Microsoft Entra ID および IAM アイデンティティセンターによる SAML と SCIM の設定

AWS IAM Identity Center は、Security Assertion Markup Language (SAML) 2.0 との統合、および Microsoft Entra ID (以前は Azure Active Directoryまたは と呼ばれていた) から IAM アイデンティティセンターへのユーザーおよびグループ情報の自動プロビジョニング (同期Azure AD) を、クロスドメインアイデンティティ管理 (SCIM) 2.0 プロトコルを使用してサポートしています。詳細については、「外部 ID プロバイダーで SAML および SCIM ID フェデレーションを使用する」を参照してください。

目的

このチュートリアルでは、テストラボをセットアップし、Microsoft Entra ID と IAM アイデンティティセンター間の SAML 接続と SCIM プロビジョニングを設定します。最初の準備ステップでは、両方向の SAML 接続をテストするのに使用する Microsoft Entra ID と IAM アイデンティティセンターの両方にテストユーザー (Nikki Wolf) を作成します。後で SCIM の手順の一環として、別のテストユーザー (Richard Roe) を作成して、Microsoft Entra ID の新しい属性が想定どおりに IAM アイデンティティセンターと同期されていることを確認します。

前提条件

このチュートリアルを開始する前に、まず以下を設定する必要があります。

• Microsoft Entra ID テナント。詳細については、Microsoft ドキュメントの「Quickstart: Set up a tenant」を参照してください。

• AWS IAM Identity Centerが有効なアカウント。詳細については、「AWS IAM Identity Center ユーザーガイド」の「 IAM アイデンティティセンターを有効にする」を参照してください。

考慮事項

以下は、SCIM v2 プロトコルを使用して、本番環境内で IAM アイデンティティセンターを使用した自動プロビジョニングを実装するための計画に影響を与える場合がある Microsoft Entra ID に関する重要な考慮事項です。

自動プロビジョニング

SCIM のデプロイを開始する前に、まず 自動プロビジョニングを使用する際の注意事項 を確認することをお勧めします。

アクセスコントロールの属性

アクセスコントロールの属性は、ID ソース内の誰が AWS リソースにアクセスできるかを決定するアクセス許可ポリシーで使用されます。Microsoft Entra ID のユーザーから属性を削除しても、IAM Identity Center の対応するユーザーからはその属性は削除されません。これは、Microsoft Entra ID の既知の制限事項です。ユーザーの属性が異なる (空でない) 値に変更された場合、その変更は IAM Identity Center に同期されます。

ネストされたグループ

Microsoft Entra ID ユーザープロビジョニングサービスは、ネストされたグループのユーザーを読み取ったりプロビジョニングしたりすることはできません。明示的に割り当てられたグループの直接のメンバであるユーザーのみが、読み取りとプロビジョニングを行うことができます。Microsoft Entra ID は、間接的に割り当てられたユーザまたはグループ（直接割り当てられたグループのメンバであるユーザまたはグループ）のグループ・メンバシップを再帰的に解凍することはありません。詳細については、「Microsoft ドキュメント」の「割り当てベースのスコープ」を参照してください。または、IAM アイデンティティセンター ID AD Sync を使用して、Active Directory グループを IAM アイデンティティセンターと統合できます。

動的グループ

Microsoft Entra ID ユーザープロビジョニングサービスは、「動的グループ」のユーザーを読み取ってプロビジョニングできます。動的グループを使用する場合のユーザーとグループの構造と IAM Identity Center での表示方法を示す例については、以下を参照してください。これらのユーザーとグループは SCIM 経由で Microsoft Entra ID から IAM Identity Center にプロビジョニングされました。

たとえば、動的グループの Microsoft Entra ID 構造が以下のような場合：

1. メンバー ua1、ua2 を持つグループ A

2. メンバー ub1 を持つグループ B

3. メンバー uc1 を持つグループ C

4. グループ K (グループ A、B、C のメンバーを含むルールを持つ)

5. グループ L (グループ B と C のメンバーを含むルールを持つ)

ユーザとグループ情報が Microsoft Entra ID から SCIM を介して IAM Identity Center にプロビジョニングされた後、構造は以下のようになります。

1. メンバー ua1、ua2 を持つグループ A

2. メンバー ub1 を持つグループ B

3. メンバー uc1 を持つグループ C

4. メンバー ua1、ua2、ub1、uc1 を含むグループ K

5. メンバー ub1、uc1 を持つグループ L

動的グループを使用して自動プロビジョニングを設定する場合、次の考慮事項に留意してください。

• 動的グループにはネストされたグループを含めることができます。ただし、Microsoft Entra ID プロビジョニングサービスはネストされたグループをフラット化しません。たとえば、Microsoft Entra ID 動的グループの構造が以下のような場合：

  • グループ A はグループ B の親です。

  • グループ A には ua1 がメンバーとしています。

  • グループ B には ub1 がメンバーとしています。

グループ A を含む動的グループには、グループ A の直接のメンバー (つまり ua1) のみが含まれます。グループ B のメンバーは再帰的に含まれません。

• 動的グループには他の動的グループを含めることはできません。詳細については、Microsoft ドキュメントの「プレビューに関する制限」を参照してください。

ステップ 1: Microsoft テナントを準備する

このステップでは、 AWS IAM Identity Center エンタープライズアプリケーションをインストールして設定し、新しく作成したMicrosoft Entra IDテストユーザーにアクセスを割り当てる方法について説明します。

Step 1.1 >

ステップ 1.1: で AWS IAM Identity Center エンタープライズアプリケーションをセットアップする Microsoft Entra ID

この手順では、 AWS IAM Identity Center エンタープライズアプリケーションを にインストールしますMicrosoft Entra ID。SAML 接続を設定するには、後でこのアプリケーションが必要になります AWS。

1. クラウドアプリケーション管理者以上の権限で、Microsoft Entra 管理センターにサインインします。

2. [ID] > [アプリケーション] > [エンタープライズアプリケーション] に移動し、[新しいアプリケーション] を選択します。

3. [Microsoft Entra ギャラリーの参照] ページで、検索ボックスに AWS IAM Identity Center を入力します。

4. 検索結果から AWS IAM Identity Center を選択します。

5. [作成] を選択します。

Step 1.2 >

ステップ 1.2: Microsoft Entra ID でテストユーザーを作成する

Nikki Wolf は、この手順で作成する Microsoft Entra ID テストユーザーの名前です。

1. Microsoft Entra 管理センターコンソールで、[ID] > [ユーザー] > [すべてのユーザー] に移動します。

2. [新しいユーザー] を選択し、画面上部の [新しいユーザーの作成] を選択します。

3. [ユーザープリンシパル名] に NikkiWolf と入力し、目的のドメインと拡張子を選択します。例えば、NikkiWolf@example.org と入力します。

4. [表示名] に NikkiWolf と入力します。

5. [パスワード] に、強力なパスワードを入力するか、目のアイコンを選択して自動生成されたパスワードを表示し、表示された値をコピーするか書き留めてください。

6. [プロパティ] を選択し、[名] に Nikki と入力します。[姓] に、Wolf と入力します。

7. [レビューと作成] を選択したら、[作成] を選択します。

Step 1.3

ステップ 1.3: アクセス許可を に割り当てる前に Nikki のエクスペリエンスをテストする AWS IAM Identity Center

この手順では、Nikki が Microsoft マイアカウントポータルに正常にサインインできることを確認します。

1. 同じブラウザで新しいタブを開き、[マイアカウントポータル] サインインページに移動して、Nikki 向けの完全なメールアドレスを入力します。例えば、NikkiWolf@example.org と入力します。

2. プロンプトが表示されたら、Nikki のパスワードを入力し、[サインイン] を選択します。これが自動生成されたパスワードの場合は、パスワードを変更するように求められます。

3. [アクションが必要] ページで [後で確認する] を選択すると、追加のセキュリティメソッドの入力を求めるプロンプトは表示されなくなります。

4. [マイアカウント] ページの左側のナビゲーションペインで、[マイアプリ] を選択します。現時点では、アドイン以外のアプリが表示されていないことに注意してください。後のステップでここに表示される AWS IAM Identity Center アプリを追加します。

Step 1.4

ステップ 1.4: Microsoft Entra ID で Nikki に権限を割り当てる

Nikki が [マイアカウントポータル] に正常にアクセスできることを確認したので、次の手順に従って Nikki のユーザーを AWS IAM Identity Center アプリに割り当てます。

1. Microsoft Entra 管理センターコンソールで、[ID] > [アプリケーション] > [エンタープライズアプリケーション] に移動し、リストから AWS IAM Identity Center を選択します。

2. 左側で [ユーザーとグループ] を選択します。

3. [Add user/group] (ユーザーとグループを追加) を選択します。グループを割り当てることができないというメッセージは無視してかまいません。このチュートリアルでは、割り当てにグループを使用しません。

4. [割り当てを追加] ページの [ユーザー] で、[何も選択されていません] を選択します。

5. [NikkiWolf] を選択し、次に [選択] を選択します。

6. [Add Assignment] (割り当てを追加) ページで、[Assign] (割り当て) を選択します。これで、AWS IAM Identity Center アプリに割り当てられたユーザーのリストに NikkiWolf が表示されるようになりました。

ステップ 2: AWS アカウントを準備する

このステップでは、IAM Identity Center を使用して (許可セットにより) アクセス許可を設定する方法、対応する Nikki Wolf ユーザを手動で作成する方法、および AWSのリソースを管理するために必要な権限をそのユーザに割り当てる方法について説明します。

Step 2.1 >

ステップ 2.1: IAM Identity Center で RegionalAdmin 許可セットを作成する

このアクセス許可セットは、 内の AWS アカウントページからリージョンを管理するために必要なアカウントアクセス許可を Nikki に付与するために使用されます AWS Management Console。Nikki のアカウントのその他の情報を閲覧または管理するその他の権限は、デフォルトではすべて拒否されています。

1. IAM Identity Center コンソール を開きます。

2. [マルチアカウント権限] で、[権限セット] を選択します。

3. [Create permission set] (アクセス権限セットの作成) を選択します。

4. [許可セットタイプを選択] ページで [カスタム許可セット] を選択し、[次へ] を選択します。

5. [インラインポリシー] を選択して展開し、次の手順を使用してアクセス許可セットのポリシーを作成します。

   1. [新しいステートメントを追加] を選択してポリシーステートメントを作成します。

   2. [ステートメントの編集] で、リストから [アカウント] を選択し、次のチェックボックスを選択します。

      • ListRegions

      • GetRegionOptStatus

      • DisableRegion

      • EnableRegion

   3. [リソースの追加] の横にある [追加] を選択します。

   4. [リソースを追加] ページの [リソースタイプ] で、[すべてのリソース] を選択し、[リソースを追加] を選択します。ポリシーが次のようになっていることを確認します。

      {
          "Statement": [
              {
                  "Sid": "Statement1",
                  "Effect": "Allow",
                  "Action": [
                      "account:ListRegions",
                      "account:DisableRegion",
                      "account:EnableRegion",
                      "account:GetRegionOptStatus"
                  ],
                  "Resource": [
                      "*"
                  ]
              }
          ]
      }

6. [次へ] を選択します。

7. [許可セットの詳細を指定] ページの [許可セット名] に RegionalAdmin と入力し、[次へ] を選択します。

8. [確認して作成] ページで、[作成] をクリックします。アクセス許可セットのリストに RegionalAdmin が表示されます。

Step 2.2 >

ステップ 2.2: IAM Identity Center で対応する NikkiWolf ユーザーを作成する

SAML プロトコルには IdP (Microsoft Entra ID) をクエリして IAM アイデンティティセンターで自動的にユーザーを作成するメカニズムがないため、次の手順に従って、Microsoft Entra ID の Nikki Wolfs ユーザーのコア属性をミラーリングするユーザーを IAM アイデンティティセンターに手動で作成します。

1. IAM Identity Center コンソールを開きます。

2. [ユーザー] を選択し、[ユーザーを追加] を選択して、次の情報を入力します。

   1. [ユーザー名] と [メールアドレス] の両方に、Microsoft Entra ID ユーザーを作成したときに使用したのと同じ NikkiWolf@yourcompanydomain.extension を入力します。例えば、NikkiWolf@example.org と入力します。

   2. [メールアドレスの確認] — 前のステップで使用したメールアドレスを再入力します。

   3. [名] — Nikki と入力します。

   4. [姓] — Wolf と入力します。

   5. [表示名] — Nikki Wolf と入力します。

3. [次へ] を 2 回選択後、[ユーザーの追加] を選択します。

4. [Close] を選択します。

Step 2.3

ステップ 2.3: IAM Identity Center で RegionalAdmin 許可セットに Nikki を割り当てる

ここでは、Nikki がリージョンを管理する AWS アカウント を見つけ、 AWS アクセスポータルに正常にアクセスするために必要なアクセス許可を割り当てます。

1. IAM Identity Center コンソール を開きます。

2. [マルチアカウント権限] で、[AWS アカウント] を選択します。

3. Nikki にリージョンを管理するためのアクセス権を付与するアカウント名 (例えば、Sandbox) の横のチェックボックスを選択し、[ユーザーとグループを割り当てる] を選択します。

4. [ユーザーとグループを割り当てる] ページで [ユーザー] タブを選択し、Nikki の横にあるボックスを探してオンにし、[次へ] を選択します。

5. On the アクセス許可セットを選択する page, choose the RegionalAdmin permission set created in Step 2.1, and then choose 次へ.

6. 確認と送信ページで、選択内容を確認し、送信を選択します。

ステップ 3: SAML 接続を設定してテストする

このステップでは、IAM Identity Center の外部 IdP 設定Microsoft Entra IDとともに の AWS IAM Identity Center エンタープライズアプリケーションを使用して SAML 接続を設定します。

Step 3.1 >

ステップ 3.1: IAM アイデンティティセンターから必要なサービスプロバイダーのメタデータを収集する

このステップでは、IAM Identity Center コンソール内から ID ソースの変更ウィザードを起動し、次のステップMicrosoft Entra IDで との接続を設定するときに入力する必要があるメタデータファイルと AWS 特定のサインイン URL を取得します。

1. [IAM アイデンティティセンターコンソール] で [設定] を選択します。

2. [設定] ページで [ID ソース] タブを選択し、[アクション] > [ID ソースを変更] を選択します。

3. [ID ソースを選択] ページで [外部 ID プロバイダー] を選択したら、[次へ] を選択します。

4. [外部 ID プロバイダーの設定] ページの [サービスプロバイダーメタデータ] で、[メタデータファイルをダウンロード] を選択して XML ファイルをダウンロードします。

5. 同じセクションで、[AWS アクセスポータルのサインイン URL] 値を見つけてコピーします。この値は、次のステップで求められたときに入力します。

6. このページを開いたまま、次のステップ (Step 3.2) に移動して、 で AWS IAM Identity Center エンタープライズアプリケーションを設定しますMicrosoft Entra ID。後でこのページに戻り、プロセスを完了します。

Step 3.2 >

ステップ 3.2: で AWS IAM Identity Center エンタープライズアプリケーションを設定する Microsoft Entra ID

この手順では、前のステップで取得したメタデータファイルの値とサインオン URL を使用して、Microsoft 側の SAML 接続の半分を確立します。

1. Microsoft Entra 管理センターコンソールで、[ID] > [アプリケーション] > [エンタープライズアプリケーション] に移動し、[AWS IAM Identity Center] を選択します。

2. 左側で、2 を選択します。シングルサインオンをセットアップします。

3. [SAML でシングルサインオンを設定] のページで、[SAML] を選択します。更に、[メタデータファイルのアップロード] を選択し、フォルダアイコンを選択し、前のステップでダウンロードしたサービスプロバイダーのメタデータファイルを選択して、[追加] を選択します。

4. 基本 SAML 設定ページで、識別子と応答 URL の両方の値が、 で始 AWS まる のエンドポイントを指すようになりましたhttps://<REGION>.signin.aws.amazon.com/platform/saml/。

5. [サインオン URL (オプション)] に、前のステップでコピーした AWS アクセスポータルのサインイン URL の値 (Step 3.1) を貼り付け、[保存] を選択したら、[X] を選択してウィンドウを閉じます。

6. でシングルサインオンをテストするように求められたら AWS IAM Identity Center、後でテストする を選択します。この検証は、後のステップで行います。

7. [SAML によるシングルサインオンの設定] ページの [SAML 証明書] セクションで、[フェデレーションメタデータ XML] の横にある [ダウンロード] を選択し、メタデータファイルをシステムに保存します。次のステップでプロンプトが表示されたら、このファイルをアップロードする必要があります。

Step 3.3 >

ステップ 3.3: AWS IAM Identity Centerで Microsoft Entra ID の外部 IdP を設定する

ここで、IAM アイデンティティセンターコンソールの [ID ソースを変更] ウィザードに戻り、 AWSの SAML 接続の後半を完了します。

1. IAM アイデンティティセンターコンソールで、Step 3.1 で開いたままにしたブラウザセッションに戻ります。

2. [外部 ID プロバイダーの設定] ページの [ID プロバイダーのメタデータ] セクションの [IdP SAML メタデータ] で、[ファイルを選択] ボタンを選択し、前のステップで Microsoft Entra ID からダウンロードした ID プロバイダーのメタデータファイルを選択して、[開く] を選択します。

3. [次へ] を選択します。

4. 免責事項を読み、次に進む準備ができたら、ACCEPT と入力してください。

5. [ID ソースを変更] を選択して変更を適用します。

Step 3.4 >

ステップ 3.4: Nikki が AWS アクセスポータルにリダイレクトされることをテストする

この手順では、Nikki の認証情報を使用して Microsoft の [マイアカウントポータル] にサインインして SAML 接続をテストします。認証されたら、Nikki を AWS アクセスポータルにリダイレクトする AWS IAM Identity Center アプリケーションを選択します。

1. マイアカウントポータルのサインインページに移動し、Nikki の完全なメールアドレスを入力します。例えば、NikkiWolf@example.org と入力します。

2. プロンプトが表示されたら、Nikki のパスワードを入力し、[サインイン] を選択します。

3. [マイアカウント] ページの左側のナビゲーションペインで、[マイアプリ] を選択します。

4. [マイアプリ] ページで、AWS IAM Identity Center という名前のアプリを選択します。これにより、追加の認証を求めるプロンプトが表示されます。

5. Microsoft のサインインページで、NikkiWolf の認証情報を選択します。2 度目に認証を求められたら、NikkiWolf の認証情報をもう一度選択してください。これにより、自動的に AWS アクセスポータルにリダイレクトされます。

   ヒント

   正常にリダイレクトされない場合は、[Step 3.2] に入力した AWS アクセスポータルのサインイン URL の値がコピー元 Step 3.1 の値と一致することを確認してください。

6. AWS アカウント ディスプレイを確認します。

   ヒント

   ページが空で AWS アカウント 表示されない場合は、Nikki が RegionalAdmin アクセス許可セットに正常に割り当てられたことを確認します (「」を参照Step 2.3）。

Step 3.5

ステップ 3.5: Nikki が AWS アカウントを管理するためのアクセスレベルをテストする

このステップでは、Nikki が AWS アカウントのリージョン設定を管理するためのアクセスレベルを確認します。Nikki には、[アカウント] ページからリージョンを管理するための十分な管理者権限のみを持つことが期待されています。

1. AWS アクセスポータルで、アカウントタブを選択してアカウントのリストを表示します。アクセス許可セットを定義したアカウントに関連付けられているアカウント名、アカウント ID、メールアドレスが表示されます。

2. アクセス許可セットを適用したアカウント名 (Sandbox など) を選択します (Step 2.3 をご覧ください)。これにより、Nikki が自分のアカウントを管理するために選択できるアクセス許可セットのリストが展開されます。

3. RegionalAdmin の横にある [管理コンソール] を選択し、RegionalAdmin 許可セットで定義したロールを引き継ぎます。これにより、 AWS Management Console ホームページにリダイレクトされます。

4. コンソールの右上で、アカウント名を選択してから [アカウント] を選択します。これにより、[アカウント] ページに移動します。このページの他のすべてのセクションには、これらの設定を表示または変更するのに必要なアクセス許可がないことを示すメッセージが表示されます。

5. [アカウント] ページで、 [AWS リージョン] までスクロールダウンします。テーブル内の使用可能なリージョンのチェックボックスをオンにします。Nikki には、自分のアカウントのリージョンのリストを意図したとおりに [有効化] または [無効化] するために必要なアクセス許可が付与されています。

よくできました!

ステップ 1～3 は、SAML 接続の実装とテストを正常に実行するのに役立ちました。チュートリアルを完了するには、ステップ 4 に進んで自動プロビジョニングを実装することをお勧めします。

ステップ 4: SCIM 同期を設定してテストする

このステップでは、SCIM v2.0 プロトコルを使用して Microsoft Entra ID から IAM アイデンティティセンターへのユーザー情報の自動プロビジョニング (同期) を設定します。この接続を Microsoft Entra ID IAM Identity Center 用の SCIM エンドポイントと IAM Identity Center で自動作成されたベアラートークンを使用して設定します。

SCIM 同期を設定すると、Microsoft Entra ID のユーザー属性と IAM Identity Center の名前付き属性のマッピングが作成されます。これにより、IAM Identity Center と Microsoft Entra ID の間で、期待される属性が一致します。

次のステップでは、Microsoft Entra ID の IAM アイデンティティセンターアプリを使って、主に Microsoft Entra ID に設置されたユーザーの IAM アイデンティティセンターへの自動プロビジョニングを有効にする方法を説明します。

Step 4.1 >

ステップ 4.1: Microsoft Entra ID で 2 人目のテストユーザーを作成する

テスト用に、Microsoft Entra ID で新しいユーザー (Richard Roe) を作成します。後で SCIM 同期を設定したら、このユーザーとすべての関連属性が IAM アイデンティティセンターと正常に同期されたことをテストします。

1. Microsoft Entra 管理センターコンソールで、[ID] > [ユーザー] > [すべてのユーザー] に移動します。

2. [新しいユーザー] を選択し、画面上部の [新しいユーザーの作成] を選択します。

3. [ユーザープリンシパル名] に RichRoe と入力し、目的のドメインと拡張子を選択します。例えば、RichRoe@example.org と入力します。

4. [表示名] に RichRoe と入力します。

5. [パスワード] に、強力なパスワードを入力するか、目のアイコンを選択して自動生成されたパスワードを表示し、表示された値をコピーするか書き留めてください。

6. [プロパティ] を選択し、以下の値を指定します。

   • [名] - Richard と入力します。

   • [姓] - Roe と入力します。

   • [役職名] - Marketing Lead と入力します。

   • [部門] - Sales と入力します。

   • [従業員 ID] - 12345 と入力します。

7. [レビューと作成] を選択したら、[作成] を選択します。

Step 4.2 >

ステップ 4.2: IAM アイデンティティセンターで自動プロビジョニングを有効にする

この手順では、IAM アイデンティティセンターコンソールを使用して、ユーザーとグループの Microsoft Entra ID から IAM アイデンティティセンターへの自動プロビジョニングを有効にします。

1. [IAM アイデンティティセンターコンソール] で、左のナビゲーションペインの [設定] を選択します。

2. [設定] ページの [ID ソース] タブで、[プロビジョニング方法] が [手動] に設定されていることに注目してください。

3. [自動プロビジョニング] 情報ボックスを見つけ、[有効にする] を選択します。これにより、すぐに IAM アイデンティティセンターの自動プロビジョニングが有効になり、必要なエンドポイントとアクセストークンの情報が表示されます。

4. [インバウンド自動プロビジョニング] ダイアログボックスで、以下のオプションの値をそれぞれコピーします。これらは、次のステップで Microsoft Entra ID でプロビジョニングを設定する際に貼り付ける必要があります。

   1. [SCIM エンドポイント] - 例えば https://scim.us-east-2.amazonaws.com/11111111111-2222-3333-4444-555555555555/scim/v2

   2. [アクセストークン] - [トークンを表示] を選択して値をコピーします。

   警告

   SCIM エンドポイントとアクセストークンを取得できるタイミングは、この時のみです。先に進む前に、これらの値をコピーしておいてください。

5. [閉じる] を選択してください。

6. [ID ソース] タブで、[プロビジョニング方法] が [SCIM] に設定されていることに注目してください。

Step 4.3 >

ステップ 4.3: Microsoft Entra ID の自動プロビジョニングを設定する

RichRoe テストユーザーが用意され、IAM アイデンティティセンターで SCIM を有効にしたので、Microsoft Entra ID で SCIM 同期設定の設定に進むことができます。

1. Microsoft Entra 管理センターコンソールで、[ID] > [アプリケーション] > [エンタープライズアプリケーション] に移動し、[AWS IAM Identity Center] を選択します。

2. [プロビジョニング] を選択し、[管理] で [プロビジョニング] をもう一度選択します。

3. [プロビジョニングモード] で [自動] を選択します。

4. [管理者認証情報] の [テナント URL] に、Step 4.2 で先ほどコピーした [SCIM エンドポイント] URL 値を貼り付けます。[シークレットトークン] にアクセストークンの値を貼り付けます。

5. 接続のテストを選択します。テストした認証情報が正常に認証され、プロビジョニングが可能になったことを示すメッセージが表示されます。

6. [保存] を選択します。

7. [管理] で [ユーザーとグループ] を選択し、[ユーザー/グループの追加] を選択します。

8. [割り当てを追加] ページの [ユーザー] で、[何も選択されていません] を選択します。

9. [RichRoe] を選択後、[選択] を選択します。

10. [Add Assignment] (割り当てを追加) ページで、[Assign] (割り当て) を選択します。

11. [概要] を選択したら、[プロビジョニングの開始] を選択します。

Step 4.4

ステップ 4.4: 同期が行われたことを確認する

このセクションでは、Richard のユーザーが正常にプロビジョニングされ、すべての属性が IAM アイデンティティセンターに表示されていることを確認します。

1. IAM アイデンティティセンターコンソールで [ユーザー] をクリックします。

2. [ユーザー] ページに [RichRoe] ユーザーが表示されているはずです。[作成者] 列の値が [SCIM] に設定されていることに注意してください。

3. [RichRoe] を選択し、[プロファイル] で以下の属性が Microsoft Entra ID からコピーされていることを確認します。

   • [名] - Richard

   • [姓] - Roe

   • [部門] - Sales

   • 役職 - Marketing Lead

   • [従業員番号] - 12345

   これで Richard のユーザーが IAM アイデンティティセンターで作成されたので、そのユーザーを任意のアクセス許可セットに割り当てて、 AWS リソースに対する Richard のアクセスレベルを制御できます。例えば、以前に Nikki にリージョンを管理するためのアクセス許可 (Step 2.3 をご覧ください) を付与するために使用した RegionalAdmin 許可セットを [RichRoe] に割り当てた後、Step 3.5 で RichRoe のアクセスレベルをテストできます。

お疲れ様でした。

Microsoft と の間の SAML 接続を正常にセットアップ AWS し、自動プロビジョニングがすべてを同期させるように機能していることを検証しました。これで、学習した内容を応用して、本番環境をよりスムーズに設定できます。

ステップ 5: ABAC を設定する - オプション

SAML と SCIM を正常に設定したので、属性ベースのアクセス制御 (ABAC) を任意で設定することができます。ABAC は、属性に基づいて権限を定義する認可戦略です。

Microsoft Entra ID では、次の 2 つの方法のいずれかを使用して、IAM アイデンティティセンターで使用するために ABAC を構成できます。

Configure user attributes in Microsoft Entra ID for access control in IAM Identity Center

IAM アイデンティティセンターでのアクセスコントロール用に Microsoft Entra ID でユーザー属性を設定する

次の手順では、IAM Identity Center が AWS リソースへのアクセスを管理するために使用する Microsoft Entra ID の属性を決定します。定義されると、Microsoft Entra ID は SAML アサーションを通じてこれらの属性を IAM Identity Center に送信します。その後、IAM Identity Center で アクセス権限セットを作成します。 を行い、Microsoft Entra ID から渡された属性に基づいてアクセスを管理する必要があります。

この手順を始める前に、まず アクセスコントロールの属性 機能を有効にしておく必要があります。これを行う方法については、「アクセスコントロールのための属性の有効化と設定」を参照してください。

1. Microsoft Entra 管理センターコンソールで、[ID] > [アプリケーション] > [エンタープライズアプリケーション] に移動し、[AWS IAM Identity Center] を選択します。

2. [Single Sign-On] を選択します。

3. [属性とクレーム] セクションで、[編集] を選択します。

4. [属性とクレーム] ページで、以下を実行します。

   1. [Add new claim] (新しいクレームを追加する) を選択します。

   2. [Name] (名前) に AccessControl:AttributeName を入力します。AttributeName を IAM Identity Center で想定している属性名に置き換えます。例えば、AccessControl:Department。

   3. Namespaceに https://aws.amazon.com/SAML/Attributes. と入力します。

   4. [出典] で、[属性] を選択します。

   5. [ソースの属性] で、ドロップダウンリストを使用して、[Microsoft Entra ID ユーザー属性] を選択します。例えば、user.department。

5. SAML アサーションで IAM Identity Center に送信する必要のある各属性について、前のステップを繰り返します。

6. [保存] を選択します。

Configure ABAC using IAM Identity Center

IAM アイデンティティセンターを使用して ABAC を構成する

この方法では、IAM Identity Center の アクセスコントロールの属性 機能を使って、Name 属性を https://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey} に設定した Attribute 要素を渡します。この要素を使用すると、SAML アサーションで属性をセッションタグとして渡すことができます。セッションタグの詳細については、「IAM ユーザーガイド」の「 AWS STSでのタグ付けの規則 」 を参照してください。

属性をセッションタグとして渡すには、タグの値を指定する AttributeValue 要素を含めます。例えば、タグのキーバリューのペア Department=billing を渡すには、次の属性を使用します。

<saml:AttributeStatement>
<saml:Attribute Name="https://aws.amazon.com/SAML/Attributes/AccessControl:Department">
<saml:AttributeValue>billing
</saml:AttributeValue>
</saml:Attribute>
</saml:AttributeStatement>

複数の属性を追加する必要がある場合は、各タグに個別の Attribute 要素を含めます。

へのアクセスを割り当てる AWS アカウント

以下の手順は、 へのアクセスのみを許可するためにのみ必要です AWS アカウント 。これらのステップは、 AWS アプリケーションへのアクセスを許可するためには必要ありません。

注記

このステップを完了するには、IAM Identity Center の Organization インスタンスが必要です。詳細については、「IAM アイデンティティセンターの組織インスタンスとアカウントインスタンス」を参照してください。

ステップ 1: IAM アイデンティティセンター: Microsoft Entra ID ユーザーにアカウントへのアクセスを付与する

1. IAM アイデンティティセンターコンソールに戻ります。IAM アイデンティティセンターのナビゲーションペインの [マルチアカウントのアクセス許可] で、[AWS アカウント] を選択します。

2. AWS アカウント ページの [組織構造] には、組織のルートと、その下にあるアカウントが階層内で表示されます。管理アカウントのチェックボックスをオンにし、[ユーザーまたはグループを割り当て] を選択します。

3. [ユーザーとグループを割り当てる] のワークフローが表示されます。これは、3 つのステップから構成されています。

   1. [ステップ 1: ユーザーとグループの選択] では、管理者の職務を実行するユーザーを選択します。次いで、[次へ] を選択します。

   2. [ステップ 2: アクセス許可セットの選択] では、[許可セットを作成] を選択します。新しいタブが開き、アクセス許可セットを作成するための 3 つのサブステップが順を追って表示されます。

      1. [ステップ 1: 許可セットタイプを選択] では、以下を完了します。

         • [許可セットのタイプ] で、[事前定義された許可セット] を選択します。

         • [事前定義された許可セットのポリシー] で [AdministratorAccess] を選択します。

         [次へ] を選択します。

      2. [ステップ 2: 許可セットの詳細を指定] では、デフォルト設定のままで、[次へ] を選択します。

         デフォルト設定では、AdministratorAccess という名前の許可セットが作成され、セッション期間は 1 時間に設定されます。

      3. ステップ 3: 確認して作成するには、アクセス許可セットタイプが AWS 管理ポリシー AdministratorAccess を使用していることを確認します。[作成] を選択します。[アクセス許可セット] ページに、アクセス許可セットが作成されたことを知らせる通知が表示されます。この時点で、ウェブブラウザでこのタブを閉じてもかまいません。

      4. [ユーザーとグループを割り当てる] ブラウザタブでは、[ステップ 2: 許可セットを選択] でアクセス許可セットの作成ワークフローを開始した状態のままになっています。

      5. [アクセス許可セット] 領域で、[更新] ボタンを選択します。作成した AdministratorAccess 許可セットがリストに表示されます。そのアクセス許可セットのチェックボックスを選択したら、[次へ] を選択します。

   3. [ステップ 3: 確認と送信] では、選択したユーザーとアクセス許可セットを確認し、[送信] を選択します。

      ページは、 AWS アカウント が設定されているというメッセージで更新されます。プロセスが完了するまで待ちます。

      AWS アカウント ページに戻ります。通知メッセージは、 AWS アカウント が再プロビジョニングされ、更新されたアクセス許可セットが適用されたことを通知します。ユーザーはサインインすると、[AdministratorAccess] ロールを選択できます。

ステップ 2: Microsoft Entra ID: Microsoft Entra ID ユーザーの AWS リソースへのアクセスを確認する

1. Microsoft Entra ID コンソールに戻り、IAM アイデンティティセンターの SAML ベースのサインオンアプリケーションに移動します。

2. ユーザーとグループを選択し、ユーザーまたはグループの追加を選択します。このチュートリアルで作成したユーザーをステップ 4 でMicrosoft Entra IDアプリケーションに追加します。ユーザーを追加することで、ユーザーにサインインを許可します AWS。ステップ 4 で作成したユーザーを検索します。このステップに従った場合、 になりますRichardRoe。

   1. デモについては、「既存の IAM Identity Center インスタンスを でフェデレーションするMicrosoft Entra ID」を参照してください。

トラブルシューティング

Microsoft Entra ID を使用した一般的な SCIM および SAML のトラブルシューティングについては、以下のセクションを参照してください。

• Microsoft Entra ID と IAM アイデンティティセンターの同期に関する問題

• 特定のユーザーが、外部の SCIM プロバイダーからの IAM Identity Center に同期できません

• IAM Identity Center によって作成された SAML アサーションの内容に関する問題

• 外部 ID プロバイダーを使用してユーザーまたはグループをプロビジョニングする際の重複ユーザーまたはグループのエラー

• 追加リソース

Microsoft Entra ID と IAM アイデンティティセンターの同期に関する問題

Microsoft Entra ID ユーザーが IAM アイデンティティセンターと同期しないという問題が発生している場合は、IAM アイデンティティセンターに新しいユーザーを追加する際に IAM アイデンティティセンターがフラグを立てた構文の問題が原因である可能性があります。これは、'Export' などの失敗したイベントに関する Microsoft Entra ID 監査ログで確認できます。このイベントの Status Reason (ステータス理由) には、次のように記述されます。

{"schema":["urn:ietf:params:scim:api:messages:2.0:Error"],"detail":"Request is unparsable, syntactically incorrect, or violates schema.","status":"400"}

失敗したイベント AWS CloudTrail を確認することもできます。これは、CloudTrail の Event History (イベントの履歴) コンソールで以下のフィルターを使って検索できます。

"eventName":"CreateUser"

CloudTrail イベントのエラーには以下のように記載されます。

"errorCode": "ValidationException",
        "errorMessage": "Currently list attributes only allow single item“

最終的に、この例外は、Microsoft Entra ID から渡された値の中に予想よりも多い値が含まれていたことを示しています。問題を解決するには、Microsoft Entra ID のユーザー属性を再確認し、重複した値が含まれていないかをチェックしてください。重複した値の一般的な例の一つは、携帯電話、仕事、FAX などの連絡先に複数の値が存在することです。別々の値ではありますが、これらはすべて 1 つの親属性 phoneNumbers として IAM Identity Center に渡されます。

一般的な SCIM のトラブルシューティングのヒントについては、「Troubleshooting」を参照してください。

Microsoft Entra ID ゲストアカウントの同期

Microsoft Entra ID ゲストユーザーを IAM アイデンティティセンターに同期する場合は、次の手順を参照してください。

Microsoft Entra ID ゲストユーザーの E メールは Microsoft Entra ID ユーザーとは異なります。この差異によって、Microsoft Entra ID ゲストユーザーを IAM アイデンティティセンターと同期しようとすると問題が発生します。例えば、ゲストユーザーの場合は、次の E メールアドレスを参照してください。

exampleuser_domain.com#EXT@domain.onmicrosoft.com.

IAM アイデンティティセンターは、ユーザーの E メールアドレスに EXT@ドメイン 形式が含まれないことを想定しています。

1. Microsoft Entra 管理センターにサインインし、[ID] > [アプリケーション] > [エンタープライズアプリケーション] に移動し、[AWS IAM Identity Center] を選択します。

2. 左側ペインの [シングルサインオン] タブに移動します。

3. [ユーザー属性とクレーム] の横にある [編集] を選択します。

4. [必須クレーム] に続く [一意のユーザー識別子 (名前 ID)] を選択します。

5. Microsoft Entra ID ユーザーとゲストユーザーに 2 つのクレーム条件を作成します。

   1. Microsoft Entra ID ユーザーの場合、ソース属性が user.userprincipalname に設定されているメンバーのユーザータイプを作成します。

   2. Microsoft Entra ID ゲストユーザーの場合、ソース属性を user.mail に設定して、外部ゲストのユーザータイプを作成します。

   3. [保存] を選択し、Microsoft Entra ID ゲストユーザーとしてサインインを再試行します。

追加リソース

• 一般的な SCIM のトラブルシューティングについては、「IAM Identity Center の問題のトラブルシューティング」をご覧ください。

• Microsoft Entra ID に関するトラブルシューティングについては、Microsoft ドキュメントを参照してください。

• 複数の 間のフェデレーションの詳細については AWS アカウント、「 AWS アカウント による保護Azure Active Directory Federation」を参照してください。

以下のリソースは、作業中のトラブルシューティングに役立ちます AWS。

• AWS re:Post — 問題のトラブルシューティングに役立つ FAQ やその他のリソースへのリンクを検索できます。

• AWS Support - テクニカルサポートを受ける