、および AWS コマンドラインインターフェイス (CLI) に対してユーザーを認証することもできます。アイデンティティソースには、Microsoft Active Directory または AWS IAM アイデンティティセンターのユーザーディレクトリを選択できます。
詳細については、AWS IAM アイデンティティセンターユーザーガイドを参照するか、AWS IAM アイデンティティセンター入門ガイドを参照して、以下のその他のリソースをご覧ください。
AWS Identity and Access Management (IAM) を使用して、AWS アカウントへのフェデレーションアクセスを有効にできます。AWS IAM の柔軟性により、AWS アカウントごとに個別の SAML 2.0 または Open ID Connect (OIDC) IdP を有効にし、フェデレーションユーザー属性を使用してアクセス制御を行うことができます。AWS IAM により、コストセンター、タイトル、ロケールなどのユーザー属性を IdP から AWS に渡し、これらの属性に基づいてきめ細かなアクセス許可を実装できます。AWS IAM でアクセス許可を 1 回定義すると、IdP で属性を変更するだけで、AWS へのアクセスを付与、取消、修正できます。再利用可能なカスタムマネージド IAM ポリシーを実装することで、同じフェデレーションアクセスポリシーを複数の AWS アカウントに適用できます。
詳細については、「IAM アイデンティティプロバイダーとフェデレーション」、「IAM 入門」、その他のリソースをご覧ください。
Amazon Cognito を使用して、顧客向けのウェブアプリケーションやモバイルアプリケーションにフェデレーションサポートを追加できます。これにより、モバイルアプリケーションおよびウェブアプリケーションに、ユーザーのサインアップ/サインインおよびアクセスコントロールの機能を、すばやく簡単に追加できます。Amazon Cognito は、数百万人のユーザーにスケールし、Apple、Facebook、Google、Amazon などのソーシャル ID プロバイダー、SAML 2.0 によるエンタープライズ ID プロバイダーを使用したサインインをサポートします。
詳細については、Amazon Cognito デベロッパーガイドを参照し、Amazon Cognito 入門にアクセスして、その他のリソースをご覧ください。