翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Microsoft Entra ID および IAM アイデンティティセンターによる SAML と SCIM の設定
AWS IAM Identity Center は、Security Assertion Markup Language (SAML) 2.0 との統合、およびクロスドメインアイデンティティ管理 (SCIM) 2.0 プロトコルを使用した Microsoft Entra ID (以前は Azure Active Directoryまたは と呼ばれていたAzure AD) から IAM アイデンティティセンターへのユーザーおよびグループ情報の自動プロビジョニング (同期) をサポートしています。 SCIM プロファイル詳細については、「外部 ID プロバイダーで SAML および SCIM ID フェデレーションを使用する」を参照してください。
目的
このチュートリアルでは、テストラボをセットアップし、Microsoft Entra ID と IAM アイデンティティセンター間の SAML 接続と SCIM プロビジョニングを設定します。最初の準備ステップでは、両方向の SAML 接続をテストするのに使用する Microsoft Entra ID と IAM アイデンティティセンターの両方にテストユーザー (Nikki Wolf) を作成します。後で SCIM の手順の一環として、別のテストユーザー (Richard Roe) を作成して、Microsoft Entra ID の新しい属性が想定どおりに IAM アイデンティティセンターと同期されていることを確認します。
前提条件
このチュートリアルを開始する前に、まず以下を設定する必要があります。
-
Microsoft Entra ID テナント。詳細については、Microsoft ドキュメントの「Quickstart: Set up a tenant
」を参照してください。 -
AWS IAM Identity Centerが有効なアカウント。詳細については、「AWS IAM Identity Center ユーザーガイド」の「 IAM アイデンティティセンターを有効にする」を参照してください。
考慮事項
以下は、SCIM v2 プロトコルを使用して、本番環境内で IAM アイデンティティセンターを使用した自動プロビジョニングを実装するための計画に影響を与える場合がある Microsoft Entra ID に関する重要な考慮事項です。
自動プロビジョニング
SCIM のデプロイを開始する前に、まず 自動プロビジョニングを使用する際の注意事項 を確認することをお勧めします。
アクセスコントロールの属性
アクセスコントロールの属性は、ID ソース内の誰が AWS リソースにアクセスできるかを決定するアクセス許可ポリシーで使用されます。Microsoft Entra ID のユーザーから属性を削除しても、IAM Identity Center の対応するユーザーからはその属性は削除されません。これは、Microsoft Entra ID の既知の制限事項です。ユーザーの属性が異なる (空でない) 値に変更された場合、その変更は IAM Identity Center に同期されます。
ネストされたグループ
Microsoft Entra ID ユーザープロビジョニングサービスは、ネストされたグループのユーザーを読み取ったりプロビジョニングしたりすることはできません。明示的に割り当てられたグループの直接のメンバであるユーザーのみが、読み取りとプロビジョニングを行うことができます。Microsoft Entra ID は、間接的に割り当てられたユーザまたはグループ(直接割り当てられたグループのメンバであるユーザまたはグループ)のグループ・メンバシップを再帰的に解凍することはありません。詳細については、「Microsoft ドキュメント」の「割り当てベースのスコープ
動的グループ
Microsoft Entra ID ユーザープロビジョニングサービスは、「動的グループ
たとえば、動的グループの Microsoft Entra ID 構造が以下のような場合:
-
メンバー ua1、ua2 を持つグループ A
-
メンバー ub1 を持つグループ B
-
メンバー uc1 を持つグループ C
-
グループ K (グループ A、B、C のメンバーを含むルールを持つ)
-
グループ L (グループ B と C のメンバーを含むルールを持つ)
ユーザとグループ情報が Microsoft Entra ID から SCIM を介して IAM Identity Center にプロビジョニングされた後、構造は以下のようになります。
-
メンバー ua1、ua2 を持つグループ A
-
メンバー ub1 を持つグループ B
-
メンバー uc1 を持つグループ C
-
メンバー ua1、ua2、ub1、uc1 を含むグループ K
-
メンバー ub1、uc1 を持つグループ L
動的グループを使用して自動プロビジョニングを設定する場合、次の考慮事項に留意してください。
-
動的グループにはネストされたグループを含めることができます。ただし、Microsoft Entra ID プロビジョニングサービスはネストされたグループをフラット化しません。たとえば、Microsoft Entra ID 動的グループの構造が以下のような場合:
-
グループ A はグループ B の親です。
-
グループ A には ua1 がメンバーとしています。
-
グループ B には ub1 がメンバーとしています。
-
グループ A を含む動的グループには、グループ A の直接のメンバー (つまり ua1) のみが含まれます。グループ B のメンバーは再帰的に含まれません。
-
動的グループには他の動的グループを含めることはできません。詳細については、Microsoft ドキュメントの「プレビューに関する制限
」を参照してください。
ステップ 1: Microsoft テナントを準備する
このステップでは、 AWS IAM Identity Center エンタープライズアプリケーションをインストールして設定し、新しく作成したMicrosoft Entra IDテストユーザーにアクセスを割り当てる方法について説明します。
ステップ 1.1: で AWS IAM Identity Center エンタープライズアプリケーションをセットアップする Microsoft Entra ID
この手順では、 AWS IAM Identity Center エンタープライズアプリケーションを にインストールしますMicrosoft Entra ID。SAML 接続を設定するには、後でこのアプリケーションが必要になります AWS。
-
クラウドアプリケーション管理者以上の権限で、Microsoft Entra 管理センター
にサインインします。 -
[ID] > [アプリケーション] > [エンタープライズアプリケーション] に移動し、[新しいアプリケーション] を選択します。
-
[Microsoft Entra ギャラリーの参照] ページで、検索ボックスに
AWS IAM Identity Center
を入力します。 -
検索結果から AWS IAM Identity Center を選択します。
-
[Create] (作成) を選択します。
ステップ 2: AWS アカウントを準備する
このステップでは、IAM Identity Center を使用して (許可セットにより) アクセス許可を設定する方法、対応する Nikki Wolf ユーザを手動で作成する方法、および AWSのリソースを管理するために必要な権限をそのユーザに割り当てる方法について説明します。
ステップ 2.1: IAM Identity Center で RegionalAdmin 許可セットを作成する
このアクセス許可セットは、 内の AWS アカウントページからリージョンを管理するために必要なアカウントアクセス許可を Nikki に付与するために使用されます AWS Management Console。Nikki のアカウントのその他の情報を閲覧または管理するその他の権限は、デフォルトではすべて拒否されています。
-
IAM アイデンティティセンターコンソール
を開きます。 -
[マルチアカウント権限] で、[権限セット] を選択します。
-
[Create permission set] (アクセス権限セットの作成) を選択します。
-
[許可セットタイプを選択] ページで [カスタム許可セット] を選択し、[次へ] を選択します。
-
[インラインポリシー] を選択して展開し、次の手順を使用してアクセス許可セットのポリシーを作成します。
-
[新しいステートメントを追加] を選択してポリシーステートメントを作成します。
-
[ステートメントの編集] で、リストから [アカウント] を選択し、次のチェックボックスを選択します。
-
ListRegions
-
GetRegionOptStatus
-
DisableRegion
-
EnableRegion
-
-
[リソースの追加] の横にある [追加] を選択します。
-
[リソースを追加] ページの [リソースタイプ] で、[すべてのリソース] を選択し、[リソースを追加] を選択します。ポリシーが次のようになっていることを確認します。
{ "Statement": [ { "Sid": "Statement1", "Effect": "Allow", "Action": [ "account:ListRegions", "account:DisableRegion", "account:EnableRegion", "account:GetRegionOptStatus" ], "Resource": [ "*" ] } ] }
-
-
[Next (次へ)] を選択します。
-
[許可セットの詳細を指定] ページの [許可セット名] に
RegionalAdmin
と入力し、[次へ] を選択します。 -
[確認して作成] ページで、[作成] をクリックします。アクセス許可セットのリストに RegionalAdmin が表示されます。
ステップ 3: SAML 接続を設定してテストする
このステップでは、IAM アイデンティティセンターの外部 IdP 設定Microsoft Entra IDとともに の AWS IAM Identity Center エンタープライズアプリケーションを使用して SAML 接続を設定します。
ステップ 3.1: IAM アイデンティティセンターから必要なサービスプロバイダーのメタデータを収集する
このステップでは、IAM Identity Center コンソール内から ID ソースの変更ウィザードを起動し、次のステップMicrosoft Entra IDで との接続を設定するときに入力する必要があるメタデータファイルと AWS 特定のサインイン URL を取得します。
-
[IAM アイデンティティセンターコンソール]
で [設定] を選択します。 -
[設定] ページで [ID ソース] タブを選択し、[アクション] > [ID ソースを変更] を選択します。
-
[ID ソースを選択] ページで [外部 ID プロバイダー] を選択したら、[次へ] を選択します。
-
[外部 ID プロバイダーの設定] ページの [サービスプロバイダーメタデータ] で、[メタデータファイルをダウンロード] を選択して XML ファイルをダウンロードします。
-
同じセクションで、[AWS アクセスポータルのサインイン URL] 値を見つけてコピーします。この値は、次のステップで求められたときに入力します。
-
このページを開いたままにし、次のステップ (
Step 3.2
) に移動して、 で AWS IAM Identity Center エンタープライズアプリケーションを設定しますMicrosoft Entra ID。後でこのページに戻り、プロセスを完了します。
ステップ 4: SCIM 同期を設定してテストする
このステップでは、SCIM v2.0 プロトコルを使用して Microsoft Entra ID から IAM アイデンティティセンターへのユーザー情報の自動プロビジョニング (同期) を設定します。この接続を Microsoft Entra ID IAM Identity Center 用の SCIM エンドポイントと IAM Identity Center で自動作成されたベアラートークンを使用して設定します。
SCIM 同期を設定すると、Microsoft Entra ID のユーザー属性と IAM Identity Center の名前付き属性のマッピングが作成されます。これにより、IAM Identity Center と Microsoft Entra ID の間で、期待される属性が一致します。
次のステップでは、Microsoft Entra ID の IAM アイデンティティセンターアプリを使って、主に Microsoft Entra ID に設置されたユーザーの IAM アイデンティティセンターへの自動プロビジョニングを有効にする方法を説明します。
ステップ 4.1: Microsoft Entra ID で 2 人目のテストユーザーを作成する
テスト用に、Microsoft Entra ID で新しいユーザー (Richard Roe) を作成します。後で SCIM 同期を設定したら、このユーザーとすべての関連属性が IAM アイデンティティセンターと正常に同期されたことをテストします。
-
Microsoft Entra 管理センター
コンソールで、[ID] > [ユーザー] > [すべてのユーザー] に移動します。 -
[新しいユーザー] を選択し、画面上部の [新しいユーザーの作成] を選択します。
-
[ユーザープリンシパル名] に
RichRoe
と入力し、目的のドメインと拡張子を選択します。例えば、RichRoe@example.org
と入力します。 -
[表示名] に
RichRoe
と入力します。 -
[パスワード] に、強力なパスワードを入力するか、目のアイコンを選択して自動生成されたパスワードを表示し、表示された値をコピーするか書き留めてください。
-
[プロパティ] を選択し、以下の値を指定します。
-
[名] -
Richard
と入力します。 -
[姓] -
Roe
と入力します。 -
[役職名] -
Marketing Lead
と入力します。 -
[部門] -
Sales
と入力します。 -
[従業員 ID] -
12345
と入力します。
-
-
[レビューと作成] を選択したら、[作成] を選択します。
ステップ 5: ABAC を設定する - オプション
SAML と SCIM を正常に設定したので、属性ベースのアクセス制御 (ABAC) を任意で設定することができます。ABAC は、属性に基づいて権限を定義する認可戦略です。
Microsoft Entra ID では、次の 2 つの方法のいずれかを使用して、IAM アイデンティティセンターで使用するために ABAC を構成できます。
IAM アイデンティティセンターでのアクセスコントロール用に Microsoft Entra ID でユーザー属性を設定する
次の手順では、 AWS リソースへのアクセスを管理するために IAM Identity Center で使用する Microsoft Entra ID の属性を決定します。定義されると、Microsoft Entra ID は SAML アサーションを通じてこれらの属性を IAM Identity Center に送信します。その後、IAM Identity Center で アクセス権限セットを作成します。 を行い、Microsoft Entra ID から渡された属性に基づいてアクセスを管理する必要があります。
この手順を始める前に、まず アクセスコントロールの属性 機能を有効にしておく必要があります。これを行う方法については、「アクセスコントロールのための属性の有効化と設定」を参照してください。
-
Microsoft Entra 管理センター
コンソールで、[ID] > [アプリケーション] > [エンタープライズアプリケーション] に移動し、[AWS IAM Identity Center] を選択します。 -
[Single Sign-On] を選択します。
-
[属性とクレーム] セクションで、[編集] を選択します。
-
[属性とクレーム] ページで、以下を実行します。
-
[Add new claim] (新しいクレームを追加する) を選択します。
-
[Name] (名前) に
AccessControl:
を入力します。AttributeName
AttributeName
を IAM Identity Center で想定している属性名に置き換えます。例えば、AccessControl:Department
と指定します。 -
Namespaceに
https://aws.amazon.com/SAML/Attributes
. と入力します。 -
[出典] で、[属性] を選択します。
-
[ソースの属性] で、ドロップダウンリストを使用して、[Microsoft Entra ID ユーザー属性] を選択します。例えば、
user.department
と指定します。
-
-
SAML アサーションで IAM Identity Center に送信する必要のある各属性について、前のステップを繰り返します。
-
[Save] を選択します。
へのアクセスを割り当てる AWS アカウント
以下の手順は、 へのアクセス AWS アカウント のみを許可するためにのみ必要です。これらのステップは、 AWS アプリケーションへのアクセスを許可するためには必要ありません。
ステップ 1: IAM アイデンティティセンター: Microsoft Entra ID ユーザーにアカウントへのアクセスを付与する
-
IAM アイデンティティセンターコンソールに戻ります。IAM アイデンティティセンターのナビゲーションペインの [マルチアカウントのアクセス許可] で、[AWS アカウント] を選択します。
-
AWS アカウント ページの [組織構造] には、組織のルートと、その下にあるアカウントが階層内で表示されます。管理アカウントのチェックボックスをオンにし、[ユーザーまたはグループを割り当て] を選択します。
-
[ユーザーとグループを割り当てる] のワークフローが表示されます。これは、3 つのステップから構成されています。
-
[ステップ 1: ユーザーとグループの選択] では、管理者の職務を実行するユーザーを選択します。次いで、[次へ] を選択します。
-
[ステップ 2: アクセス許可セットの選択] では、[許可セットを作成] を選択します。新しいタブが開き、アクセス許可セットを作成するための 3 つのサブステップが順を追って表示されます。
-
[ステップ 1: 許可セットタイプを選択] では、以下を完了します。
-
[許可セットのタイプ] で、[事前定義された許可セット] を選択します。
-
[事前定義された許可セットのポリシー] で [AdministratorAccess] を選択します。
[Next (次へ)] を選択します。
-
-
[ステップ 2: 許可セットの詳細を指定] では、デフォルト設定のままで、[次へ] を選択します。
デフォルト設定では、
AdministratorAccess
という名前の許可セットが作成され、セッション期間は 1 時間に設定されます。 -
ステップ 3: 確認して作成するには、アクセス許可セットタイプが AWS 管理ポリシー AdministratorAccess を使用していることを確認します。[Create] (作成) を選択します。[アクセス許可セット] ページに、アクセス許可セットが作成されたことを知らせる通知が表示されます。この時点で、ウェブブラウザでこのタブを閉じてもかまいません。
-
[ユーザーとグループを割り当てる] ブラウザタブでは、[ステップ 2: 許可セットを選択] でアクセス許可セットの作成ワークフローを開始した状態のままになっています。
-
[アクセス許可セット] 領域で、[更新] ボタンを選択します。作成した
AdministratorAccess
許可セットがリストに表示されます。そのアクセス許可セットのチェックボックスを選択したら、[次へ] を選択します。
-
-
[ステップ 3: 確認と送信] では、選択したユーザーとアクセス許可セットを確認し、[送信] を選択します。
ページが更新され、 AWS アカウント が設定されているというメッセージが表示されます。プロセスが完了するまで待ちます。
AWS アカウント ページに戻ります。通知メッセージは、 AWS アカウント が再プロビジョニングされ、更新されたアクセス許可セットが適用されたことを通知します。ユーザーはサインインすると、
[AdministratorAccess]
ロールを選択できます。
-
ステップ 2: Microsoft Entra ID: Microsoft Entra ID ユーザーの AWS リソースへのアクセスを確認する
-
Microsoft Entra ID コンソールに戻り、IAM アイデンティティセンターの SAML ベースのサインオンアプリケーションに移動します。
-
ユーザーとグループを選択し、ユーザーまたはグループの追加を選択します。このチュートリアルで作成したユーザーをステップ 4 でMicrosoft Entra IDアプリケーションに追加します。ユーザーを追加することで、サインインを許可します AWS。ステップ 4 で作成したユーザーを検索します。このステップに従った場合、 になります
RichardRoe
。-
デモについては、「既存の IAM Identity Center インスタンスを でフェデレーションMicrosoft Entra ID
する」を参照してください。
-
トラブルシューティング
Microsoft Entra ID を使用した一般的な SCIM および SAML のトラブルシューティングについては、以下のセクションを参照してください。
Microsoft Entra ID と IAM アイデンティティセンターの同期に関する問題
Microsoft Entra ID ユーザーが IAM アイデンティティセンターと同期しないという問題が発生している場合は、IAM アイデンティティセンターに新しいユーザーを追加する際に IAM アイデンティティセンターがフラグを立てた構文の問題が原因である可能性があります。これは、'Export'
などの失敗したイベントに関する Microsoft Entra ID 監査ログで確認できます。このイベントの Status Reason (ステータス理由) には、次のように記述されます。
{"schema":["urn:ietf:params:scim:api:messages:2.0:Error"],"detail":"Request is unparsable, syntactically incorrect, or violates schema.","status":"400"}
失敗したイベント AWS CloudTrail を確認することもできます。これは、CloudTrail の Event History (イベントの履歴) コンソールで以下のフィルターを使って検索できます。
"eventName":"CreateUser"
CloudTrail イベントのエラーには以下のように記載されます。
"errorCode": "ValidationException",
"errorMessage": "Currently list attributes only allow single item“
最終的に、この例外は、Microsoft Entra ID から渡された値の中に予想よりも多い値が含まれていたことを示しています。問題を解決するには、Microsoft Entra ID のユーザー属性を再確認し、重複した値が含まれていないかをチェックしてください。重複した値の一般的な例の一つは、携帯電話、仕事、FAX などの連絡先に複数の値が存在することです。別々の値ではありますが、これらはすべて 1 つの親属性 phoneNumbers として IAM Identity Center に渡されます。
一般的な SCIM のトラブルシューティングのヒントについては、「Troubleshooting」を参照してください。
Microsoft Entra ID ゲストアカウントの同期
Microsoft Entra ID ゲストユーザーを IAM アイデンティティセンターに同期する場合は、次の手順を参照してください。
Microsoft Entra ID ゲストユーザーの E メールは Microsoft Entra ID ユーザーとは異なります。この差異によって、Microsoft Entra ID ゲストユーザーを IAM アイデンティティセンターと同期しようとすると問題が発生します。例えば、ゲストユーザーの場合は、次の E メールアドレスを参照してください。
exampleuser_domain.com#
EXT@domain.onmicrosoft.com
.
IAM アイデンティティセンターは、ユーザーの E メールアドレスに EXT@ドメイン
形式が含まれないことを想定しています。
-
Microsoft Entra 管理センター
にサインインし、[ID] > [アプリケーション] > [エンタープライズアプリケーション] に移動し、[AWS IAM Identity Center] を選択します。 -
左側ペインの [シングルサインオン] タブに移動します。
-
[ユーザー属性とクレーム] の横にある [編集] を選択します。
-
[必須クレーム] に続く [一意のユーザー識別子 (名前 ID)] を選択します。
-
Microsoft Entra ID ユーザーとゲストユーザーに 2 つのクレーム条件を作成します。
-
Microsoft Entra ID ユーザーの場合、ソース属性が
user.userprincipalname
に設定されているメンバーのユーザータイプを作成します。 -
Microsoft Entra ID ゲストユーザーの場合、ソース属性を
user.mail
に設定して、外部ゲストのユーザータイプを作成します。 -
[保存] を選択し、Microsoft Entra ID ゲストユーザーとしてサインインを再試行します。
-
追加リソース
-
一般的な SCIM のトラブルシューティングについては、「IAM Identity Center の問題のトラブルシューティング」をご覧ください。
-
Microsoft Entra ID に関するトラブルシューティングについては、Microsoft ドキュメント
を参照してください。 -
複数の 間のフェデレーションの詳細については AWS アカウント、「 AWS アカウント による保護Azure Active Directory Federation
」を参照してください。
以下のリソースは、作業中のトラブルシューティングに役立ちます AWS。
AWS re:Post
— 問題のトラブルシューティングに役立つ FAQ やその他のリソースへのリンクを検索できます。 AWS サポート
- テクニカルサポートを受ける