https://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html

概要

外部から認証されたユーザーがAWSにアクセスする方法には

• Amazon Cognitoを使用する方法
• パブリックIDサービスプラバイダー、OpenID Connectを使用する方法
• SAML 2.0を使用する方法
• カスタムIDブローカーを作成し、使用する方法

があります。
カスタムIDブローカーはSAML2.0が外部ユーザー環境で使用していない場合の代替案です。
SAML2.0で行っている動きをカスタムIDブローカーで模倣させ、認証を実現させます。

図の説明

0. 外部ユーザーは、既存認証システムで認証を行います。
1. 外部ユーザーは、AWSリソースを使用するため、カスタムIDブローカーにアクセスします。
2. カスタムIDブローカーは、アクセスした外部ユーザーが認証されていることを確認します。
3. カスタムIDブローカーは、AssumeRoleまたはGetFederationTokenを呼び出してSTSから一時的な認証情報を取得し、外部ユーザーに返します。
4. 一時的な認証情報を使用してAWSリソースにアクセスします。