AWS Identity and Access Management により OpenID Connect ID プロバイダーの管理が簡素化
本日、AWS Identity and Access Management (IAM) は、お客様が AWS アカウントで OpenID Connect (OIDC) ID プロバイダー (IdP) を管理する方法を簡素化する改善を発表しました。これらの改善には、既存の IDP によるフェデレーションユーザーログインの処理時の可用性の向上や、新しい OIDC IDP のプロビジョニングプロセスの合理化などがあります。
IAM は、IdP の SSL/TLS サーバー証明書をアンカーするルート認証局 (CA) を信頼することで、OIDC IdP との通信を保護するようになりました。これは現在の業界標準に準拠しており、SSL/TLS 証明書をローテーションする際にお客様が証明書のサムプリントを更新する必要がなくなります。あまり一般的でないルート CA や自己署名 SSL/TLS サーバー証明書を使用するお客様の場合、IAM は引き続き IdP 設定に設定されている証明書サムプリントを使用します。この変更は、新規および既存の OIDC IdP に自動的に適用され、お客様によるアクションは必要ありません。
さらに、お客様が IAM コンソールまたは API/CLI を使用して新しい OIDC IdP を設定する場合、IAM が自動的に取得するため、お客様は IdP の SSL/TLS サーバー証明書のサムプリントを提供する必要がなくなります。このサムプリントは IdP 設定で維持されますが、IdP が信頼できるルート CA に依存している場合は使用されません。
これらの改善は、現在、商用 AWS リージョン、AWS GovCloud (米国) リージョン、および中国リージョンで利用可能です。詳細については、IAM 製品ドキュメントの「ウェブ ID フェデレーションについて」を参照してください。