Active Directory のセルフマネージドディレクトリを IAM ID センターConnect する

Active Directory (AD) のセルフマネージドのディレクトリのユーザーは、AWS アカウントAWSアクセスポータルでクラウドアプリケーションにシングルサインオンでアクセスすることもできます。これらのユーザーのシングルサインオンアクセスを設定するには、次のいずれかを実行します。

• Create a two-way trust relationship (双方向の信頼関係の構築) —AWS Managed Microsoft AD とセルフマネージドディレクトリの間に双方向の信頼関係が構築されると、AD のユーザーは、企業の認証情報を使ってさまざまなAWSのサービスやビジネスアプリケーションにサインインすることができます。一方向の信頼は IAM Identity Center では機能しません。

  AWS IAM Identity Center (successor to AWS Single Sign-On)には、双方向の信頼関係が必要です。そのため、ドメインからユーザーやグループの情報を読み取りユーザーとグループのメタデータを同期させる権限を持つように、双方向の信頼関係が必要です。IAM Identity Center は、権限セットまたはアプリケーションへのアクセスを割り当てるときに、このメタデータを使用します。ユーザーおよびグループのメタデータは、ダッシュボードを別のユーザーやグループと共有する場合など、コラボレーションのためにアプリケーションによっても使用されます。Microsoft Active Directory Directory Directory Directory Center がお客様のドメインを信頼して認証を行うことを可能にします。AWS Directory Service逆方向の信頼は、AWS にユーザーとグループのメタデータを読み込む権限を与えます。

  双方向の信頼関係の設定の詳細については、「AWS Directory ServiceAdministration Guide」(管理者ガイド) の「When to Create a Trust Relationship」(信頼関係を作成する場合) を参照してください。

• AD Connector を作成する - AD Connector は、クラウドに情報をキャッシュすることなく、セルフマネージドの AD にディレクトリリクエストをリダイレクトできるディレクトリゲートウェイです。詳細については、『AWS Directory Service管理ガイド』の「ディレクトリへのConnect」を参照してください。

  注記

  IAM Identity Center を AD Connector ディレクトリに接続している場合、future ユーザーパスワードのリセットは、AD 内で行う必要があります。つまり、AWSユーザーはアクセスポータルからパスワードをリセットできません。

  AD Connector を使用して AD Directory ドメインサービスを IAM ID センターに接続する場合、IAM ID センターは AD Connector がアタッチされている単一ドメインのユーザーとグループにしかアクセスできません。複数のドメインやフォレストをサポートする必要がある場合は、Microsoft Active Directory Directory Directory をご利用くださいAWS Directory Service。

  注記

  IAM Identity Center は SAMBA4 ベースの Simple AD ディレクトリでは機能しません。