Classmethod Guidance Ccwb Saml
Amazon Bedrock 経由の Claude Code に SAML 認証を設定する
- URL: https://dev.classmethod.jp/articles/guidance-for-ccwb-saml/
- 日付: 2026-06-04
- Tier: Tier 3
- 要旨: AWS公式ソリューション「Guidance for Claude Code and Cowork on Amazon Bedrock」にはSAML直接サポートがないが、Cognito User Poolを外部IDプロバイダー経由で構成することで間接的にSAML SSO認証を実現する方法を検証・解説。Keycloakを例に属性マッピング・外部プロバイダー追加の手順を詳述した。
詳細
アーキテクチャ
- Cognito User Pool を新規作成 → SAML IDプロバイダー(Keycloak)を外部プロバイダーとして紐付け
- CLIでのデプロイ:
cognito-user-pool-setup.yamlCloudFormation テンプレートを使用
IdP側の設定(Keycloak)
- Client type: SAML
- Client ID:
urn:amazon:cognito:sp:<ユーザープール名> - Valid redirect URIs:
https://<ドメイン>.auth.<リージョン>.amazoncognito.com/saml2/idpresponse - 属性マッピング:
email → email、username → username(Cognito のpreferred_usernameに対応)
AWS側の作業
- 自己登録の無効化(外部プロバイダー追加の前提条件)
- SAML IDプロバイダーの追加(メタデータXMLアップロード)
- アプリケーションクライアントのIDプロバイダーを変更
検証結果
- Guidance for Claude Code and Cowork on Amazon Bedrock の設定ファイルをインストールした状態でClaude Codeを起動するとSSO画面に遷移し、Bedorckモデル経由での動作を確認
示唆
- Cognito User Poolのデプロイ自体がソリューション内に含まれており、既存の構成に乗る形で自然にSAML対応できる現実的な選択肢