Amazon Web Servicesを委任認証用に構成する

Auth0では、Amazon Web Servicesを委任認証用に構成することができます。詳細については、「Amazon Web Servicesをシングルサインオン用に構成する」および「カスタムオーソライザーを使用した安全なAWS API Gatewayエンドポイント」をお読みください。

AWSでSAMLプロバイダーを作成する

  1. AWSにログインし、[IAM console(IAMコンソール)]に移動します。左のナビゲーションメニューの[Identity Providers(IDプロバイダー)]を選択します。[Create Provider(プロバイダーの作成)]をクリックします。次のパラメーターを設定します。

    パラメーター 説明とサンプル値
    Provider Type(プロバイダータイプ) プロバイダーのタイプ。SAMLに設定します。
    Provider Name(プロバイダー名) プロバイダーの説明的な名前。例:auth0SamlProviderなど。
    Metadata Document(メタデータドキュメント) Auth0メタデータが含まれるファイルをアップロードします。ファイルは**[Dashboard]>[Applications(アプリケーション)]>[Application Settings(アプリケーション設定)]>[Advanced Settings(高度な設定)]>[Endpoints(エンドポイント)]>[SAML Metadata URL(SAMLメタデータのURL)]**にあります。

  2. [Next Step(次の手順)]をクリックします。

  3. 設定を確認し、問題がなければ[Create(作成)]をクリックします。

SAMLプロバイダーのロールを作成します。

プロバイダーを使用するには、ロールの信頼ポリシーのプロバイダーを使ってIAMロールを作成する必要があります。

  1. IAMコンソールで[Roles(ロール)]に移動します。[Create role(ロールの作成)]をクリックします。[Trust(信頼)]ページにリダイレクトされます。[Select type of trusted entity(信頼されたエンティティのタイプの選択)][SAML 2.0 federation(SAML 2.0フェデレーション)]を示します。以下の値を入力します。

    パラメーター
    SAML Provider(SAMLプロバイダー) 新しいロールの名前
    Attribute(属性) SAML:iss
    Value(値) urn:{yourDomain}

  2. [Next:Permissions(次へ:アクセス許可)]をクリックして続行します。

  3. アクセス許可ポリシーを新しいロールにアタッチする必要があります。カスタムポリシーをアタッチします。1つ作成するには、[Create Policy(ポリシーの作成)]をクリックします。

  4. [Create policy(ポリシーの作成)]エディターが起動したら、[JSON]タブに切り替えます。カスタムポリシーを用意します。

    {
  "Version": "2012-10-17",
  "Statement": [{
      "Effect": "Allow",
      "Action": [
        "*"
      ],
      "Resource": [
      "arn:aws:s3:::{yourBucket}/<%= '${saml:sub}' %>",
      "arn:aws:s3:::{yourBucket}/<%= '${saml:sub}' %>/*"]
  }]
}

    Was this helpful?

    /
    これによって、AWSでこのロールに含まれるユーザーが付与したアクセス権が定義されます。[Review policy(ポリシーの確認)]をクリックします。

  5. 作成したポリシーを確認します。ポリシーの[Name(名前)](必須)と[Description(説明)](任意)を入力してください。

  6. 完了したら、[Create policy(ポリシーの作成)]をクリックします。成功すると、新しいポリシーが作成されたことを示す次のメッセージが表示されます:「auth0SamlRolePolicy has been created(auth0SamlRolePolicyが作成されました)」

  7. ロール作成ウィザードに戻り(手順2 - アクセス許可に進んでいるはずです)、作成したばかりの新しいポリシーを見つけ、チェックボックスにチェックを入れてポリシーをロールにアタッチします。ポリシーを見つける際には、[Customer managed(カスタマー管理)]フィルターを使用することを推奨します。

  8. [Next:Review(次へ:確認)]をクリックして続行します。

  9. ロールに関する情報を確認し、[Role name(ロール名)](必須)と[Role description(ロールの説明)](任意)を入力します。アタッチしたポリシーも表示されます。すべて正しければ、[Create role(ロールの作成)]をクリックして続行します。

  10. 作成したら、プライマリロールページにロールが表示されます。

ARN値をコピーします。

以下の手順に沿って、プロバイダーARNとロールARNの各値を検索することができます。

プロバイダーARN

IAMコンソールで[Identity providers(IDプロバイダー)]に移動します。お探しのロールを選択し、その概要ページを開きます。[Summary(概要)]の先頭に表示されている[Provider ARN(プロバイダーARN)]値をコピーします。

ロールARN

IAMコンソールで[Roles(ロール)]に移動します。お探しのロールを選択し、その概要ページを開きます。[Summary(概要)]の先頭に表示されている[Role ARN(ロールARN)]値をコピーします。