翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Active Directory の自己管理型ディレクトリを IAM Identity Center に接続する
Active Directory (AD) のセルフマネージドディレクトリのユーザーは、 AWS アクセスポータルの AWS アカウント およびアプリケーションへのシングルサインオンアクセスを持つこともできます。これらのユーザーのシングルサインオンアクセスを設定するには、次のいずれかを実行します。
-
双方向の信頼関係を作成する – と AD のセルフマネージドディレクトリの間に双方向の信頼関係を作成する AWS Managed Microsoft AD と、AD のセルフマネージドディレクトリのユーザーは、企業の認証情報を使用してさまざまな AWS サービスやビジネスアプリケーションにサインインできます。一方向の信頼は IAM Identity Center では機能しません。
AWS IAM Identity Center では、ユーザーとグループのメタデータを同期するためにドメインからユーザーとグループの情報を読み取るアクセス許可を持つには、双方向の信頼が必要です。IAM Identity Center は、アクセス権限セットまたはアプリケーションへのアクセスを割り当てるときに、このメタデータを使用します。ユーザーおよびグループのメタデータは、ダッシュボードを別のユーザーやグループと共有する場合など、コラボレーションのためにアプリケーションによっても使用されます。 AWS Directory Service for Microsoft Active Directory からドメインへの信頼により、IAM Identity Center は認証のためにドメインを信頼できます。反対方向の信頼は、ユーザーとグループのメタデータを読み取るアクセス AWS 許可を付与します。
双方向の信頼関係の設定の詳細については、「AWS Directory Service 管理者ガイド」の「信頼関係を作成する場合」 を参照してください。
注記
IAM Identity Center などの AWS アプリケーションを使用して信頼されたドメインから AWS Directory Service ディレクトリユーザーを読み取るには、 AWS Directory Service アカウントには信頼されたユーザーの userAccountControl 属性に対するアクセス許可が必要です。この属性への読み取りアクセス許可がないと、 AWS アプリケーションはアカウントが有効か無効かを判断することができません。
この属性への読み取りアクセスは、信頼の作成時にデフォルトで提供されます。この属性へのアクセスを拒否すると (非推奨)、Identity Center などのアプリケーションが信頼できるユーザーを読み取れなくなります。このソリューションは、 AWS リザーブド OU (プレフィックスは AWS_) の下にある AWS サービスアカウントの
userAccountControl
属性への読み取りアクセスを特に許可することです。 -
AD Connector を作成する - AD Connector は、クラウドに情報をキャッシュすることなく、セルフマネージドの AD にディレクトリリクエストをリダイレクトできるディレクトリゲートウェイです。詳細については、「AWS Directory Service 管理ガイド」の [ディレクトリへの接続]を参照してください。AD Connector を使用するときの考慮事項は次のとおりです。
-
IAM Identity Center を AD Connector ディレクトリに接続している場合、今後のユーザーパスワードのリセットは、AD 内から行う必要があります。つまり、ユーザーは AWS アクセスポータルからパスワードをリセットできません。
-
AD Connector を使用してアクティブディレクトリドメインサービスを IAM Identity Center に接続する場合、IAM Identity Center は AD Connector がアタッチされている単一ドメインのユーザーとグループにしかアクセスできません。複数のドメインやフォレストをサポートする必要がある場合は、Microsoft Active Directory の AWS Directory Service をご利用ください。
注記
IAM Identity Center は SAMBA4 ベースの Simple AD ディレクトリでは機能しません。
-