Google Workspace および IAM アイデンティティセンターによる SAML と SCIM の設定 - AWS IAM Identity Center

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Google Workspace および IAM アイデンティティセンターによる SAML と SCIM の設定

組織で を使用している場合はGoogle Workspace、ユーザーとグループGoogle Workspaceを から IAM Identity Center に統合して、IAM Identity Center アイデンティティソースをデフォルトの IAM Identity Center アイデンティティソースから に変更することで、 AWS リソースへのアクセスを許可できますGoogle Workspace。

Google Workspace のユーザー情報は、クロスドメイン ID 管理システム (SCIM) v2.0 プロトコルを使用して IAM アイデンティティセンターに同期されます。Google Workspace で、この接続を IAM アイデンティティセンター用 SCIM エンドポイントと IAM アイデンティティセンターのベアラートークンを使用して設定します。SCIM 同期を設定すると、Google Workspace のユーザー属性と IAM Identity Center の名前付き属性のマッピングが作成されます。このマッピングは、IAM アイデンティティセンターと Google Workspace の間で、期待されるユーザー属性を照合します。そのためには、Google Workspace を IAM ID プロバイダーと IAM アイデンティティセンターID プロバイダーとして設定する必要があります。

目的

このチュートリアルのステップは、 Google Workspaceと の間の SAML 接続を確立する手順を示しています AWS。後で、SCIM を使用して Google Workspace のユーザーを同期します。すべてが正しく設定されていることを確認するには、設定手順を完了した後、Google Workspaceユーザーとしてサインインし、 AWS リソースへのアクセスを検証します。このチュートリアルは小規模 Google Workspace ディレクトリのテスト環境に基づいていることに注意してください。グループや組織単位などのディレクトリ構造は含まれていません。

注記

Google Workspace の無料トライアルにサインアップするには、Google's Web サイトの Google Workspace にアクセスしてください。

IAM アイデンティティセンターをまだ有効にしていない場合は、「の有効化 AWS IAM Identity Center」を参照してください。

Google Workspace と IAM アイデンティティセンター間で SCIM プロビジョニングを設定する前に、まず 自動プロビジョニングを使用する際の注意事項 を確認することをお勧めします。

開始する前に、次について確認してください。

  • すべての Google Workspace ユーザーにおいて、[名][姓][ユーザー名][表示名] の値を指定する必要があります。

  • 各 Google Workspace ユーザーには、E メールアドレスや電話番号などのデータ属性ごとに 1 つの値のみが割り当てられます。複数の値を持つユーザーは同期に失敗します。属性に複数の値を持つユーザーがいる場合は、IAM アイデンティティセンターでユーザーをプロビジョニングする前に、重複する属性を削除してください。例えば、同期できる電話番号属性は 1 つだけです。デフォルトの電話番号属性は「勤務先の電話」なので、ユーザーの電話番号が自宅の電話でも携帯電話でも、「勤務先の電話」属性を使用してユーザーの電話番号を保存します。

注記
  • ユーザーが IAM Identity Center で無効化されていても、Google Workspace で有効化されていれば、属性は引き続き同期されます。

  • IAM Identity Center ディレクトリに同じユーザーネームと E メールアドレスを持つ既存のユーザーがいる場合、そのユーザーは上書きされ、Google Workspace から SCIM を介して同期されます。

  1. スーパー管理者権限を持つアカウントを使用して [Google 管理コンソール] にサインインします。

  2. 左側のナビゲーションパネルで、[ディレクトリ][ユーザー] の順に選択します。

  3. [ユーザー] リストの上部にある [その他のオプション] を選択し、[カスタム属性の管理] を選択します。

  4. ページの右上にある [カスタム属性を追加] を選択します。

  5. [カスタムフィールドを追加] ウィンドウで、以下のフィールドに入力します。

    1. [カテゴリ]Amazon と入力します。

    2. [説明][Amazon カスタム属性] と入力します。

    3. [名前][ロール] を入力します。

    4. [情報タイプ][テキスト] を選択します。

    5. [表示][ユーザーと管理者に表示] を選択します。

    6. [値の数][複数値] を選択します。

    [追加] を選択します。新しい属性が [ユーザー属性の管理] ページの [カスタム属性] に表示されます。

[Google 管理コンソール] にログインしたまま、次のステップでもそのコンソールを引き続き使用します。

  1. [Google 管理コンソール] の左側のナビゲーションパネルで、[セキュリティ] を展開し、[認証][SAML アプリケーションによる SSO] を選択します。コンソールのレイアウトによっては、[さらに表示] を選択してナビゲーションパネルの [セキュリティ] セクションを表示する必要がある場合があります。

  2. [IdP メタデータ][メタデータをダウンロード] を選択します。[GoogleIDPMetadata.xml] ファイルはデフォルトのダウンロードフォルダに保存されます。

[Google 管理コンソール] は、このチュートリアルで何度も操作を行うため、開いたままにしておいてください。

Amazon Web Services アプリは、Google Workspace ユーザーの IAM アイデンティティセンターへの自動 SCIM プロビジョニングをサポートしています。

  1. [Google 管理コンソール] の左側のナビゲーションパネルで、[アプリ] を展開し、[ウェブアプリとモバイルアプリ] を選択します。

  2. [アプリを追加] を選択し、[アプリを検索] を選択します。

  3. 検索ボックスに [Amazon Web Services] と入力し、リストから [Amazon Web Services (SAML)] アプリを選択します。

  4. [Google ID プロバイダーの詳細] ページで、メタデータをダウンロードするか、SSO URL、エンティティ ID、証明書をコピーするかを選択できます。ステップ 2 で IdP メタデータをダウンロードしたため、これらの項目はいずれも実行する必要はありません。[続行] を選択できます。

  5. サービスプロバイダーの詳細ページで、 の ACS URLエンティティ ID の値がデフォルトで設定 AWS され、続行を選択します

  6. [属性マッピング] ページの [属性] で、[Google Directory 属性] に次のフィールドを追加します。

    • [基本情報、プライマリ E メールアドレス] フィールドを選択し、[アプリ] 属性に https://aws.amazon.com/SAML/Attributes/RoleSessionName を入力します。

    • フィールド、[Amazon、ロール] を選択し、[アプリケーション] 属性に https://aws.amazon.com/SAML/Attributes/Role を入力します。

      注記

      [Amazon、ロール] は、このチュートリアルのステップ 1 で作成したカスタム属性です。

  7. [終了] を選択します

  1. 管理アクセス許可を持つロールで IAM アイデンティティセンターコンソールにサインインします。

  2. 左側のナビゲーションペインの [Settings] (設定) を選択します。

  3. [設定] ページで [アクション] タブを選択し、[ID ソースを変更] を選択します。

  4. ID ソースの選択」で「外部 ID プロバイダー」を選択し、「次へ」を選択します。

  5. [外部 ID プロバイダーの設定] ページが開きます。このページを完了するには、Google Workspace で IAM アイデンティティセンターを SAML アプリとして設定し、Google Admin console から情報を取得する必要があります。次の手順を実行します。

    1. [Google 管理コンソール] の左側のナビゲーションパネルで、[アプリ] を展開し、[ウェブアプリとモバイルアプリ] を選択します。

    2. [アプリを追加] を選択し、[カスタム SAML アプリを追加] を選択します。

    3. [アプリ名を入力]AWS access portal と入力し、[説明] に説明文を入力します。このチュートリアルでは、[Google Workspace チュートリアル用AWS アクセスポータル] と入力し、[続行] を選択します。

    4. [Google ID プロバイダーの詳細] ページで [続行] を選択します。

    5. [サービスプロバイダーの詳細] ページで、[ACS URL][エンティティ ID] の値を入力します。IAM アイデンティティセンターコンソールに戻って、次の値を確認してください。

      • IAM アイデンティティセンターコンソールの [サービスプロバイダーのメタデータ] で、[IAM アイデンティティセンターAssertion Consumer Service (ACS) の URL] をコピーします。

        [Google 管理コンソール] - [サービスプロバイダーの詳細] ページに戻り、URL を [ACS URL] フィールドに貼り付けます。

      • IAM アイデンティティセンターコンソールの [サービスプロバイダーのメタデータ] で、[IAM アイデンティティセンターの発行者 URL] をコピーします。

        [Google 管理コンソール] - [サービスプロバイダーの詳細] ページに戻り、URL を [エンティティ ID] フィールドに貼り付けます。

    6. [Google 管理コンソール] - [サービスプロバイダーの詳細] ページで、[名前 ID] のフィールドに次のように入力します。

      • [名前 ID 形式] で、[E メール] を選択します。

      • [名前 ID] で、[基本情報] > [プライマリ E メールアドレス] を選択します。

      [Continue] を選択します。

    7. [属性マッピング] ページの [属性] で、[マッピングの追加] を選択後、[Google Directory 属性] で次のフィールドを設定します。

      • [基本情報、プライマリ E メールアドレス] フィールドを選択し、[アプリ属性]https://aws.amazon.com/SAML/Attributes/RoleSessionName を入力します。

      • フィールド [Amazon、ロール] を選択し、[アプリケーション属性]https://aws.amazon.com/SAML/Attributes/Role を入力します。

        注記

        [Amazon、ロール] は、ステップ 1 で作成したカスタム属性です。存在しない場合は、「ステップ 1: のカスタムユーザー属性を作成する AWS」を参照してください。

    8. [終了] を選択します

  6. IAM アイデンティティセンターコンソールに戻ります。[外部 ID プロバイダーの設定] ページが表示されています。[ID プロバイダー] のメタデータ の [IdP SAML メタデータ][ファイルを選択] を選択し、ステップ 2 でダウンロードした GoogleIDPMetadata.xml ファイルをアップロードします。

    [次へ] を選択します。

  7. [変更の確認] ページで情報を確認し、表示されたスペースに [ACCEPT] と入力します。

    [Change identity source] (ID ソースの変更) を選択します。

これで、Google Workspace で Amazon Web Services アプリを有効化して、ユーザーを IAM アイデンティティセンターにプロビジョニングする準備ができました。

  1. [Google 管理コンソール] の左側のナビゲーションパネルで、[アプリ] を展開し、[ウェブアプリとモバイルアプリ] を選択します。

  2. [アプリ] リストで [Amazon Web Services] アイコンを選択し、アプリの詳細ページを開きます。

  3. [ユーザーアクセス] パネルの [ユーザーアクセス] の横にある下矢印 [ユーザーアクセスの展開] を選択すると、[サービスのステータス] パネルが表示されます。

  4. [サービスのステータス][全員オン] を選択し、次に [保存] を選択します。

  5. [AWS アクセスポータル] アイコンを選択し、アプリの詳細ページを開きます。

  6. [ユーザーアクセス] パネルの [ユーザーアクセス] の横にある下矢印 [ユーザーアクセスの展開] を選択すると、[サービスのステータス] パネルが表示されます。

  7. [サービスのステータス][全員オン] を選択し、次に [保存] を選択します。

    注記

    最小特権の原則を維持するために、このチュートリアルの完了後、これら両方のアプリについて、[サービスのステータス][全員に対してオフ] に変更することをお勧めします。へのアクセスを必要とするユーザーのみが、 サービスを有効にする AWS 必要があります。Google Workspace グループまたは組織単位を使用して、ユーザーの特定のサブセットへのアクセス権をユーザーに付与できます。

  1. 管理アクセス許可を持つロールで IAM アイデンティティセンターコンソールにサインインします。

  2. [設定] ページで、[自動プロビジョニング] 情報ボックスを探し、[有効化] を選択します。これにより、すぐに IAM Identity Center の自動プロビジョニングが有効になり、必要なエンドポイントとアクセストークンの情報が表示されます。

  3. [インバウンド自動プロビジョニング] ダイアログボックスで、以下のオプションの値をそれぞれコピーします。

    • SCIM エンドポイント

    • アクセストークン

    このチュートリアルの後半では、Google Workspace でこれらの値を入力してプロビジョニングを設定します。

  4. [閉じる] を選びます。

    IAM アイデンティティセンターコンソールでプロビジョニングを設定したので、次のステップでは、Google Workspace 自動プロビジョニング IAM アイデンティティセンターコネクタを使用して残りのタスクを完了します。

  1. 管理者アカウントを使用して [Google 管理コンソール]サインインし、[アプリ > ウェブアプリとモバイルアプリ] に移動します。

  2. [Amazon Web Services] アプリケーションを選択します。

  3. [自動プロビジョニング] セクションで、[自動プロビジョニングの設定] を選択します。

  4. 前の手順で、IAM Identity Center の [アクセストークン] の値をコピーしました。Google Workspace でその値を [アクセストークン] フィールドに貼り付け、[続行] を選択します。また、前の手順で、IAM Identity Center から [SCIM エンドポイント] の値をコピーしました。その値を [エンドポイント URL] フィールドに貼り付けます。URL の末尾にあるスラッシュを削除して、[続行]を選択します。

  5. すべての必須の IAM アイデンティティセンター属性 (* の付いた属性) が Google Cloud Directory 属性にマップされていることを確認します。そうでない場合は、下矢印を選択して適切な属性にマップします。[Continue] を選択します。

  6. [プロビジョニング範囲] では、Amazon Web Services アプリへのアクセスを付与する Google Workspace ディレクトリを含むグループを選択できます。このステップをスキップして [続行] を選択します。

  7. [プロビジョニング解除] では、ユーザーのアクセス権を取り消すさまざまなイベントへの対応方法を選択できます。状況ごとに、プロビジョニング解除を開始するまでの時間を指定できます。

    • 24 時間以内

    • 1 日後

    • 7 日後

    • 21 日後

    それぞれの状況には、アカウントのアクセスを一時停止するタイミングとアカウントを削除するタイミングがあります。

    ヒント

    ユーザーのアカウントを削除するまでの時間は、必ずユーザーのアカウントを停止するよりも長く設定してください。

  8. [Finish] を選択します。Amazon Web Services アプリページに戻ります。

  9. [自動プロビジョニング] セクションで、トグルスイッチをオンにして [非アクティブ] から [アクティブ] に変更します。

    注記

    IAM Identity Center がユーザーに対して有効になっていない場合、アクティベーションスライダーは無効になります。[ユーザーアクセス] を選択し、アプリをオンにしてスライダーを有効にします。

  10. 確認ダイアログボックスで [オンにする] をクリックします。

  11. ユーザーが IAM Identity Center と正常に同期されたことを確認するには、IAM Identity Center コンソールに戻り、[ユーザー] を選択します。[ユーザー] ページには、SCIM によって作成された Google Workspace ディレクトリのユーザーが一覧表示されます。ユーザーがまだリストに表示されていない場合は、プロビジョニングがまだ進行中である可能性があります。プロビジョニングには最長で 24 時間かかることがありますが、ほとんどの場合、数分以内に完了します。ブラウザウィンドウは数分おきに更新してください。

    ユーザーを選択し、その詳細を表示します。情報は Google Workspace ディレクトリ内の情報と一致します。

お疲れ様でした。

これで、 と の間の SAML 接続が正常にセットアップGoogle Workspace AWS され、自動プロビジョニングが機能していることが確認されました。[IAM Identity Center] でこれらのユーザーをアカウントおよびアプリケーションに割り当てることができるようになりました。このチュートリアルでは、次のステップで、管理アカウントへの管理アクセス許可を付与して、ユーザーの 1 人を IAM アイデンティティセンター管理者として指定しましょう。

  1. IAM アイデンティティセンターのナビゲーションペインの [マルチアカウントのアクセス許可] で、[AWS アカウント] を選択します。

  2. AWS アカウント ページの [組織構造] には、組織のルートと、その下にあるアカウントが階層内で表示されます。管理アカウントのチェックボックスをオンにし、[ユーザーまたはグループを割り当て] を選択します。

  3. [ユーザーとグループを割り当てる] のワークフローが表示されます。これは、3 つのステップから構成されています。

    1. [ステップ 1: ユーザーとグループの選択] では、管理者の職務を実行するユーザーを選択します。次いで、[次へ] を選択します。

    2. [ステップ 2: アクセス許可セットの選択] では、[許可セットを作成] を選択します。新しいタブが開き、アクセス許可セットを作成するための 3 つのサブステップが順を追って表示されます。

      1. [ステップ 1: 許可セットタイプを選択] では、以下を完了します。

        • [許可セットのタイプ] で、[事前定義された許可セット] を選択します。

        • 「事前定義されたアクセス許可セットのポリシー」で、「」を選択しますAdministratorAccess

        [次へ] を選択します。

      2. [ステップ 2: 許可セットの詳細を指定] では、デフォルト設定のままで、[次へ] を選択します。

        デフォルト設定では、セッション時間を 1 時間に設定AdministratorAccessして、 という名前のアクセス許可セットを作成します。

      3. ステップ 3: を確認して作成するではアクセス許可セットタイプが AWS マネージドポリシー を使用していることを確認しますAdministratorAccess[作成] を選択します。[アクセス許可セット] ページに、アクセス許可セットが作成されたことを知らせる通知が表示されます。この時点で、ウェブブラウザでこのタブを閉じてもかまいません。

      [ユーザーとグループを割り当てる] ブラウザタブでは、[ステップ 2: 許可セットを選択] でアクセス許可セットの作成ワークフローを開始した状態のままになっています。

      [アクセス許可セット] 領域で、[更新] ボタンを選択します。作成したAdministratorAccessアクセス許可セットがリストに表示されます。そのアクセス許可セットのチェックボックスを選択したら、[次へ] を選択します。

    3. [ステップ 3: 確認と送信] では、選択したユーザーとアクセス許可セットを確認し、[送信] を選択します。

      ページが更新され、 AWS アカウント が設定されているというメッセージが表示されます。プロセスが完了するまで待ちます。

      AWS アカウント ページに戻ります。が再プロビジョニングされ、更新されたアクセス許可セットが適用され AWS アカウント たことを知らせる通知メッセージが表示されます。ユーザーがサインインすると、AdministratorAccessロールを選択するオプションがあります。

      注記

      Google Workspace からの SCIM 自動同期はユーザーのプロビジョニングのみをサポートし、グループは自動的にプロビジョニングされません。 AWS Management Consoleを使用して Google Workspace ユーザーのグループを作成することはできません。ユーザーをプロビジョニングしたら、CLI または API 操作によってグループを作成できます。

  1. テストユーザーアカウントを使用して Google にサインインします。

  2. Google apps ランチャー (ワッフル) アイコンを選択します。

  3. カスタム Google Workspace アプリが置かれているアプリケーションリストの下部にスクロールします。[Amazon Web Services][AWS アクセスポータル] の 2 つのアプリが表示されます。

  4. AWS アクセスポータルアプリを選択します。ポータルにサインインすると、 AWS アカウント アイコンが表示されます。そのアイコンを展開すると、 AWS アカウント ユーザーがアクセスできる のリストが表示されます。このチュートリアルでは 1 つのアカウントしか使用していなかったため、アイコンを展開しても 1 つのアカウントしか表示されません。

    注記

    Amazon Web Services アプリを選択すると、SAML エラーが表示されます。このアプリは IAM ユーザーとしてプロビジョニングされた Google Workspace ユーザー用で、このチュートリアルでは IAM アイデンティティセンターのユーザーとして Google Workspace ユーザーをプロビジョニングします。

  5. アカウントを選択すると、そのユーザーが利用可能なアクセス許可セットが表示されます。このチュートリアルでは、アクセスAdministratorAccess許可セットを作成しました。

  6. アクセス許可セットの横には、その許可セットで利用できるアクセスの種類を示すリンクがあります。アクセス許可セットを作成したときに、管理コンソールとプログラムによるアクセスの両方を有効にするように指定したので、これら 2 つのオプションが表示されます。[管理コンソール] を選択して AWS Management Consoleを開きます。

  7. ユーザーはコンソールにサインインしています。

IAM Identity Center の アクセスコントロールの属性 機能をオプションで使用して、Name 属性を https://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey} に設定した Attribute 要素を渡すことができます。この要素を使用すると、SAML アサーションでセッションタグとして属性を渡すことができます。セッションタグの詳細については、「IAM ユーザーガイド」の「 AWS STSでのタグ付けの規則 」 を参照してください。

属性をセッションタグとして渡すには、タグの値を指定する AttributeValue 要素を含めます。例えば、タグのキーバリューのペア CostCenter = blue を渡すには、次のような属性を使用します。

<saml:AttributeStatement> <saml:Attribute Name="https://aws.amazon.com/SAML/Attributes/AccessControl:CostCenter"> <saml:AttributeValue>blue </saml:AttributeValue> </saml:Attribute> </saml:AttributeStatement>

複数の属性を追加する必要がある場合は、各タグに個別の Attribute 要素を含めます。

Google Workspace を ID プロバイダーとして設定し、IAM アイデンティティセンターにユーザーをプロビジョニングしたので、次のことが可能になります。

  • create-group Identity Store AWS CLI オペレーションまたは CreateGroup API を使用して、ユーザーのグループを作成します。

    グループは、 AWS アカウント およびアプリケーションへのアクセスを割り当てる場合に便利です。各ユーザーを個別に割り当てるのではなく、グループに権限を与えます。その後、グループにユーザーを追加したり削除したりすると、そのユーザーはグループに割り当てられたアカウントやアプリケーションへのアクセス権を動的に得たり、失ったりします。

  • 職務に基づいてアクセス許可を設定します。「アクセス許可セットの作成」を参照してください。

    アクセス権限セットは、ユーザーおよびグループが持つこの AWS アカウントアカウントに対するアクセスのレベルを定義します。権限セットは IAM Identity Center に保存され、1 つまたは複数の AWS アカウントにプロビジョニングできます。複数のアクセス権限セットを 1 人のユーザーに割り当てることができます。

注記

IAM Identity Center の管理者として、古い IdP 証明書を新しい証明書に置き換える必要がある場合があります。例えば、IdP 証明書の有効期限が近づいている場合は、証明書を交換する必要があります。古い証明書を新しい証明書に置き換えるプロセスは、証明書のローテーションと呼ばれています。Google Workspace については、SAML 証明書の管理方法を必ず確認してください。