SAML SCIM と を設定する Google Workspace および IAM Identity Center

組織が を使用している場合 Google Workspace ユーザーを統合できるのは、Google Workspace を IAM Identity Center に入力して、 AWS リソースへのアクセスを許可します。Identity Center アイデンティティソースをデフォルトの IAM Identity Center IAM アイデンティティソースから に変更することで、この統合を実現できます。Google Workspace.

からのユーザー情報 Google Workspace は、 クロスドメインIAMアイデンティティ管理システム () 2.0 プロトコル を使用して Identity Center に同期されます。 SCIMこの接続は で設定します。Google Workspace IAM Identity Center と IAM Identity Center ベアラトークンにSCIMエンドポイントを使用する。SCIM 同期を設定するときは、 でユーザー属性のマッピングを作成します。Google Workspace IAM Identity Center で名前付き属性に。このマッピングは、IAMIdentity Center と Google Workspace。 そのためには、Google Workspace IAM ID プロバイダーおよび IAM Identity Center ID プロバイダーとして。

目的

このチュートリアルのステップは、 SAMLGoogle Workspace および AWS。その後、 からユーザーを同期します。Google Workspace を使用するSCIM。すべてが正しく設定されていることを確認するには、設定ステップを完了すると、 としてサインインします。Google Workspace ユーザーを指定し、 AWS リソースへのアクセスを確認します。このチュートリアルは、Google Workspace ディレクトリテスト環境。グループや組織単位などのディレクトリ構造は、このチュートリアルに含まれません。このチュートリアルを完了すると、ユーザーは を使用して AWS アクセスポータルにアクセスできます。Google Workspace 認証情報。

注記

の無料トライアルにサインアップするには Google Workspace を訪問する Google Workspace 上の Google's ウェブサイト。

IAM Identity Center をまだ有効にしていない場合は、「」を参照してください有効化 AWS IAM Identity Center。

考慮事項

• SCIM プロビジョニングを設定する前に Google Workspace と IAM Identity Center では、まず を確認することをお勧めします自動プロビジョニングを使用する際の注意事項。

• SCIM からの自動同期 Google Workspace は現在、ユーザープロビジョニングに制限されています。自動グループプロビジョニングは現在サポートされていません。グループは、 AWS CLI Identity Store create-group コマンドまたは AWS Identity and Access Management （IAM) API を使用して手動で作成できますCreateGroup。または、ssosync を使用して同期することもできます。Google Workspace ユーザーとグループを IAM Identity Center に入力します。

• ごと Google Workspace ユーザーは、名 、姓 、ユーザー名、表示名の値を指定する必要があります。

• 各 Google Workspace ユーザーには、E メールアドレスや電話番号など、データ属性ごとに 1 つの値しかありません。複数の値を持つユーザーは同期に失敗します。属性に複数の値を持つユーザーがいる場合は、IAMアイデンティティセンターでユーザーをプロビジョニングする前に、重複する属性を削除します。例えば、同期できる電話番号属性は 1 つだけです。デフォルトの電話番号属性は「勤務先の電話」なので、ユーザーの電話番号が自宅の電話でも携帯電話でも、「勤務先の電話」属性を使用してユーザーの電話番号を保存します。

• ユーザーが IAM Identity Center で無効になっているが、 でアクティブな場合、属性は引き続き同期されます。Google Workspace.

• Identity Center ディレクトリに同じユーザー名とパスワードを持つ既存のユーザーがいる場合、ユーザーは SCIM から を使用して上書きおよび同期されます。Google Workspace.

• ID ソースを変更する場合は、他にも考慮事項があります。詳細については、「IAM Identity Center から外部 IdP への変更」を参照してください。

ステップ 1: Google Workspace: SAMLアプリケーションを設定する

1. にサインインする Google スーパー管理者権限を持つアカウントを使用した管理コンソール。

2. の左側のナビゲーションパネルで Google 管理コンソール で、アプリを選択し、ウェブおよびモバイルアプリ を選択します。

3. アプリの追加ドロップダウンリストで、アプリの検索 を選択します。

4. 検索ボックスに Amazon Web Services と入力し、リストから Amazon Web Services (SAML） アプリを選択します。

5. リポジトリの [] Google ID プロバイダーの詳細 - Amazon Web Services ページでは、次のいずれかを実行できます。

   1. IdP メタデータをダウンロードします。

   2. SSO URL、エンティティ ID URL、および証明書情報をコピーします。

   ステップ 2 では、 XML ファイルまたはURL情報が必要です。

6. の次のステップに進む前に Google 管理者コンソールで、このページを開いたままにして、IAMIdentity Center コンソールに移動します。

ステップ 2: IAM Identity Center と Google Workspace: IAM Identity Center の ID ソースと設定を変更する Google Workspace SAML ID プロバイダーとして

1. 管理アクセス許可を持つロールを使用して IAM Identity Center コンソールにサインインします。

2. 左側のナビゲーションペインの [Settings] (設定) を選択します。

3. [設定] ページで [アクション] タブを選択し、[ID ソースを変更] を選択します。

   • IAM Identity Center を有効にしていない場合は、有効化 AWS IAM Identity Center「」を参照してください。Identity IAM Center を初めて有効にしてアクセスすると、ダッシュボードが表示され、ID ソースを選択 を選択できます。

4. [ID ソースを選択] ページで [外部 ID プロバイダー] を選択したら、[次へ] を選択します。

5. [外部 ID プロバイダーの設定] ページが開きます。このページと を完了するには Google Workspace ステップ 1 の ページでは、以下を完了する必要があります。

   1. Identity IAM Center コンソールの Identity Provider メタデータセクションで、次のいずれかを実行する必要があります。

      1. をアップロードする Google SAML IAM Identity Center コンソールの IdP SAMLメタデータとしてのメタデータ。

      2. をコピーして貼り付ける Google SSO URL IdP サインインURLフィールドに Google IdP 発行者フィールドに発行者URLURLを入力し、 をアップロードします。 Google IdP 証明書 としての証明書。 IdP

6. を指定した後 Google IAM Identity Center コンソールの Identity Provider メタデータセクションのメタデータで、IAMIdentity Assertion Consumer Service (ACS) URL と IAM Identity Center 発行者 URLをコピーします。これらを URLsで指定する必要があります。Google 次のステップの管理者コンソール。

7. IAM Identity Center コンソールでページを開いたままにして、 に戻ります。Google 管理者コンソール。Amazon Web Services - サービスプロバイダーの詳細ページに移動する必要があります。[Continue] (続行) をクリックします。

8. サービスプロバイダーの詳細ページで、 ACSURLとエンティティ ID の値を入力します。これらの値は前のステップでコピーし、IAMIdentity Center コンソールで確認できます。

   • IAM Identity Center Assertion Consumer Service (ACS) URL を ACSURLフィールドに貼り付けます。

   • IAM Identity Center 発行URL者をエンティティ ID フィールドに貼り付けます。

9. サービスプロバイダーの詳細ページで、次のように名前 ID のフィールドを入力します。

   • 名前 ID 形式 で、 を選択します。 EMAIL

   • [名前 ID] で、[基本情報] > [プライマリ E メールアドレス] を選択します。

10. [Continue]（続行） を選択します。

11. 属性マッピングページで、属性 で を選択しADDMAPPING、 でこれらのフィールドを設定します。 Google ディレクトリ属性 ：

    • https://aws.amazon.com/SAML/Attributes/RoleSessionName アプリ属性 で、 から基本情報、プライマリ E メールの フィールドを選択します。 Google Directory 属性 。

    • https://aws.amazon.com/SAML/Attributes/Role アプリ属性 で、任意の を選択します。 Google Directory 属性 。A Google ディレクトリ属性は 部門 にすることができます。

12. [終了] を選択します

13. IAM Identity Center コンソールに戻り、次へ を選択します。確認と確認ページで、情報を確認してから、所定のスペースACCEPTに入力します。[Change identity source] (ID ソースの変更) を選択します。

これで、 で Amazon Web Services アプリを有効にする準備が整いました。Google Workspace ユーザーが IAM Identity Center にプロビジョニングされるようにします。

ステップ 3: Google Workspace: アプリケーションを有効にする

1. に戻る Google 管理コンソールと AWS IAM Identity Center 、アプリ、ウェブ、モバイルアプリ にある アプリケーション。

2. ユーザーアクセス の横にあるユーザーアクセスパネルで、下矢印を選択してユーザーアクセスを展開し、サービスステータスパネルを表示します。

3. サービスステータスパネルで、すべての に対して ON を選択し、 を選択しますSAVE。

注記

最小特権の原則を維持するために、このチュートリアルを完了したら、OFFすべての のサービスステータスを に変更することをお勧めします。 AWS にアクセスする必要のあるユーザーのみに対して、このサービスを有効にしてください。以下を使用できます..。Google Workspace グループまたは組織単位を使用して、ユーザーの特定のサブセットへのアクセスをユーザーに付与します。

ステップ 4: IAM Identity Center: IAM Identity Center 自動プロビジョニングを設定する

1. IAM Identity Center コンソールに戻ります。

2. [設定] ページで、[自動プロビジョニング] 情報ボックスを探し、[有効化] を選択します。これにより、IAMIdentity Center の自動プロビジョニングがすぐに有効になり、必要なSCIMエンドポイントとアクセストークン情報が表示されます。

3. [Inbound automatic provisioning] (インバウンド自動プロビジョニング) ダイアログボックスで、以下のオプションの値をそれぞれコピーします。このチュートリアルのステップ 5 では、これらの値を入力して、 で自動プロビジョニングを設定します。Google Workspace.

   1. SCIM エンドポイント - https://scim. などus-east-2.amazonaws.com/11111111111-2222-3333-4444-555555555555/scim/v2

   2. [アクセストークン] - [トークンを表示] を選択して値をコピーします。

   警告

   これは、SCIMエンドポイントとアクセストークンを取得できる唯一の時間です。先に進む前に、これらの値をコピーしてください。

4. [閉じる] を選択します。

   IAM Identity Center コンソールでプロビジョニングを設定したら、次のステップで で自動プロビジョニングを設定します。Google Workspace.

ステップ 5 ( AWS アプリケーションへのアクセスには不要): Google Workspace: 自動プロビジョニングを設定する

1. に戻る Google 管理コンソールと AWS IAM Identity Center アプリケーション。アプリケーション、ウェブ、モバイルアプリケーション にあります。[自動プロビジョニング] セクションで、[自動プロビジョニングの設定] を選択します。

2. 前の手順では、IAMIdentity Center コンソールで Access トークン値をコピーしました。アクセストークンフィールドにその値を貼り付け、「続行」を選択します。また、前の手順では、IAMIdentity Center コンソールでSCIMエンドポイント値をコピーしました。その値を Endpoint URL フィールドに貼り付け、「続行」を選択します。

3. 必須の IAM Identity Center 属性 (* でマークされた属性) がすべて にマッピングされていることを確認します。Google Cloud Directory 属性。そうでない場合は、下矢印を選択して適切な属性にマップします。[Continue]（続行） を選択します。

4. プロビジョニングスコープセクションでは、Google Workspace Amazon Web Services アプリへのアクセスを提供する ディレクトリ。このステップをスキップして [続行] を選択します。

5. プロビジョニング解除セクションでは、ユーザーからアクセスを削除するさまざまなイベントに応答する方法を選択できます。状況ごとに、プロビジョニング解除を開始するまでの時間を指定できます。

   • 24 時間以内

   • 1 日後

   • 7 日後

   • 30 日後

   それぞれの状況には、アカウントのアクセスを一時停止するタイミングとアカウントを削除するタイミングがあります。

   ヒント

   ユーザーのアカウントを削除するまでの時間は、必ずユーザーのアカウントを停止するよりも長く設定してください。

6. [Finish] を選択します。Amazon Web Services アプリページに戻ります。

7. 自動プロビジョニングセクションで、トグルスイッチをオンにして、非アクティブ からアクティブ に変更します。

   注記

   IAM Identity Center がユーザーに対してオンになっていない場合、アクティベーションスライダーは無効になります。[ユーザーアクセス] を選択し、アプリをオンにしてスライダーを有効にします。

8. 確認ダイアログボックスで [オンにする] をクリックします。

9. ユーザーが IAM Identity Center に正常に同期されていることを確認するには、IAMIdentity Center コンソールに戻り、「ユーザー」を選択します。ユーザーページには、Google Workspace によって作成された ディレクトリSCIM。ユーザーがまだリストに表示されていない場合は、プロビジョニングがまだ進行中である可能性があります。プロビジョニングには最長で 24 時間かかることがありますが、ほとんどの場合、数分以内に完了します。ブラウザウィンドウは数分おきに更新してください。

   ユーザーを選択し、その詳細を表示します。情報は、Google Workspace ディレクトリ。

お疲れ様でした。

間のSAML接続が正常にセットアップされました Google Workspace および AWS は、自動プロビジョニングが機能していることを検証しました。これらのユーザーを IAM Identity Center のアカウントとアプリケーションに割り当てることができるようになりました。このチュートリアルでは、次のステップで、管理アカウントに管理アクセス許可を付与して、ユーザーの 1 人を IAM Identity Center 管理者として指定します。

ステップ 6 ( AWS アプリケーションへのアクセスには不要): IAM Identity Center: Grant Google Workspace アカウントへのユーザーアクセス

1. IAM Identity Center コンソールに戻ります。IAM Identity Center ナビゲーションペインのマルチアカウントアクセス許可 で、 を選択しますAWS アカウント。

2. AWS アカウント ページの [組織構造] には、組織のルートと、その下にあるアカウントが階層内で表示されます。管理アカウントのチェックボックスをオンにし、[ユーザーまたはグループを割り当て] を選択します。

3. [ユーザーとグループを割り当てる] のワークフローが表示されます。これは、3 つのステップから構成されています。

   1. [ステップ 1: ユーザーとグループの選択] では、管理者の職務を実行するユーザーを選択します。次いで、[次へ] を選択します。

   2. [ステップ 2: アクセス許可セットの選択] では、[許可セットを作成] を選択します。新しいタブが開き、アクセス許可セットを作成するための 3 つのサブステップが順を追って表示されます。

      1. [ステップ 1: 許可セットタイプを選択] では、以下を完了します。

         • [許可セットのタイプ] で、[事前定義された許可セット] を選択します。

         • 事前定義されたアクセス許可セット のポリシーで、 を選択しますAdministratorAccess。

         [Next (次へ)] を選択します。

      2. [ステップ 2: 許可セットの詳細を指定] では、デフォルト設定のままで、[次へ] を選択します。

         デフォルト設定では、 という名前のアクセス許可セットを作成します。AdministratorAccess セッション時間を 1 時間に設定した。

      3. ステップ 3: を確認して作成するには、アクセス許可セットタイプが AWS マネージドポリシー を使用していることを確認しますAdministratorAccess。[Create] (作成) を選択します。[アクセス許可セット] ページに、アクセス許可セットが作成されたことを知らせる通知が表示されます。この時点で、ウェブブラウザでこのタブを閉じてもかまいません。

      4. [ユーザーとグループを割り当てる] ブラウザタブでは、[ステップ 2: 許可セットを選択] でアクセス許可セットの作成ワークフローを開始した状態のままになっています。

      5. [アクセス許可セット] 領域で、[更新] ボタンを選択します。- AdministratorAccess 作成したアクセス許可セットがリストに表示されます。そのアクセス許可セットのチェックボックスを選択したら、[次へ] を選択します。

   3. [ステップ 3: 確認と送信] では、選択したユーザーとアクセス許可セットを確認し、[送信] を選択します。

      ページ AWS アカウント が更新され、 が設定されているというメッセージが表示されます。プロセスが完了するまで待ちます。

      AWS アカウント ページに戻ります。通知メッセージは、 AWS アカウント が再プロビジョニングされ、更新されたアクセス許可セットが適用されたことを通知します。ユーザーがサインインすると、AdministratorAccess ロール。

      注記

      SCIM からの自動同期 Google Workspace はユーザーのプロビジョニングのみをサポートします。現在、自動グループプロビジョニングはサポートされていません。のグループを作成することはできません Google Workspace を使用するユーザー AWS Management Console。ユーザーをプロビジョニングした後、 AWS CLI Identity Store create-group コマンドまたは を使用してグループを作成できますCreateGroup。 IAM API

ステップ 7 ( AWS アプリケーションへのアクセスには不要): Google Workspace: 確認 Google Workspace ユーザーが AWS リソースにアクセスする

1. にサインインする Google テストユーザーアカウントの使用。にユーザーを追加する方法を学ぶには Google Workspace、「」を参照してください。 Google Workspace ドキュメント 。

2. を選択します。Google apps ランチャー (ワッフル) アイコン。

3. カスタムが Google Workspace アプリが配置されている。Amazon Web Services アプリが表示されます。

4. Amazon Web Services アプリを選択します。 AWS アクセスポータルにサインインすると、 AWS アカウント アイコンが表示されます。そのアイコンを展開して、 AWS アカウント ユーザーがアクセスできる のリストを表示します。このチュートリアルでは 1 つのアカウントしか使用していなかったため、アイコンを展開しても 1 つのアカウントしか表示されません。

5. アカウントを選択すると、そのユーザーが利用可能なアクセス許可セットが表示されます。このチュートリアルでは、AdministratorAccessアクセス許可セットを作成しました。

6. アクセス許可セットの横には、その許可セットで利用できるアクセスの種類を示すリンクがあります。アクセス許可セットを作成したときに、管理コンソールとプログラムによるアクセスの両方を有効にするように指定したので、これら 2 つのオプションが表示されます。[管理コンソール] を選択して AWS Management Consoleを開きます。

7. ユーザーはコンソールにサインインしています。

(オプション) アクセスコントロールの属性を渡す

オプションで IAM Identity Center アクセスコントロールの属性の機能を使用して、 Name 属性を に設定して Attribute要素を渡すことができますhttps://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey}。この要素を使用すると、SAMLアサーションで属性をセッションタグとして渡すことができます。セッションタグの詳細については、IAM「 ユーザーガイド」の「 でセッションタグを渡す AWS STS」を参照してください。

属性をセッションタグとして渡すには、タグの値を指定する AttributeValue 要素を含めます。例えば、タグのキーバリューのペア CostCenter = blue を渡すには、次のような属性を使用します。

<saml:AttributeStatement>
<saml:Attribute Name="https://aws.amazon.com/SAML/Attributes/AccessControl:CostCenter">
<saml:AttributeValue>blue
</saml:AttributeValue>
</saml:Attribute>
</saml:AttributeStatement>

複数の属性を追加する必要がある場合は、各タグに個別の Attribute 要素を含めます。

次のステップ

これで Google Workspace IAM Identity Center の ID プロバイダーおよびプロビジョニングされたユーザーとして、次のことができます。

• AWS CLI Identity Store create-group コマンドまたは IAMAPICreateGroupを使用して、ユーザーのグループを作成します。

  グループは、 AWS アカウント および アプリケーションへのアクセスを割り当てるときに便利です。各ユーザーを個別に割り当てるのではなく、グループに権限を与えます。その後、グループにユーザーを追加したり削除したりすると、そのユーザーはグループに割り当てられたアカウントやアプリケーションへのアクセス権を動的に得たり、失ったりします。

• 職務に基づいてアクセス許可を設定します。「アクセス許可セットの作成」を参照してください。

  アクセス権限セットは、ユーザーおよびグループが持つこの AWS アカウントアカウントに対するアクセスのレベルを定義します。アクセス許可セットは IAM Identity Center に保存され、1 つ以上の にプロビジョニングできます AWS アカウント。複数のアクセス権限セットを 1 人のユーザーに割り当てることができます。

注記

IAM Identity Center の管理者は、古い IdP 証明書を新しい証明書に置き換える必要がある場合があります。例えば、IdP 証明書の有効期限が近づいている場合は、証明書を交換する必要があります。古い証明書を新しい証明書に置き換えるプロセスは、証明書のローテーションと呼ばれています。のSAML証明書を管理する方法を必ず確認してください。Google Workspace.

トラブルシューティング

• SCIM トラブルシューティングの一般的なヒントについては、「」を参照してくださいIAM Identity Center の問題のトラブルシューティング。

• [ Google Workspace トラブルシューティングについては、「」を参照してください 。Google Workspace ドキュメント 。

でのトラブルシューティングには、以下のリソースが役立ちます AWS。

• AWS re:Post - 問題のトラブルシューティングに役立つ他のリソースを検索FAQsしてリンクします。

• AWS Support - テクニカルサポートを受ける