Active Directory のセルフマネージドディレクトリを IAM Identity Center に接続する

Active Directory (AD) のセルフマネージドディレクトリのユーザーは、 へのシングルサインオンアクセスもできます。 AWS アカウント の およびアプリケーション AWS アクセスポータル。これらのユーザーのシングルサインオンアクセスを設定するには、次のいずれかを実行します。

• 双方向の信頼関係を作成する — 双方向の信頼関係が の間に作成される場合 AWS Managed Microsoft AD AD のセルフマネージドディレクトリと AD のセルフマネージドディレクトリのユーザーは、企業の認証情報を使用してさまざまな にサインインできます。 AWS サービスとビジネスアプリケーション。一方向の信頼は IAM Identity Center では機能しません。

  AWS IAM Identity Center には双方向の信頼が必要です。これにより、ドメインからユーザーとグループの情報を読み取ってユーザーとグループのメタデータを同期するアクセス許可が付与されます。IAM Identity Center は、アクセス許可セットまたはアプリケーションへのアクセスを割り当てるときにこのメタデータを使用します。ユーザーおよびグループのメタデータは、ダッシュボードを別のユーザーやグループと共有する場合など、コラボレーションのためにアプリケーションによっても使用されます。からの信頼 AWS Directory Service ドメインへの Microsoft Active Directory 用 は、 IAM Identity Center が認証のためにドメインを信頼することを許可します。反対方向の信頼は、 AWS ユーザーとグループのメタデータを読み取るための アクセス許可。

  双方向信頼の設定の詳細については、「」の「信頼関係を作成するタイミング」を参照してください。 AWS Directory Service 管理ガイド。

  注記

  を使用するには AWS IAM Identity Center などの アプリケーションを読み取る AWS Directory Service 信頼されたドメインの ディレクトリユーザー、 AWS Directory Service アカウントには、信頼されたユーザーの userAccountControl 属性に対するアクセス許可が必要です。この属性への読み取りアクセス許可がない場合、 AWS アプリケーションは、アカウントが有効か無効かを判断できません。

  この属性への読み取りアクセスは、信頼の作成時にデフォルトで提供されます。この属性へのアクセスを拒否すると (推奨されません）、Identity Center などのアプリケーションが信頼できるユーザーを読み取れなくなります。解決策は、 の userAccountControl 属性への読み取りアクセスを特に許可することです。 AWS の下にある サービスアカウント AWS 予約済み OU (プレフィックスに を付ける AWS_).

• AD Connector を作成する - AD Connector は、クラウドに情報をキャッシュすることなく、セルフマネージドの AD にディレクトリリクエストをリダイレクトできるディレクトリゲートウェイです。詳細については、「」の「ディレクトリに接続する」を参照してください。 AWS Directory Service 管理ガイド。AD Connector を使用する際の考慮事項は次のとおりです。

  • IAM Identity Center を AD Connector ディレクトリに接続する場合、今後のユーザーパスワードのリセットは AD 内から行う必要があります。つまり、ユーザーは からパスワードをリセットできません。 AWS アクセスポータル。

  • AD Connector を使用して Active Directory Domain Service を IAM Identity Center に接続する場合、IAMIdentity Center は AD Connector がアタッチする単一ドメインのユーザーとグループにのみアクセスできます。複数のドメインまたはフォレストをサポートする必要がある場合は、 AWS Directory Service for Microsoft Active Directory。

  注記

  IAM Identity Center は、 SAMBA4ベースの Simple AD ディレクトリでは機能しません。