Setting up SCIM provisioning between CyberArk and IAM Identity Center - AWS IAM Identity Center
前提条件SCIM に関する注意事項ステップ 1: IAM Identity Center でプロビジョニングを有効にするステップ 2: CyberArk でプロビジョニングを設定する(オプション) ステップ 3: IAM Identity Center でのアクセスコントロール (ABAC) のために CyberArk でユーザー属性を設定する (オプション) アクセスコントロールの属性を渡す

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Setting up SCIM provisioning between CyberArk and IAM Identity Center

IAM Identity Center は、CyberArk Directory Platform から IAM Identity Center へのユーザ情報の自動プロビジョニン グ(同期)をサポートしています。このプロビジョニングでは、クロスドメインアイデンティティ管理システム (SCIM) v2.0 プロトコルを使用します。この接続を CyberArk で設定するには、IAM Identity Center SCIM エンドポイントとアクセストークンを使用します。SCIM 同期を設定すると、CyberArk のユーザー属性と IAM Identity Center の名前付き属性のマッピングが作成されます。これにより、IAM Identity Center と CyberArk の間で、期待される属性が一致します。

このガイドは 2021 年 8 月時点の CyberArk をベースとしています。新しいバージョンでは、手順が異なる場合があります。このガイドには、SAML によるユーザー認証の設定に関するいくつかの注意事項が記載されています。

注記

SCIM のデプロイを開始する前に、まず 自動プロビジョニングを使用する際の注意事項 を確認することをお勧めします。そして、次のセクションで残りの注意事項を確認します。

前提条件

開始する前に、以下の準備が必要です。

  • CyberArk のサブスクリプションまたは無料トライアル。無料トライアルにサインアップするには、CyberArk にアクセスしてください。

  • IAM Identity Center 対応アカウント (無料)。詳細については、「IAM Identity Center の有効化」を参照してください。

  • CyberArkIAM ID Centerのドキュメント」で説明されている、CyberArk アカウントから IAM アイデンティティセンターへの SAML 接続。

  • IAM Identity Center コネクターを、 AWS アカウントへのアクセスを許可したいロール、ユーザー、組織に関連付けます。

SCIM に関する注意事項

IAM Identity Center に CyberArk のフェデレーションを使用する場合の注意事項を以下に示します。

  • アプリケーションプロビジョニングセクションでマッピングされたロールだけが IAM Identity Center に同期されます。

  • プロビジョニングスクリプトはデフォルトの状態でのみサポートされており、変更すると SCIM のプロビジョニングに失敗する可能性があります。

    • 同期できる電話番号属性は 1 つだけです。デフォルトは「仕事用の電話」です。

  • CyberArk IAM Identity Center アプリケーションのロールマッピングを変更すると、以下のような動作になります。

    • ロール名を変更しても、IAM Identity Center のグループ名は変更されません。

    • グループ名が変更された場合、IAM Identity Center では新しいグループが作成されます。古いグループは残りますが、メンバーはいません。

  • ユーザーの同期とプロビジョニング解除の動作は、CyberArk IAM Identity Center アプリケーションから設定できますので、組織に合った動作を設定してください。オプションは次の通りです。

    • Identity Center ディレクトリ内の同じプリンシパル名のユーザーを上書きする (しない)。

    • ユーザーが CyberArk のロールから削除されたときに、IAM Identity Center からユーザーを非プロビジョニングします。

    • ユーザー動作のプロビジョニングの解除 - 無効化または削除。

ステップ 1: IAM Identity Center でプロビジョニングを有効にする

この最初のステップでは、IAM Identity Center コンソールを使用して、自動プロビジョニングを有効にします。

IAM Identity Center で自動プロビジョニングを有効にするには

  1. 前提条件が整ったら、IAM Identity Center コンソールを開きます。

  2. 左側のナビゲーションペインの [Settings] (設定) を選択します。

  3. [設定] ページで、[自動プロビジョニング] 情報ボックスを探し、[有効化] を選択します。これにより、すぐに IAM Identity Center の自動プロビジョニングが有効になり、必要なエンドポイントとアクセストークンの情報が表示されます。

  4. [Inbound automatic provisioning] (インバウンド自動プロビジョニング) ダイアログボックスで、以下のオプションの値をそれぞれコピーします。これらは、後で IdP でプロビジョニングを設定する際に貼り付ける必要があります。

    1. SCIM エンドポイント

    2. アクセストークン

  5. [Close] (閉じる) を選択します。

IAM Identity Center でプロビジョニングを設定したので、CyberArk IAM Identity Center アプリケーションを使用して残りのタスクを完了する必要があります。これらのステップについて、次の手順で説明します。

ステップ 2: CyberArk でプロビジョニングを設定する

CyberArk IAM Identity Center アプリケーションで以下の手順を使用して、IAM Identity Center によるプロビジョニングを有効にします。この手順では、CyberArk IAM Identity Center アプリケーションが Web Apps (ウェブアプリケーション)で CyberArk 管理コンソールに追加されていることを前提としています。まだ実行していない場合は、「前提条件」を参照してから、この手順を実行して SCIM プロビジョニングを設定してください。

CyberArk でプロビジョニングを設定するには

  1. CyberArk の SAML 構成の一部として追加した CyberArk IAM Identity Center アプリケーションを開きます (アプリ>ウェブアプリ)。前提条件 を参照してください。

  2. [IAM Identity Center] アプリケーションを選択し、[プロビジョニング] セクションに移動します。

  3. [Enable provisioning for this application] (このアプリケーションのプロビジョニングを有効にする) にチェックを入れ、[Live Mode] (ライブモード) を選択します。

  4. 前の手順で、IAM Identity Center から [SCIM エンドポイント] の値をコピーしました。その値を [SCIM サービスのURL] フィールドに貼り付け、CyberArk IAM Identity Center のアプリケーションで、[認証タイプ][認証ヘッダー] に設定します。URL の末尾にあるスラッシュを削除してください。

  5. [Header Type] (ヘッダータイプ) を [Bearer Token] (ベアラートークン) に設定します。

  6. 前の手順で、IAM Identity Center の [アクセストークン] の値をコピーしました。その値を CyberArk IAM Identity Center アプリケーションの「ベアラートークン」フィールドに貼り付けます。

  7. [Verify] (検証) をクリックすると、設定をテストして、適用します。

  8. [同期オプション] で、CyberArk からのアウトバウンドプロビジョニングを動作させるための正しい動作を選択します。似たようなプリンシパル名を持つ既存の IAM Identity Center ユーザーを上書きする (または上書きしない) かどうか、プロビジョニング解除の動作を選択できます。

  9. [ロールマッピング] では、[名前] フィールドにある CyberArk ロールから [送信先グループ] にある IAM Identity Center グループへのマッピングを設定します。

  10. 完了したら、下部の [Save] (保存) をクリックします。

  11. ユーザーが IAM Identity Center に正常に同期されたことを確認するには、IAM Identity Center コンソールに戻り、[ユーザー] を選択します。CyberArk から同期されたユーザーは、[ユーザー] ページに表示されます。これらのユーザーは、アカウントに割り当てられ、IAM Identity Center で接続できるようになりました。

(オプション) ステップ 3: IAM Identity Center でのアクセスコントロール (ABAC) のために CyberArk でユーザー属性を設定する

これは、 AWS リソースへのアクセスを管理するために IAM Identity Center の属性を設定するCyberArk場合のオプションの手順です。CyberArk で定義した属性は、SAML アサーションで IAM Identity Center に渡されます。その後、IAM Identity Center でアクセス権限セットを作成し、CyberArk から渡された属性に基づいてアクセスを管理します。

この手順を始める前に、最初に アクセスコントロールの属性 機能を有効にしておく必要があります。これを行う方法については、「アクセスコントロールのための属性の有効化と設定」を参照してください。

IAM Identity Center でのアクセスコントロールに使用される CyberArk の属性の有効化と設定

  1. CyberArk の SAML 構成の一部としてインストールした CyberArk IAM Identity Center アプリケーションを開きます (アプリ>ウェブアプリ)。

  2. [SAML Response] (SAML レスポンス) オプションに移動します。

  3. [Attributes] (属性) では、以下のようなロジックでテーブルに関連する属性を追加します。

    1. [属性名] は、CyberArk のオリジナルの属性名です。

    2. [属性値] は、IAM Identity Center への SAML アサーションで送信される属性名です。

  4. [保存] を選択します。

(オプション) アクセスコントロールの属性を渡す

IAM Identity Center の アクセスコントロールの属性 機能をオプションで使用して、Name 属性を https://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey} に設定した Attribute 要素を渡すことができます。この要素を使用すると、SAML アサーションでセッションタグとして属性を渡すことができます。セッションタグの詳細については、「IAM ユーザーガイド」の「 AWS STSでのタグ付けの規則 」 を参照してください。

属性をセッションタグとして渡すには、タグの値を指定する AttributeValue 要素を含めます。例えば、タグのキーバリューのペア CostCenter = blue を渡すには、次のような属性を使用します。

<saml:AttributeStatement>
<saml:Attribute Name="https://aws.amazon.com/SAML/Attributes/AccessControl:CostCenter">
<saml:AttributeValue>blue
</saml:AttributeValue>
</saml:Attribute>
</saml:AttributeStatement>

複数の属性を追加する必要がある場合は、各タグに個別の Attribute 要素を含めます。