Active Directory の自己管理型ディレクトリを IAM アイデンティティセンターConnect する

Active Directory (AD) の自己管理ディレクトリのユーザーは、アクセスポータルのクラウドアプリケーションにシングルサインオンでアクセスすることもできます。AWS アカウント AWSこれらのユーザーにシングルサインオンアクセスを設定するには、次のいずれかを実行できます。

• 双方向の信頼関係の作成 — と AD の自己管理ディレクトリとの間で双方向の信頼関係を構築すると、AD の自己管理ディレクトリのユーザーは、AWS Managed Microsoft AD会社の認証情報を使用してさまざまなサービスやビジネスアプリケーションにサインインできます。AWS一方向の信頼は IAM Identity Center では機能しません。

  AWS IAM Identity Centerユーザーとグループの情報をドメインから読み取ってユーザーとグループのメタデータを同期する権限を与えるには、双方向の信頼が必要です。IAM Identity Center は、権限セットまたはアプリケーションへのアクセスを割り当てる際にこのメタデータを使用します。ユーザーおよびグループのメタデータは、ダッシュボードを別のユーザーやグループと共有する場合など、コラボレーションのためにアプリケーションによっても使用されます。Microsoft Active Directory AWS Directory Service からお客様のドメインへの信頼により、IAM アイデンティティセンターはお客様のドメインを信頼して認証を行うことができます。逆方向の信頼は、AWS にユーザーとグループのメタデータを読み込む権限を与えます。

  双方向の信頼の設定について詳しくは、『管理ガイド』の「信頼関係を作成するタイミング」を参照してください。AWS Directory Service

• AD Connector を作成する - AD Connector は、クラウドに情報をキャッシュすることなく、セルフマネージドの AD にディレクトリリクエストをリダイレクトできるディレクトリゲートウェイです。詳細については、『AWS Directory Service管理ガイド』の「ディレクトリへのConnect」を参照してください。

  注記

  IAM Identity Center を AD Connector ディレクトリに接続する場合、future ユーザーパスワードのリセットは AD 内から行う必要があります。つまり、AWSユーザーはアクセスポータルからパスワードをリセットできなくなります。

  AD Connector を使用して Active Directory ドメインサービスを IAM アイデンティティセンターに接続する場合、IAM アイデンティティセンターは AD Connector がアタッチする単一ドメインのユーザーとグループにのみアクセスできます。複数のドメインまたはフォレストをサポートする必要がある場合は、Microsoft Active Directoryを使用してくださいAWS Directory Service。

  注記

  IAM アイデンティティセンターは Samba4 ベースのSimple AD ディレクトリでは機能しません。