Google Workspace および IAM アイデンティティセンターによる SAML と SCIM の設定

組織が を使用している場合はGoogle Workspace、 から IAM Identity Center Google Workspaceにユーザーとグループを統合して、 AWS リソースへのアクセスを許可できます。この統合は、IAM Identity Center アイデンティティソースをデフォルトの IAM Identity Center アイデンティティソースから に変更することで実現できますGoogle Workspace。

Google Workspace のユーザー情報は、クロスドメイン ID 管理システム (SCIM) v2.0 プロトコルを使用して IAM アイデンティティセンターに同期されます。Google Workspace で、この接続を IAM アイデンティティセンター用 SCIM エンドポイントと IAM アイデンティティセンターのベアラートークンを使用して設定します。SCIM 同期を設定すると、Google Workspace のユーザー属性と IAM Identity Center の名前付き属性のマッピングが作成されます。このマッピングは、IAM アイデンティティセンターと Google Workspace の間で、期待されるユーザー属性を照合します。そのためには、Google Workspace を IAM ID プロバイダーと IAM アイデンティティセンターID プロバイダーとして設定する必要があります。

目的

このチュートリアルのステップは、 Google Workspaceと 間の SAML 接続を確立する手順に役立ちます AWS。後で、SCIM を使用して Google Workspace のユーザーを同期します。すべてが正しく設定されていることを確認するには、設定ステップを完了すると、Google Workspaceユーザーとしてサインインし、 AWS リソースへのアクセスを確認します。このチュートリアルは小規模 Google Workspace ディレクトリのテスト環境に基づいていることに注意してください。グループや組織単位などのディレクトリ構造は含まれていません。このチュートリアルを完了すると、ユーザーは認証情報を使用して AWS アクセスポータルにアクセスできますGoogle Workspace。

注記

Google Workspace の無料トライアルにサインアップするには、Google's Web サイトの Google Workspace にアクセスしてください。

IAM アイデンティティセンターをまだ有効にしていない場合は、「の有効化 AWS IAM Identity Center」を参照してください。

考慮事項

• Google Workspace と IAM Identity Center の間で SCIM プロビジョニングを設定する前に、まず を確認することをお勧めします自動プロビジョニングを使用する際の注意事項。

• からの SCIM 自動同期Google Workspaceは現在、ユーザープロビジョニングに制限されています。現時点では、グループの自動プロビジョニングはサポートされていません。グループは、 AWS CLI Identity Store の create-group コマンドまたは AWS Identity and Access Management (IAM) API を使用して手動で作成できますCreateGroup。または、ssosync を使用してGoogle Workspaceユーザーとグループを IAM Identity Center に同期することもできます。

• すべての Google Workspace ユーザーにおいて、[名]、[姓]、[ユーザー名]、[表示名] の値を指定する必要があります。

• 各 Google Workspace ユーザーには、E メールアドレスや電話番号などのデータ属性ごとに 1 つの値のみが割り当てられます。複数の値を持つユーザーは同期に失敗します。属性に複数の値を持つユーザーがいる場合は、IAM アイデンティティセンターでユーザーをプロビジョニングする前に、重複する属性を削除してください。例えば、同期できる電話番号属性は 1 つだけです。デフォルトの電話番号属性は「勤務先の電話」なので、ユーザーの電話番号が自宅の電話でも携帯電話でも、「勤務先の電話」属性を使用してユーザーの電話番号を保存します。

• ユーザーが IAM Identity Center で無効化されていても、Google Workspace で有効化されていれば、属性は引き続き同期されます。

• Identity Center ディレクトリに同じユーザー名とパスワードを持つ既存のユーザーがいる場合、そのユーザーは の SCIM を使用して上書きされ、同期されますGoogle Workspace。

• ID ソースを変更する場合は、他にも考慮事項があります。詳細については、「IAM Identity Center から外部 IdP への変更」を参照してください。

ステップ 1: Google Workspace: SAML アプリケーションを設定する

1. スーパー管理者権限を持つアカウントを使用して、管理者Googleコンソールにサインインします。

2. Google 管理コンソール の左側のナビゲーションパネルで、アプリ を選択し、ウェブおよびモバイルアプリ を選択します。

3. アプリの追加ドロップダウンリストで、アプリの検索 を選択します。

4. 検索ボックスに「Amazon Web Services」と入力し、リストから「Amazon Web Services (SAML) アプリ」を選択します。

5. Google ID プロバイダーの詳細 - Amazon Web Services ページで、次のいずれかを実行できます。

   1. IdP メタデータをダウンロードします。

   2. SSO URL、エンティティ ID URL、および証明書情報をコピーします。

   ステップ 2 では、XML ファイルまたは URL 情報のいずれかが必要です。

6. Google 管理者コンソールの次のステップに進む前に、このページを開いたままにして、IAM Identity Center コンソールに移動します。

ステップ 2: IAM Identity Center と Google Workspace: IAM Identity Center アイデンティティソースを変更し、SAML ID プロバイダーGoogle Workspaceとして設定する

1. 管理者権限を持つロールを使用して IAM Identity Center コンソールにサインインします。

2. 左側のナビゲーションペインの [Settings] (設定) を選択します。

3. [設定] ページで [アクション] タブを選択し、[ID ソースを変更] を選択します。

   • IAM Identity Center を有効にしていない場合は、の有効化 AWS IAM Identity Center「」で詳細を確認してください。IAM Identity Center を初めて有効化してアクセスすると、ダッシュボードが表示され、ID ソースの選択を選択できます。

4. [ID ソースを選択] ページで [外部 ID プロバイダー] を選択したら、[次へ] を選択します。

5. [外部 ID プロバイダーの設定] ページが開きます。このページとステップ 1 のGoogle Workspaceページを完了するには、以下を完了する必要があります。

   1. IAM Identity Center コンソールの ID プロバイダーメタデータセクションで、次のいずれかを実行する必要があります。

      1. IAM Identity Center Google コンソールで IdP SAML メタデータとして SAML メタデータ IdPをアップロードします。

      2. Google SSO URL をコピーして IdP サインイン URL フィールドに貼り付け、Google発行者 URL を IdP 発行者 URL フィールドに貼り付け、Google証明書 を IdP 証明書 としてアップロードします。

6. IAM Identity Center コンソールの Identity Provider metadata セクションでGoogleメタデータを指定したら、 AWS アクセスポータルのサインイン URL 、IAM Identity Assertion Consumer Service (ACS) URL 、および IAM Identity Center 発行者 URL をコピーします。これらの URLs、次のステップのGoogle管理者コンソールで指定する必要があります。

7. IAM Identity Center コンソールでページを開いたままにして、Google管理者コンソールに戻ります。Amazon Web Services - サービスプロバイダーの詳細ページに移動する必要があります。[Continue] (続行) をクリックします。

8. サービスプロバイダーの詳細ページで、ACS URL 、エンティティ ID 、開始 URL の値を入力します。これらの値は、前のステップでコピーし、IAM Identity Center コンソールで確認できます。

   • IAM Identity Center Assertion Consumer Service (ACS) URL を ACS URL フィールドに貼り付けます。

   • IAM Identity Center 発行者 URL をエンティティ ID フィールドに貼り付けます。

   • AWS アクセスポータルのサインイン URL を開始 URL フィールドに貼り付けます。

9. サービスプロバイダーの詳細ページで、次のように名前 ID のフィールドに入力します。

   • [名前 ID 形式] で、[E メール] を選択します。

   • [名前 ID] で、[基本情報] > [プライマリ E メールアドレス] を選択します。

10. [Continue] を選択します。

11. 属性マッピングページの属性 で、マッピングの追加 を選択し、Googleディレクトリ属性 でこれらのフィールドを設定します。

    • https://aws.amazon.com/SAML/Attributes/RoleSessionName アプリ属性 で、属性 から「基本情報」、「プライマリ E Google Directory メール」のフィールドを選択します。

    • https://aws.amazon.com/SAML/Attributes/Role アプリ属性 で、任意のGoogle Directory属性 を選択します。Google ディレクトリ属性は、部門 である可能性があります。

12. [終了] を選択します

13. IAM Identity Center コンソールに戻り、次へ を選択します。確認と確認ページで情報を確認し、表示されたスペースに ACCEPT と入力します。[Change identity source] (ID ソースの変更) を選択します。

これで、ユーザーが IAM Identity Center にプロビジョニングGoogle Workspaceできるように、 で Amazon Web Services アプリを有効にする準備が整いました。

ステップ 3: Google Workspace: アプリケーションを有効にする

1. Google 管理コンソールに戻り、アプリケーション、ウェブ、モバイルアプリケーション で AWS IAM Identity Center を見つけます。

2. ユーザーアクセス の横にあるユーザーアクセスパネルで、下矢印を選択してユーザーアクセスを展開し、サービスステータスパネルを表示します。

3. サービスステータスパネルで、すべてのユーザーに対してオンを選択し、保存を選択します。

注記

最小特権の原則を維持するために、このチュートリアルを完了したら、すべての のサービスステータスを OFF に変更することをお勧めします。 へのアクセスが必要なユーザーのみが、サービスを有効にする AWS 必要があります。Google Workspace グループまたは組織単位を使用して、ユーザーの特定のサブセットへのアクセス権をユーザーに付与できます。

ステップ 4: IAM アイデンティティセンター: IAM アイデンティティセンターの自動プロビジョニングを設定する

1. IAM アイデンティティセンターコンソールに戻ります。

2. [設定] ページで、[自動プロビジョニング] 情報ボックスを探し、[有効化] を選択します。これにより、すぐに IAM Identity Center の自動プロビジョニングが有効になり、必要なエンドポイントとアクセストークンの情報が表示されます。

3. [Inbound automatic provisioning] (インバウンド自動プロビジョニング) ダイアログボックスで、以下のオプションの値をそれぞれコピーします。このチュートリアルのステップ 5 では、これらの値を入力して、 で自動プロビジョニングを設定しますGoogle Workspace。

   • SCIM エンドポイント

   • アクセストークン

   警告

   SCIM エンドポイントとアクセストークンを取得できるのは今回だけです。先に進む前に、必ずこれらの値をコピーしてください。

4. [閉じる] を選びます。

   IAM Identity Center コンソールでプロビジョニングを設定したので、次のステップでは で自動プロビジョニングを設定しますGoogle Workspace。

ステップ 5: Google Workspace: 自動プロビジョニングを設定する

1. Google 管理コンソールと AWS IAM Identity Center アプリケーションに戻ります。アプリケーション、ウェブ、モバイルアプリケーション にあります。 [自動プロビジョニング] セクションで、[自動プロビジョニングの設定] を選択します。

2. 前の手順では、IAM Identity Center コンソールでアクセストークン値をコピーしました。アクセストークンフィールドにその値を貼り付け、続行 を選択します。また、前の手順では、IAM Identity Center コンソールで SCIM エンドポイント値をコピーしました。その値を [エンドポイント URL] フィールドに貼り付けます。URL の末尾にあるスラッシュを削除して、[続行]を選択します。

3. すべての必須の IAM アイデンティティセンター属性 (* の付いた属性) が Google Cloud Directory 属性にマップされていることを確認します。そうでない場合は、下矢印を選択して適切な属性にマップします。[Continue] を選択します。

4. 「プロビジョニングスコープ」セクションで、Google Workspaceディレクトリを持つグループを選択して、Amazon Web Services アプリへのアクセスを提供できます。このステップをスキップして [続行] を選択します。

5. プロビジョニング解除セクションでは、ユーザーからアクセスを削除するさまざまなイベントへの対応方法を選択できます。状況ごとに、プロビジョニング解除を開始するまでの時間を指定できます。

   • 24 時間以内

   • 1 日後

   • 7 日後

   • 30 日後

   それぞれの状況には、アカウントのアクセスを一時停止するタイミングとアカウントを削除するタイミングがあります。

   ヒント

   ユーザーのアカウントを削除するまでの時間は、必ずユーザーのアカウントを停止するよりも長く設定してください。

6. [Finish] を選択します。Amazon Web Services アプリページに戻ります。

7. 自動プロビジョニングセクションで、トグルスイッチをオンにして、非アクティブ からアクティブ に変更します。

   注記

   IAM Identity Center がユーザーに対して有効になっていない場合、アクティベーションスライダーは無効になります。[ユーザーアクセス] を選択し、アプリをオンにしてスライダーを有効にします。

8. 確認ダイアログボックスで [オンにする] をクリックします。

9. ユーザーが IAM Identity Center と正常に同期されたことを確認するには、IAM Identity Center コンソールに戻り、[ユーザー] を選択します。[ユーザー] ページには、SCIM によって作成された Google Workspace ディレクトリのユーザーが一覧表示されます。ユーザーがまだリストに表示されていない場合は、プロビジョニングがまだ進行中である可能性があります。プロビジョニングには最長で 24 時間かかることがありますが、ほとんどの場合、数分以内に完了します。ブラウザウィンドウは数分おきに更新してください。

   ユーザーを選択し、その詳細を表示します。情報はGoogle Workspaceディレクトリ内の情報と一致する必要があります。

お疲れ様でした。

Google Workspace と の間の SAML 接続を正常にセットアップ AWS し、自動プロビジョニングが機能していることを検証しました。[IAM Identity Center] でこれらのユーザーをアカウントおよびアプリケーションに割り当てることができるようになりました。このチュートリアルでは、次のステップで、管理アカウントへの管理アクセス許可を付与して、ユーザーの 1 人を IAM アイデンティティセンター管理者として指定しましょう。

ステップ 6: IAM Identity Center: Google Workspaceユーザーに アカウントへのアクセスを許可する

1. IAM Identity Center コンソールに戻ります。IAM アイデンティティセンターのナビゲーションペインの [マルチアカウントのアクセス許可] で、[AWS アカウント] を選択します。

2. AWS アカウント ページの [組織構造] には、組織のルートと、その下にあるアカウントが階層内で表示されます。管理アカウントのチェックボックスをオンにし、[ユーザーまたはグループを割り当て] を選択します。

3. [ユーザーとグループを割り当てる] のワークフローが表示されます。これは、3 つのステップから構成されています。

   1. [ステップ 1: ユーザーとグループの選択] では、管理者の職務を実行するユーザーを選択します。次いで、[次へ] を選択します。

   2. [ステップ 2: アクセス許可セットの選択] では、[許可セットを作成] を選択します。新しいタブが開き、アクセス許可セットを作成するための 3 つのサブステップが順を追って表示されます。

      1. [ステップ 1: 許可セットタイプを選択] では、以下を完了します。

         • [許可セットのタイプ] で、[事前定義された許可セット] を選択します。

         • 事前定義されたアクセス許可セット のポリシーで、 を選択しますAdministratorAccess。

         [次へ] をクリックします。

      2. [ステップ 2: 許可セットの詳細を指定] では、デフォルト設定のままで、[次へ] を選択します。

         デフォルト設定では、セッション時間を 1 時間に設定した という名前AdministratorAccessのアクセス許可セットが作成されます。

      3. ステップ 3: を確認して作成する で、アクセス許可セットタイプが AWS 管理ポリシー を使用していることを確認しますAdministratorAccess。[作成] を選択します。[アクセス許可セット] ページに、アクセス許可セットが作成されたことを知らせる通知が表示されます。この時点で、ウェブブラウザでこのタブを閉じてもかまいません。

      4. [ユーザーとグループを割り当てる] ブラウザタブでは、[ステップ 2: 許可セットを選択] でアクセス許可セットの作成ワークフローを開始した状態のままになっています。

      5. [アクセス許可セット] 領域で、[更新] ボタンを選択します。作成したAdministratorAccessアクセス許可セットがリストに表示されます。そのアクセス許可セットのチェックボックスを選択したら、[次へ] を選択します。

   3. [ステップ 3: 確認と送信] では、選択したユーザーとアクセス許可セットを確認し、[送信] を選択します。

      ページが更新され、 AWS アカウント が設定されているというメッセージが表示されます。プロセスが完了するまで待ちます。

      AWS アカウント ページに戻ります。が再プロビジョニングされ、更新されたアクセス許可セットが適用され AWS アカウント たことを通知する通知メッセージ。ユーザーがサインインすると、AdministratorAccessロールを選択するオプションがあります。

      注記

      からの SCIM 自動同期は、ユーザーのプロビジョニングGoogle Workspaceのみをサポートします。現時点では、グループの自動プロビジョニングはサポートされていません。 AWS Management Consoleを使用して Google Workspace ユーザーのグループを作成することはできません。ユーザーをプロビジョニングした後、 AWS CLI Identity Store の create-group コマンドまたは IAM API を使用してグループを作成できますCreateGroup。

ステップ 7: Google Workspace: Google Workspaceユーザーが リソースにアクセスできることを確認する AWS

1. テストユーザーアカウントGoogleを使用して にサインインします。にユーザーを追加する方法についてはGoogle Workspace、「 Google Workspaceのドキュメント」を参照してください。

2. Google apps ランチャー (ワッフル) アイコンを選択します。

3. カスタム Google Workspace アプリが置かれているアプリケーションリストの下部にスクロールします。[Amazon Web Services] と [AWS アクセスポータル] の 2 つのアプリが表示されます。

4. AWS アクセスポータルアプリを選択します。ポータルにサインインすると、 AWS アカウント アイコンが表示されます。そのアイコンを展開すると、 AWS アカウント ユーザーがアクセスできる のリストが表示されます。このチュートリアルでは 1 つのアカウントしか使用していなかったため、アイコンを展開しても 1 つのアカウントしか表示されません。

   注記

   Amazon Web Services アプリを選択すると、SAML エラーが表示されます。このアプリは IAM ユーザーとしてプロビジョニングされた Google Workspace ユーザー用で、このチュートリアルでは IAM アイデンティティセンターのユーザーとして Google Workspace ユーザーをプロビジョニングします。

5. アカウントを選択すると、そのユーザーが利用可能なアクセス許可セットが表示されます。このチュートリアルでは、アクセスAdministratorAccess許可セットを作成しました。

6. アクセス許可セットの横には、その許可セットで利用できるアクセスの種類を示すリンクがあります。アクセス許可セットを作成したときに、管理コンソールとプログラムによるアクセスの両方を有効にするように指定したので、これら 2 つのオプションが表示されます。[管理コンソール] を選択して AWS Management Consoleを開きます。

7. ユーザーはコンソールにサインインしています。

(オプション) アクセスコントロールの属性を渡す

IAM Identity Center の アクセスコントロールの属性 機能をオプションで使用して、Name 属性を https://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey} に設定した Attribute 要素を渡すことができます。この要素を使用すると、SAML アサーションでセッションタグとして属性を渡すことができます。セッションタグの詳細については、「IAM ユーザーガイド」の「 AWS STSでのタグ付けの規則 」 を参照してください。

属性をセッションタグとして渡すには、タグの値を指定する AttributeValue 要素を含めます。例えば、タグのキーバリューのペア CostCenter = blue を渡すには、次のような属性を使用します。

<saml:AttributeStatement>
<saml:Attribute Name="https://aws.amazon.com/SAML/Attributes/AccessControl:CostCenter">
<saml:AttributeValue>blue
</saml:AttributeValue>
</saml:Attribute>
</saml:AttributeStatement>

複数の属性を追加する必要がある場合は、各タグに個別の Attribute 要素を含めます。

次のステップ

Google Workspace を ID プロバイダーとして設定し、IAM アイデンティティセンターにユーザーをプロビジョニングしたので、次のことが可能になります。

• AWS CLI Identity Store の create-group コマンドまたは IAM API を使用してCreateGroup、ユーザーのグループを作成します。

  グループは、 AWS アカウント およびアプリケーションへのアクセスを割り当てるときに便利です。各ユーザーを個別に割り当てるのではなく、グループに権限を与えます。その後、グループにユーザーを追加したり削除したりすると、そのユーザーはグループに割り当てられたアカウントやアプリケーションへのアクセス権を動的に得たり、失ったりします。

• 職務に基づいてアクセス許可を設定します。「アクセス許可セットの作成」を参照してください。

  アクセス権限セットは、ユーザーおよびグループが持つこの AWS アカウントアカウントに対するアクセスのレベルを定義します。権限セットは IAM Identity Center に保存され、1 つまたは複数の AWS アカウントにプロビジョニングできます。複数のアクセス権限セットを 1 人のユーザーに割り当てることができます。

注記

IAM Identity Center の管理者として、古い IdP 証明書を新しい証明書に置き換える必要がある場合があります。例えば、IdP 証明書の有効期限が近づいている場合は、証明書を交換する必要があります。古い証明書を新しい証明書に置き換えるプロセスは、証明書のローテーションと呼ばれています。Google Workspace については、SAML 証明書の管理方法を必ず確認してください。