Okta および IAM アイデンティティセンターによる SAML と SCIM の設定 - AWS IAM Identity Center

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Okta および IAM アイデンティティセンターによる SAML と SCIM の設定

System for Cross-domain Identity Management (SCIM) 2.0 プロトコル を使用して、 から IAM Identity Center Oktaにユーザーおよびグループの情報を自動的にプロビジョニングまたは同期できます。この接続を Okta で設定するには、IAM Identity Center 用の SCIM エンドポイントと、IAM Identity Center で自動的に作成されるベアラートークンを使用します。SCIM 同期を設定すると、Okta のユーザー属性と IAM Identity Center の名前付き属性のマッピングが作成されます。このマッピングは、IAM Identity Center と Okta アカウントの間で想定されるユーザー属性と一致します。

Okta は、SCIM を介して IAM Identity Center に接続した場合、以下のプロビジョニング機能をサポートします。

  • ユーザーの作成 — Okta で IAM Identity Center アプリケーションに割り当てられたユーザーは IAM ID センターでプロビジョニングされます。

  • ユーザー属性の更新 — Okta で IAM Identity Center に割り当てられているユーザーの属性変更は、IAM Identity Center で更新されます。

  • ユーザーの無効化 — Okta で IAM Identity Center から割り当てられていないユーザーは、IAM Identity Center では無効になります。

  • グループプッシュ — Okta のグループ (およびそのメンバー) は、IAM Identity Center に同期されます。

    注記

    Okta と IAM Identity Center の両方で管理上のオーバーヘッドを最小限に抑えるために、個々のユーザーではなくグループを割り当てを行い、プッシュすることをお勧めします。

目的

このチュートリアルでは、Okta IAM アイデンティティセンターとの SAML 接続をセットアップする手順を順を追って説明します。後で、SCIM を使用して Okta からのユーザーを同期します。このシナリオでは、Okta 内のすべてのユーザーとグループを管理します。ユーザーは Okta ポータルを通じてサインインします。すべてが正しく設定されていることを確認するには、設定ステップを完了すると、 Okta ユーザーとしてサインインし、 AWS リソースへのアクセスを確認します。

注記

Okta's IAM アイデンティティセンターアプリケーションがインストールされている Okta アカウント (無料トライアル) にサインアップできます。有料の Okta 製品の場合は、Okta のライセンスがライフサイクル管理やアウトバウンドプロビジョニングを可能にする同様の機能をサポートしているかどうかを確認する必要があるかもしれません。これらの機能は、Okta から IAM Identity Center に SCIM を設定する際に必要となる場合があります。

IAM アイデンティティセンターをまだ有効にしていない場合は、「の有効化 AWS IAM Identity Center」を参照してください。

  • Okta と IAM Identity Center の間で SCIM プロビジョニングを設定する前に、まず を確認することをお勧めします自動プロビジョニングを使用する際の注意事項

  • すべての Okta ユーザーにおいて、[名][姓][ユーザー名][表示名] の値を指定する必要があります。

  • 各 Okta ユーザーには、E メールアドレスや電話番号などのデータ属性ごとに 1 つの値のみが割り当てられます。複数の値を持つユーザーは同期に失敗します。属性に複数の値を持つユーザーがいる場合は、IAM アイデンティティセンターでユーザーをプロビジョニングする前に、重複する属性を削除してください。例えば、同期できる電話番号属性は 1 つだけです。デフォルトの電話番号属性は「勤務先の電話」なので、ユーザーの電話番号が自宅の電話でも携帯電話でも、「勤務先の電話」属性を使用してユーザーの電話番号を保存します。

  • IAM Identity Center Oktaで を使用する場合、IAM Identity Center は通常、 のアプリケーションとして設定されますOkta。これにより、IAM Identity Center の複数のインスタンスを複数のアプリケーションとして設定し、 の単一のインスタンス内で複数の AWS Organizations へのアクセスをサポートできますOkta。

  • 資格とロール属性はサポートされていないため、IAM アイデンティティセンターと同期できません。

  • 同じ Okta グループを割り当てとグループプッシュの両方に使用することは、現在サポートされていません。Okta と IAM アイデンティティセンターの間で一貫したグループメンバーシップを維持するためには、別のグループを作成し、IAM アイデンティティセンターにグループをプッシュするように設定する必要があります。

  1. Okta admin dashboard にログインして [アプリケーション] を展開し、[アプリケーション] を選択します。

  2. [Applications] (アプリケーション) ページで、[Browse App Catalog] (アプリケーションカタログを参照) を選択します。

  3. 検索ボックスに「」と入力し AWS IAM Identity Center、アプリを選択して IAM Identity Center アプリを追加します。

  4. [サインオン] タブを選択します。

  5. [SAML 署名証明書] で、[アクション] を選択し、[IdP メタデータの表示] を選択します。新しいブラウザタブが開き、XML ファイルのドキュメントツリーが表示されます。<md:EntityDescriptor> から </md:EntityDescriptor> まで XML をすべて選択し、テキストファイルにコピーします。

  6. metadata.xml としてテキストファイルを保存します。

をOkta admin dashboard開いたままにすると、後のステップでこのコンソールを引き続き使用します。

  1. 管理者権限を持つユーザーとして IAM アイデンティティセンターコンソールを開きます。

  2. 左側のナビゲーションペインの [Settings] (設定) を選択します。

  3. [設定] ページで [アクション] タブを選択し、[ID ソースを変更] を選択します。

  4. [ID ソースの選択][外部 ID プロバイダー] を選択し、[次へ] を選択します。

  5. [外部 ID プロバイダーの設定] で、次の操作を行います。

    1. [サービスプロバイダーメタデータ] で、[メタデータファイルをダウンロード] を選択して、IAM アイデンティティセンターメタデータファイルをダウンロードし、システムに保存します。このチュートリアルの後半で、IAM アイデンティティセンターSAML メタデータファイルを Okta に提供します。

      簡単にアクセスできるように、以下の項目をテキストファイルにコピーします。

      • [IAM アイデンティティセンターアサーションコンシューマーサービス (ACS) URL]

      • [IAM アイデンティティセンター発行者 URL]

      これらの値は、このチュートリアルの後半で必要になります。

    2. ID プロバイダーメタデータ IdP SAML メタデータ で、ファイルを選択 を選択し、前のステップで作成したmetadata.xmlファイルを選択します。

    3. [次へ] をクリックします。

  6. 免責事項を読み、次に進む準備ができたら、[ACCEPT] (許諾) を押してください。

  7. [Change identity source] (ID ソースの変更) を選択します。

    AWS コンソールを開いたままにして、次のステップでこのコンソールを引き続き使用します。

  8. に戻りOkta admin dashboard、 AWS IAM Identity Center アプリのサインオンタブを選択し、編集を選択します

  9. [詳細なサインオン設定] で、次のように入力します。

    • ACS URL には、IAM Identity Center Assertion Consumer Service (ACS) URL にコピーした値を入力します。

    • 発行者 URL には、IAM Identity Center 発行者 URL にコピーした値を入力します。

    • アプリケーションユーザー名の形式 で、メニューからオプションのいずれかを選択します。

      選択した値がユーザーごとに一意であることを確認します。このチュートリアルでは、[Okta ユーザー名] を選択します。

  10. [保存] を選択します。

これで、 から IAM Identity Center にユーザーOktaをプロビジョニングする準備が整いました。をOkta admin dashboard開いたままにして、次のステップのために IAM Identity Center コンソールに戻ります。

  1. IAM アイデンティティセンターコンソールの [設定] ページで、[自動プロビジョニング] 情報ボックスを見つけて、[有効にする] を選択します。これにより、IAM アイデンティティセンターの自動プロビジョニングが有効になり、必要な SCIM エンドポイントとアクセストークンの情報が表示されます。

  2. [インバウンド自動プロビジョニング] ダイアログボックスで、以下のオプションの値をそれぞれコピーします。

    • SCIM エンドポイント

    • アクセストークン

    警告

    これは、SCIM エンドポイントとアクセストークンを取得できる唯一の時間です。先に進む前に、必ずこれらの値をコピーしてください。これらの値を入力して、このチュートリアルのOkta後半で自動プロビジョニングを設定します。

  3. [閉じる] を選びます。

  4. Okta admin dashboard に戻り、IAM アイデンティティセンターアプリに移動します。

  5. IAM Identity Center アプリページでプロビジョニングタブを選択し、設定 の左側のナビゲーションで統合 を選択します。

  6. 編集 を選択しAPI 統合を有効にする の横にあるチェックボックスを選択して、自動プロビジョニングを有効にします。

  7. このステップの前半Oktaでコピー AWS IAM Identity Center した の SCIM プロビジョニング値を使用して を設定します。

    1. [ベース URL] フィールドに [SCIM エンドポイント] の値を入力します。URL の末尾にあるスラッシュを削除してください。

    2. [API トークン] フィールドに、[アクセストークン] の値を入力します。

  8. [Test API Credentials] (API 認証情報をテストする) を選択して、入力された認証情報が有効であることを確認します。

    [AWS IAM Identity Center は正常に検証されました] というメッセージが表示されます。

  9. [保存] を選択します。「設定」セクションに移動し、「統合」が選択されました。

  10. 「設定」で、「アプリケーションへ」を選択し、有効にするアプリへのプロビジョニング機能ごとに「有効化」チェックボックスを選択します。このチュートリアルでは、すべてのオプションを選択します。

  11. [保存] を選択します。

これで、IAM アイデンティティセンターでユーザーを Okta から同期する準備が整いました。

デフォルトでは、Okta IAM アイデンティティセンターアプリにはグループやユーザーは割り当てられていません。プロビジョニンググループは、グループのメンバーであるユーザーをプロビジョニングします。グループとユーザーを と同期するには、次のステップを実行します AWS IAM Identity Center。

  1. Okta IAM Identity Center アプリページで、「割り当て」タブを選択します。IAM アイデンティティセンターアプリにはユーザーとグループの両方を割り当てることができます。

    1. ユーザーを割り当てるには:

      • [割り当て] ページで、[割り当てる] を選択し、[人に割り当てる] を選択します。

      • IAM アイデンティティセンターアプリへのアクセスを付与する Okta ユーザーを選択します。[Assign] (割り当て)、[Save and Go Back] (保存して戻る)、[Done] (完了) の順に選択します。

      これにより、IAM アイデンティティセンターへのユーザーのプロビジョニングプロセスが開始されます。

    2. グループを割り当てるには:

      • [割り当て] ページで、[割り当てる] を選択し、[グループに割り当てる] を選択します。

      • IAM アイデンティティセンターアプリへのアクセスを付与する Okta グループを選択します。[Assign] (割り当て)、[Save and Go Back] (保存して戻る)、[Done] (完了) の順に選択します。

      これにより、IAM Identity Center へのグループ内のユーザーのプロビジョニングプロセスが開始されます。

      注記

      グループに追加の属性がすべてのユーザーレコードに含まれていない場合は、その属性を指定する必要がある場合があります。グループに指定された属性は、個々の属性値よりも優先されます。

  2. [Push Groups] (プッシュグループ) タブを選択します。IAM Identity Center と同期するOktaグループを選択します。[保存] を選択します。

    グループとそのメンバーが IAM アイデンティティセンターに正常にプッシュされると、グループのステータスが [アクティブ] に変わります。

  3. [割り当て] タブに戻ります。

  4. 個々のOktaユーザーを IAM Identity Center に追加するには、次のステップに従います。

    1. [Assignments] (割り当て) ページで、[Assign] (割り当て) を選択し、[Assign to People] (人に割り当てる) を選択します。

    2. IAM アイデンティティセンターアプリへのアクセスを付与する Okta ユーザーを選択します。[Assign] (割り当て)、[Save and Go Back] (保存して戻る)、[Done] (完了) の順に選択します。

      これにより、IAM アイデンティティセンターへの個人ユーザーのプロビジョニングプロセスが開始されます。

      注記

      のアプリケーションページから AWS IAM Identity Center 、ユーザーとグループをアプリケーションに割り当てることもできますOkta admin dashboard。これを行うには、[設定] アイコンを選択し、[ユーザーに割り当てる] または [グループに割り当てる] を選択し、ユーザーまたはグループを指定します。

  5. IAM アイデンティティセンターコンソールに戻ります。左側のナビゲーションで [ユーザー] を選択すると、Okta ユーザーが入力したユーザーリストが表示されます。

お疲れ様でした。

Okta と の間の SAML 接続を正常にセットアップ AWS し、自動プロビジョニングが機能していることを検証しました。[IAM Identity Center] でこれらのユーザーをアカウントおよびアプリケーションに割り当てることができるようになりました。このチュートリアルでは、次のステップで、管理アカウントへの管理アクセス許可を付与して、ユーザーの 1 人を IAM アイデンティティセンター管理者として指定しましょう。

  1. IAM アイデンティティセンターのナビゲーションペインの [マルチアカウントのアクセス許可] で、[AWS アカウント] を選択します。

  2. AWS アカウント ページの [組織構造] には、組織のルートと、その下にあるアカウントが階層内で表示されます。管理アカウントのチェックボックスをオンにし、[ユーザーまたはグループを割り当て] を選択します。

  3. [ユーザーとグループを割り当てる] のワークフローが表示されます。これは、3 つのステップから構成されています。

    1. ステップ 1: ユーザーとグループ を選択するには、管理者ジョブ機能を実行するユーザーを選択します。次いで、[次へ] を選択します。

    2. ステップ 2: アクセス許可セット を選択する で、アクセス許可セットの作成 を選択して新しいタブを開き、アクセス許可セットの作成に関連する 3 つのサブステップについて説明します。

      1. [ステップ 1: 許可セットタイプを選択] では、以下を完了します。

        • [許可セットのタイプ] で、[事前定義された許可セット] を選択します。

        • 事前定義されたアクセス許可セット のポリシーで、 を選択しますAdministratorAccess

        [次へ] をクリックします。

      2. [ステップ 2: 許可セットの詳細を指定] では、デフォルト設定のままで、[次へ] を選択します。

        デフォルト設定では、セッション時間を 1 時間に設定した という名前AdministratorAccessのアクセス許可セットが作成されます。

      3. ステップ 3: を確認して作成する でアクセス許可セットタイプが AWS 管理ポリシー を使用していることを確認しますAdministratorAccess[作成] を選択します。アクセス許可セットページに、アクセス許可セットが作成されたことを通知する通知が表示されます。この時点で、ウェブブラウザでこのタブを閉じてもかまいません。

      [ユーザーとグループを割り当てる] ブラウザタブでは、[ステップ 2: 許可セットを選択] でアクセス許可セットの作成ワークフローを開始した状態のままになっています。

      [アクセス許可セット] 領域で、[更新] ボタンを選択します。作成したAdministratorAccessアクセス許可セットがリストに表示されます。そのアクセス許可セットのチェックボックスを選択したら、[次へ] を選択します。

    3. ステップ 3: を確認して送信するには、選択したユーザーとアクセス許可セットを確認してから、送信を選択します。

      ページが更新され、 AWS アカウント が設定されているというメッセージが表示されます。プロセスが完了するまで待ちます。

      AWS アカウント ページに戻ります。が再プロビジョニングされ、更新されたアクセス許可セットが適用され AWS アカウント たことを通知する通知メッセージ。ユーザーがサインインすると、AdministratorAccessロールを選択するオプションがあります。

  1. テストアカウントを使用して にサインインしますOkta dashboard。

  2. マイアプリ で、 AWS IAM Identity Center アイコンを選択します。

  3. AWS アカウント アイコンが表示されます。そのアイコンを展開すると、ユーザーがアクセスできる AWS アカウント のリストが表示されます。このチュートリアルでは 1 つのアカウントしか使用していなかったため、アイコンを展開しても 1 つのアカウントしか表示されません。

  4. アカウントを選択すると、そのユーザーが利用可能なアクセス許可セットが表示されます。このチュートリアルでは、アクセスAdministratorAccess許可セットを作成しました。

  5. アクセス許可セットの横には、その許可セットで利用できるアクセスの種類を示すリンクがあります。アクセス許可セットを作成したときに、 AWS Management Console とプログラムによるアクセスの両方へのアクセスを指定しました。[管理コンソール] を選択して AWS Management Consoleを開きます。

  6. ユーザーは にサインインしています AWS Management Console。

IAM Identity Center の アクセスコントロールの属性 機能をオプションで使用して、Name 属性を https://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey} に設定した Attribute 要素を渡すことができます。この要素を使用すると、SAML アサーションでセッションタグとして属性を渡すことができます。セッションタグの詳細については、「IAM ユーザーガイド」の「 AWS STSでのタグ付けの規則 」 を参照してください。

属性をセッションタグとして渡すには、タグの値を指定する AttributeValue 要素を含めます。例えば、タグのキーバリューのペア CostCenter = blue を渡すには、次のような属性を使用します。

<saml:AttributeStatement>
<saml:Attribute Name="https://aws.amazon.com/SAML/Attributes/AccessControl:CostCenter">
<saml:AttributeValue>blue
</saml:AttributeValue>
</saml:Attribute>
</saml:AttributeStatement>

複数の属性を追加する必要がある場合は、各タグに個別の Attribute 要素を含めます。

Okta を ID プロバイダーとして設定し、IAM アイデンティティセンターにユーザーをプロビジョニングしたので、次のことが可能になります。