Active Directory の自己管理型ディレクトリを IAM Identity Center に接続する - AWS IAM Identity Center

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Active Directory の自己管理型ディレクトリを IAM Identity Center に接続する

Active Directory (AD) のセルフマネージドディレクトリのユーザーは、 AWS アクセスポータルの AWS アカウント およびアプリケーションへのシングルサインオンアクセスを持つこともできます。これらのユーザーのシングルサインオンアクセスを設定するには、次のいずれかを実行します。

  • 双方向の信頼関係を作成する – と AD のセルフマネージドディレクトリの間に双方向の信頼関係を作成する AWS Managed Microsoft AD と、AD のセルフマネージドディレクトリのユーザーは、企業の認証情報を使用してさまざまな AWS サービスやビジネスアプリケーションにサインインできます。一方向の信頼は IAM Identity Center では機能しません。

    AWS IAM Identity Center では、ユーザーとグループのメタデータを同期するためにドメインからユーザーとグループの情報を読み取るアクセス許可を持つには、双方向の信頼が必要です。IAM Identity Center は、アクセス権限セットまたはアプリケーションへのアクセスを割り当てるときに、このメタデータを使用します。ユーザーおよびグループのメタデータは、ダッシュボードを別のユーザーやグループと共有する場合など、コラボレーションのためにアプリケーションによっても使用されます。 AWS Directory Service for Microsoft Active Directory からドメインへの信頼により、IAM Identity Center は認証のためにドメインを信頼できます。反対方向の信頼は、ユーザーとグループのメタデータを読み取るアクセス AWS 許可を付与します。

    双方向の信頼関係の設定の詳細については、「AWS Directory Service 管理者ガイド」の「信頼関係を作成する場合」 を参照してください。

    注記

    IAM Identity Center などの AWS アプリケーションを使用して信頼されたドメインから AWS Directory Service ディレクトリユーザーを読み取るには、 AWS Directory Service アカウントには信頼されたユーザーの userAccountControl 属性に対するアクセス許可が必要です。この属性への読み取りアクセス許可がないと、 AWS アプリケーションはアカウントが有効か無効かを判断することができません。

    この属性への読み取りアクセスは、信頼の作成時にデフォルトで提供されます。この属性へのアクセスを拒否すると (非推奨)、Identity Center などのアプリケーションが信頼できるユーザーを読み取れなくなります。このソリューションは、 AWS リザーブド OU (プレフィックスは AWS_) の下にある AWS サービスアカウントの userAccountControl 属性への読み取りアクセスを特に許可することです。

  • AD Connector を作成する - AD Connector は、クラウドに情報をキャッシュすることなく、セルフマネージドの AD にディレクトリリクエストをリダイレクトできるディレクトリゲートウェイです。詳細については、「AWS Directory Service 管理ガイド」の [ディレクトリへの接続]を参照してください。AD Connector を使用するときの考慮事項は次のとおりです。

    • IAM Identity Center を AD Connector ディレクトリに接続している場合、今後のユーザーパスワードのリセットは、AD 内から行う必要があります。つまり、ユーザーは AWS アクセスポータルからパスワードをリセットできません。

    • AD Connector を使用してアクティブディレクトリドメインサービスを IAM Identity Center に接続する場合、IAM Identity Center は AD Connector がアタッチされている単一ドメインのユーザーとグループにしかアクセスできません。複数のドメインやフォレストをサポートする必要がある場合は、Microsoft Active Directory の AWS Directory Service をご利用ください。

    注記

    IAM Identity Center は SAMBA4 ベースの Simple AD ディレクトリでは機能しません。