SCIM で SAMLと を設定する Microsoft Entra ID および IAM Identity Center

AWS IAM Identity Center は Security Assertion Markup Language (SAML) 2.0 との統合と、 からのユーザーおよびグループ情報の自動プロビジョニング (同期) をサポートしています。Microsoft Entra ID （以前は と呼ばれていました Azure Active Directory or Azure AD) を、クロスドメイン IAM ID 管理システム () 2.0 プロトコルを使用してアイデンティティセンターに追加します。 SCIM詳細については、「外部 ID プロバイダーで SAML および SCIM ID フェデレーションを使用する」を参照してください。

目的

このチュートリアルでは、テストラボを設定し、 間のSAML接続とSCIMプロビジョニングを設定します。Microsoft Entra ID および IAM Identity Center。最初の準備ステップでは、両方の でテストユーザー (Nikki Wolf) を作成します。Microsoft Entra ID と IAM Identity Center は、双方向SAMLの接続をテストするために使用します。後で、SCIMステップの一部として、別のテストユーザー (Richard Roe) を作成して、 の新しい属性が Microsoft Entra ID は想定どおりに IAM Identity Center と同期しています。

前提条件

このチュートリアルを開始する前に、まず以下を設定する必要があります。

• A Microsoft Entra ID テナント。詳細については、「クイックスタート: でテナントを設定する」を参照してください。Microsoft ドキュメント内) を参照してください。

• AWS IAM Identity Centerが有効なアカウント。詳細については、「 AWS IAM Identity Center ユーザーガイド」のIAM「アイデンティティセンターを有効にする」を参照してください。

考慮事項

以下は、 に関する重要な考慮事項です。Microsoft Entra ID これは、 v2 プロトコルを使用して、本番環境に IAM Identity Center SCIM による自動プロビジョニングを実装する方法に影響を与える可能性があります。

自動プロビジョニング

のデプロイを開始する前にSCIM、まず を確認することをお勧めします自動プロビジョニングを使用する際の注意事項。

アクセスコントロールの属性

アクセスコントロールの属性は、ID ソース内の誰が AWS リソースにアクセスできるかを決定するアクセス許可ポリシーで使用されます。のユーザーから属性が削除された場合 Microsoft Entra ID、その属性は IAM Identity Center の対応するユーザーから削除されません。これは、 の既知の制限です。Microsoft Entra ID。 属性がユーザーの別の (空でない) 値に変更されると、その変更は IAM Identity Center に同期されます。

ネストされたグループ

- Microsoft Entra ID ユーザープロビジョニングサービスは、ネストされたグループのユーザーを読み取ったりプロビジョニングしたりすることはできません。明示的に割り当てられたグループの直接のメンバーであるユーザーのみが読み取りおよびプロビジョニングできます。Microsoft Entra ID は、間接的に割り当てられたユーザーまたはグループ (直接割り当てられたグループのメンバーであるユーザーまたはグループ) のグループメンバーシップを再帰的に解凍しません。詳細については、「」の「割り当てベースのスコープ」を参照してください。Microsoft ドキュメント内) を参照してください。または、IAMIdentity Center ID AD Sync を使用して統合することもできます。Active Directory IAM アイデンティティセンターを持つ グループ。

動的グループ

- Microsoft Entra ID ユーザープロビジョニングサービスは、動的グループでユーザーを読み取ってプロビジョニングできます。動的グループの使用時のユーザーとグループの構造と、IAMIdentity Center での表示方法を示す例については、以下を参照してください。これらのユーザーとグループは からプロビジョニングされました Microsoft Entra ID 経由で を IAM Identity Center に追加する SCIM

例えば、Microsoft Entra ID 動的グループの 構造は次のとおりです。

1. メンバー ua1、ua2 を持つグループ A

2. メンバー ub1 を持つグループ B

3. メンバー uc1 を持つグループ C

4. グループ K (グループ A、B、C のメンバーを含むルールを持つ)

5. グループ L (グループ B と C のメンバーを含むルールを持つ)

ユーザーとグループの情報が からプロビジョニングされた後 Microsoft Entra ID を介して IAM Identity Center に SCIMという構造になります。

1. メンバー ua1、ua2 を持つグループ A

2. メンバー ub1 を持つグループ B

3. メンバー uc1 を持つグループ C

4. メンバー ua1、ua2、ub1、uc1 を含むグループ K

5. メンバー ub1、uc1 を持つグループ L

動的グループを使用して自動プロビジョニングを設定する場合、次の考慮事項に留意してください。

• 動的グループにはネストされたグループを含めることができます。ただし、Microsoft Entra ID プロビジョニングサービスは、ネストされたグループをフラット化しません。例えば、次のような場合、Microsoft Entra ID 動的グループの 構造：

  • グループ A はグループ B の親です。

  • グループ A には ua1 がメンバーとしています。

  • グループ B には ub1 がメンバーとしています。

グループ A を含む動的グループには、グループ A の直接のメンバー (つまり ua1) のみが含まれます。グループ B のメンバーは再帰的に含まれません。

• 動的グループには他の動的グループを含めることはできません。詳細については、「」の「プレビューの制限」を参照してください。Microsoft ドキュメント内) を参照してください。

ステップ 1: Microsoft テナントを準備する

このステップでは、 AWS IAM Identity Center エンタープライズアプリケーションをインストールして設定し、新しく作成された へのアクセスを割り当てる方法について説明します。Microsoft Entra ID テストユーザー。

Step 1.1 >

ステップ 1.1: で AWS IAM Identity Center エンタープライズアプリケーションをセットアップする Microsoft Entra ID

この手順では、 AWS IAM Identity Center エンタープライズアプリケーションを にインストールします。Microsoft Entra ID。 SAML 接続を設定するには、後でこのアプリケーションが必要になります AWS。

1. クラウドアプリケーション管理者以上の権限で、Microsoft Entra 管理センターにサインインします。

2. [ID] > [アプリケーション] > [エンタープライズアプリケーション] に移動し、[新しいアプリケーション] を選択します。

3. [Microsoft Entra ギャラリーの参照] ページで、検索ボックスに AWS IAM Identity Center を入力します。

4. 検索結果から AWS IAM Identity Center を選択します。

5. [Create] (作成) を選択します。

Step 1.2 >

ステップ 1.2: でテストユーザーを作成する Microsoft Entra ID

Nikki Wolf は、Microsoft Entra ID この手順で作成するテストユーザー。

1. Microsoft Entra 管理センターコンソールで、[ID] > [ユーザー] > [すべてのユーザー] に移動します。

2. [新しいユーザー] を選択し、画面上部の [新しいユーザーの作成] を選択します。

3. [ユーザープリンシパル名] に NikkiWolf と入力し、目的のドメインと拡張子を選択します。例えば、NikkiWolf@ ですexample.org。

4. [表示名] に NikkiWolf と入力します。

5. [パスワード] に、強力なパスワードを入力するか、目のアイコンを選択して自動生成されたパスワードを表示し、表示された値をコピーするか書き留めてください。

6. [プロパティ] を選択し、[名] に Nikki と入力します。[姓] に、Wolf と入力します。

7. [レビューと作成] を選択したら、[作成] を選択します。

Step 1.3

ステップ 1.3: Nikki のアクセス許可を に割り当てる前に、Nikki のエクスペリエンスをテストする AWS IAM Identity Center

この手順では、Nikki が Microsoft マイアカウントポータルに正常にサインインできることを確認します。

1. 同じブラウザで新しいタブを開き、[マイアカウントポータル] サインインページに移動して、Nikki 向けの完全なメールアドレスを入力します。例えば、NikkiWolf@ ですexample.org。

2. プロンプトが表示されたら、Nikki のパスワードを入力し、[サインイン] を選択します。これが自動生成されたパスワードの場合は、パスワードを変更するように求められます。

3. [アクションが必要] ページで [後で確認する] を選択すると、追加のセキュリティメソッドの入力を求めるプロンプトは表示されなくなります。

4. [マイアカウント] ページの左側のナビゲーションペインで、[マイアプリ] を選択します。現時点では、アドイン以外のアプリが表示されていないことに注意してください。後のステップでここに表示される AWS IAM Identity Center アプリを追加します。

Step 1.4

ステップ 1.4: で Nikki にアクセス許可を割り当てる Microsoft Entra ID

Nikki が [マイアカウントポータル] に正常にアクセスできることを確認したので、次の手順に従って Nikki のユーザーを AWS IAM Identity Center アプリに割り当てます。

1. Microsoft Entra 管理センターコンソールで、[ID] > [アプリケーション] > [エンタープライズアプリケーション] に移動し、リストから AWS IAM Identity Center を選択します。

2. 左側で [ユーザーとグループ] を選択します。

3. [Add user/group] (ユーザーとグループを追加) を選択します。グループを割り当てることができないというメッセージは無視してかまいません。このチュートリアルでは、割り当てにグループを使用しません。

4. [割り当てを追加] ページの [ユーザー] で、[何も選択されていません] を選択します。

5. を選択しNikkiWolf、選択を選択します。

6. 割り当ての追加ページで、割り当てを選択します。AWS IAM Identity Centerアプリに割り当てられているユーザーのリスト NikkiWolf に表示されます。

ステップ 2: AWS アカウントを準備する

このステップでは、 を使用する方法について説明します。 IAM Identity Center アクセス許可を設定するには (アクセス許可セットを使用）、対応する Nikki Wolf ユーザーを手動で作成し、 でリソースを管理するために必要なアクセス許可を割り当てます AWS。

Step 2.1 >

ステップ 2.1: で RegionalAdmin アクセス許可セットを作成する IAM Identity Center

このアクセス許可セットは、 内の AWS アカウントページからリージョンを管理するために必要なアカウントアクセス許可を Nikki に付与するために使用されます AWS Management Console。Nikki のアカウントのその他の情報を閲覧または管理するその他の権限は、デフォルトではすべて拒否されています。

1. IAM Identity Center コンソールを開きます。

2. [マルチアカウント権限] で、[権限セット] を選択します。

3. [Create permission set] (アクセス権限セットの作成) を選択します。

4. [許可セットタイプを選択] ページで [カスタム許可セット] を選択し、[次へ] を選択します。

5. [インラインポリシー] を選択して展開し、次の手順を使用してアクセス許可セットのポリシーを作成します。

   1. [新しいステートメントを追加] を選択してポリシーステートメントを作成します。

   2. [ステートメントの編集] で、リストから [アカウント] を選択し、次のチェックボックスを選択します。

      • ListRegions

      • GetRegionOptStatus

      • DisableRegion

      • EnableRegion

   3. [リソースの追加] の横にある [追加] を選択します。

   4. [リソースを追加] ページの [リソースタイプ] で、[すべてのリソース] を選択し、[リソースを追加] を選択します。ポリシーが次のようになっていることを確認します。

      {
          "Statement": [
              {
                  "Sid": "Statement1",
                  "Effect": "Allow",
                  "Action": [
                      "account:ListRegions",
                      "account:DisableRegion",
                      "account:EnableRegion",
                      "account:GetRegionOptStatus"
                  ],
                  "Resource": [
                      "*"
                  ]
              }
          ]
      }

6. [Next (次へ)] を選択します。

7. [許可セットの詳細を指定] ページの [許可セット名] に RegionalAdmin と入力し、[次へ] を選択します。

8. [確認して作成] ページで、[作成] をクリックします。アクセス許可セットのリストに RegionalAdminが表示されます。

Step 2.2 >

ステップ 2.2: で対応する NikkiWolf ユーザーを作成する IAM Identity Center

SAML プロトコルには IdP (Microsoft Entra ID) を使用してIAM、アイデンティティセンターでここでユーザーを自動的に作成します。次の手順を使用して、 の Nikki Wolfs ユーザーからのコア属性をミラーリングするユーザーをIAMアイデンティティセンターで手動で作成します。Microsoft Entra ID.

1. IAM Identity Center コンソールを開きます。

2. [ユーザー] を選択し、[ユーザーを追加] を選択して、次の情報を入力します。

   1. ユーザー名と E メールアドレスの両方 – の作成時に使用したのと同じ NikkiWolf@yourcompanydomain.extension を入力します。Microsoft Entra ID ユーザー。例えば、NikkiWolf@。example.org

   2. [メールアドレスの確認] — 前のステップで使用したメールアドレスを再入力します。

   3. [名] — Nikki と入力します。

   4. [姓] — Wolf と入力します。

   5. [表示名] — Nikki Wolf と入力します。

3. [次へ] を 2 回選択後、[ユーザーの追加] を選択します。

4. [Close] を選択します。

Step 2.3

ステップ 2.3: で Nikki をアクセス RegionalAdmin 許可セットに割り当てる IAM Identity Center

ここでは、Nikki がリージョンを管理する AWS アカウント を見つけ、 AWS アクセスポータルに正常にアクセスするために必要なアクセス許可を割り当てます。

1. IAM Identity Center コンソールを開きます。

2. [マルチアカウント権限] で、[AWS アカウント] を選択します。

3. Nikki にリージョンを管理するためのアクセス権を付与するアカウント名 (例: Sandbox) の横にあるチェックボックスをオンにし、ユーザーとグループの割り当てを選択します。

4. [ユーザーとグループを割り当てる] ページで [ユーザー] タブを選択し、Nikki の横にあるボックスを探してオンにし、[次へ] を選択します。

ステップ 3: SAML接続を設定してテストする

このステップでは、 の AWS IAM Identity Center エンタープライズアプリケーションを使用してSAML接続を設定します。Microsoft Entra ID を IAM Identity Center の外部 IdP 設定と組み合わせて使用します。

Step 3.1 >

ステップ 3.1: IAM Identity Center から必要なサービスプロバイダーのメタデータを収集する

このステップでは、アイデンティティセンターコンソール内からIAMアイデンティティソースの変更ウィザードを起動し、メタデータファイルと、 との接続を設定するときに入力URLする必要がある AWS 特定のサインインを取得します。Microsoft Entra ID 次のステップで実行します。

1. IAM Identity Center コンソールで、設定を選択します。

2. [設定] ページで [ID ソース] タブを選択し、[アクション] > [ID ソースを変更] を選択します。

3. [ID ソースを選択] ページで [外部 ID プロバイダー] を選択したら、[次へ] を選択します。

4. 「外部 ID プロバイダーの設定」ページの「サービスプロバイダーメタデータ」で、「メタデータファイルのダウンロード」を選択してXMLファイルをダウンロードします。

5. 同じセクションで、 AWS アクセスポータルのサインインURL値を見つけてコピーします。この値は、次のステップで求められたときに入力します。

6. このページを開いたまま、次のステップ (Step 3.2) に移動して、 で AWS IAM Identity Center エンタープライズアプリケーションを設定します。Microsoft Entra ID。 後でこのページに戻り、プロセスを完了します。

Step 3.2 >

ステップ 3.2: で AWS IAM Identity Center エンタープライズアプリケーションを設定する Microsoft Entra ID

この手順では、前のステップでURL取得したメタデータファイルとサインオンの値を使用して、Microsoft 側のSAML接続の半分を確立します。

1. Microsoft Entra 管理センターコンソールで、[ID] > [アプリケーション] > [エンタープライズアプリケーション] に移動し、[AWS IAM Identity Center] を選択します。

2. 左側で、2 を選択します。シングルサインオンをセットアップします。

3. でシングルサインオンを設定するSAMLページで、 を選択しますSAML。更に、[メタデータファイルのアップロード] を選択し、フォルダアイコンを選択し、前のステップでダウンロードしたサービスプロバイダーのメタデータファイルを選択して、[追加] を選択します。

4. 基本SAML設定ページで、識別子と応答URL値の両方が で始 AWS まる のエンドポイントを指していることを確認しますhttps://<REGION>.signin.aws.amazon.com/platform/saml/。

5. 「サインオン URL (オプション）」で、前のステップでコピーした AWS アクセスポータルのサインインURL値 (Step 3.1) に貼り付け、保存を選択し、X を選択してウィンドウを閉じます。

6. でシングルサインオンをテストするように求められたら AWS IAM Identity Center、後でテストする「いいえ」を選択します。 この検証は、後のステップで行います。

7. 「 でシングルサインオンをセットアップSAMLするSAML」ページの「証明書」セクションの「フェデレーションメタデータXML」の横にある「ダウンロード」を選択してメタデータファイルをシステムに保存してください。次のステップでプロンプトが表示されたら、このファイルをアップロードする必要があります。

Step 3.3 >

ステップ 3.3: を設定する Microsoft Entra ID の外部 IdP AWS IAM Identity Center

ここでは、IAMIdentity Center コンソールの「ID ソースの変更」ウィザードに戻り、SAML接続の後半を完了します AWS。

1. IAM Identity Center コンソールStep 3.1で、開いたままにしたブラウザセッションに戻ります。

2. 「外部 ID プロバイダーの設定」ページの「ID プロバイダーメタデータ」セクションのIdP SAMLメタデータ」で、「ファイルの選択」ボタンを選択し、「」からダウンロードした ID プロバイダーメタデータファイルを選択します。Microsoft Entra ID 前のステップで、「開く」を選択します。

3. [Next (次へ)] を選択します。

4. 免責事項を読み、次に進む準備ができたら、ACCEPT と入力してください。

5. [ID ソースを変更] を選択して変更を適用します。

Step 3.4 >

ステップ 3.4: Nikki が AWS アクセスポータルにリダイレクトされることをテストする

この手順では、Nikki の認証情報を使用して Microsoft のマイアカウントポータルにサインインしてSAML接続をテストします。認証されたら、Nikki を AWS アクセスポータルにリダイレクトする AWS IAM Identity Center アプリケーションを選択します。

1. マイアカウントポータルのサインインページに移動し、Nikki の完全なメールアドレスを入力します。例えば、NikkiWolf@example.org です。

2. プロンプトが表示されたら、Nikki のパスワードを入力し、[サインイン] を選択します。

3. [マイアカウント] ページの左側のナビゲーションペインで、[マイアプリ] を選択します。

4. [マイアプリ] ページで、AWS IAM Identity Center という名前のアプリを選択します。これにより、追加の認証を求めるプロンプトが表示されます。

5. Microsoft のサインインページで、 NikkiWolf 認証情報を選択します。認証を 2 回目に求められたら、 NikkiWolf 認証情報を再度選択します。これにより、自動的に AWS アクセスポータルにリダイレクトされます。

   ヒント

   正常にリダイレクトされない場合は、 に入力した AWS アクセスポータルのサインインURL値が、 からコピーした値Step 3.2と一致することを確認してくださいStep 3.1。

6. AWS アカウント ディスプレイを確認します。

   ヒント

   ページが空で AWS アカウント 表示されない場合は、Nikki がRegionalAdminアクセス許可セットに正常に割り当てられたことを確認します (「」を参照Step 2.3）。

Step 3.5

ステップ 3.5: Nikki が AWS アカウントを管理するためのアクセスレベルをテストする

このステップでは、Nikki が AWS アカウントのリージョン設定を管理するためのアクセスレベルを確認します。Nikki には、[アカウント] ページからリージョンを管理するための十分な管理者権限のみを持つことが期待されています。

1. AWS アクセスポータルで、アカウントタブを選択してアカウントのリストを表示します。アクセス許可セットを定義したアカウントに関連付けられているアカウント名IDs、アカウント 、および E メールアドレスが表示されます。

2. アクセス許可セットを適用したアカウント名 (例: Sandbox) を選択します (「」を参照Step 2.3）。これにより、Nikki が自分のアカウントを管理するために選択できるアクセス許可セットのリストが展開されます。

3. アクセスRegionalAdmin許可セットで定義したロールを引き受けるには、 RegionalAdminマネジメントコンソールを選択します。これにより、 AWS Management Console ホームページにリダイレクトされます。

4. コンソールの右上で、アカウント名を選択してから [アカウント] を選択します。これにより、[アカウント] ページに移動します。このページの他のすべてのセクションには、これらの設定を表示または変更するのに必要なアクセス許可がないことを示すメッセージが表示されます。

5. [アカウント] ページで、 [AWS リージョン] までスクロールダウンします。テーブル内の使用可能なリージョンのチェックボックスをオンにします。Nikki には、自分のアカウントのリージョンのリストを意図したとおりに [有効化] または [無効化] するために必要なアクセス許可が付与されています。

よくできました!

ステップ 1 から 3 までは、SAML接続の実装とテストに成功しました。チュートリアルを完了するには、ステップ 4 に進んで自動プロビジョニングを実装することをお勧めします。

ステップ 4: SCIM 同期を設定してテストする

このステップでは、 からのユーザー情報の自動プロビジョニング (同期) を設定します。Microsoft Entra ID v2.0 SCIM プロトコルを使用して IAM Identity Center に 。この接続は で設定します。Microsoft Entra ID IAM Identity Center のSCIMエンドポイントと、IAMIdentity Center によって自動的に作成されるベアラートークンを使用する。

同期を設定するときは、 SCIM でユーザー属性のマッピングを作成します。Microsoft Entra ID IAM Identity Center の名前付き属性への 。これにより、IAMIdentity Center と の間で期待される属性が一致します。Microsoft Entra ID.

次の手順では、主に に存在するユーザーの自動プロビジョニングを有効にする方法について説明します。Microsoft Entra ID の IAM Identity Center アプリを使用して IAM Identity Center に を送信する Microsoft Entra ID.

Step 4.1 >

ステップ 4.1: で 2 番目のテストユーザーを作成する Microsoft Entra ID

テスト目的で、 で新しいユーザー (Richard Roe) を作成します。Microsoft Entra ID。 後で、同期を設定した後、このユーザーと関連するすべての属性が IAM Identity Center SCIM に正常に同期されたことをテストします。

1. Microsoft Entra 管理センターコンソールで、[ID] > [ユーザー] > [すべてのユーザー] に移動します。

2. [新しいユーザー] を選択し、画面上部の [新しいユーザーの作成] を選択します。

3. [ユーザープリンシパル名] に RichRoe と入力し、目的のドメインと拡張子を選択します。例えば、RichRoe@ ですexample.org。

4. [表示名] に RichRoe と入力します。

5. [パスワード] に、強力なパスワードを入力するか、目のアイコンを選択して自動生成されたパスワードを表示し、表示された値をコピーするか書き留めてください。

6. [プロパティ] を選択し、以下の値を指定します。

   • [名] - Richard と入力します。

   • [姓] - Roe と入力します。

   • [役職名] - Marketing Lead と入力します。

   • [部門] - Sales と入力します。

   • [従業員 ID] - 12345 と入力します。

7. [レビューと作成] を選択したら、[作成] を選択します。

Step 4.2 >

ステップ 4.2: IAM Identity Center で自動プロビジョニングを有効にする

この手順では、IAMIdentity Center コンソールを使用して、 から送信されるユーザーとグループの自動プロビジョニングを有効にします。Microsoft Entra ID IAM Identity Center への 。

1. IAM Identity Center コンソールを開き、左側のナビゲーションペインで設定を選択します。

2. [設定] ページの [ID ソース] タブで、[プロビジョニング方法] が [手動] に設定されていることに注目してください。

3. [自動プロビジョニング] 情報ボックスを見つけ、[有効にする] を選択します。これにより、IAMIdentity Center の自動プロビジョニングがすぐに有効になり、必要なSCIMエンドポイントとアクセストークンの情報が表示されます。

4. [インバウンド自動プロビジョニング] ダイアログボックスで、以下のオプションの値をそれぞれコピーします。でプロビジョニングを設定するときは、次のステップでこれらを貼り付ける必要があります。Microsoft Entra ID.

   1. SCIM エンドポイント - https://scim.us-east-2.amazonaws.com/11111111111-2222-3333-4444-555555555555/scim/v2 など

   2. [アクセストークン] - [トークンを表示] を選択して値をコピーします。

   警告

   これは、SCIMエンドポイントとアクセストークンを取得できる唯一の時間です。先に進む前に、これらの値をコピーしておいてください。

5. [閉じる] を選択します。

6. ID ソースタブで、プロビジョニングメソッドが に設定されましたSCIM。

Step 4.3 >

ステップ 4.3: で自動プロビジョニングを設定する Microsoft Entra ID

RichRoe テストユーザーを設定し、IAMIdentity Center SCIMで SCIM を有効にしたので、 で同期設定の構成に進むことができます。Microsoft Entra ID.

1. Microsoft Entra 管理センターコンソールで、[ID] > [アプリケーション] > [エンタープライズアプリケーション] に移動し、[AWS IAM Identity Center] を選択します。

2. [プロビジョニング] を選択し、[管理] で [プロビジョニング] をもう一度選択します。

3. [プロビジョニングモード] で [自動] を選択します。

4. 「管理者認証情報」で、「」で前にコピーしたSCIMエンドポイントURL値のテナントURLペースト。 Step 4.2[シークレットトークン] にアクセストークンの値を貼り付けます。

5. 接続のテストを選択します。テストした認証情報が正常に認証され、プロビジョニングが可能になったことを示すメッセージが表示されます。

6. [Save] を選択します。

7. [管理] で [ユーザーとグループ] を選択し、[ユーザー/グループの追加] を選択します。

8. [割り当てを追加] ページの [ユーザー] で、[何も選択されていません] を選択します。

9. を選択しRichRoe、選択を選択します。

10. [Add Assignment] (割り当てを追加) ページで、[Assign] (割り当て) を選択します。

11. [概要] を選択したら、[プロビジョニングの開始] を選択します。

Step 4.4

ステップ 4.4: 同期が行われたことを確認する

このセクションでは、Richard のユーザーが正常にプロビジョニングされ、すべての属性が IAM Identity Center に表示されることを確認します。

1. IAM Identity Center コンソールで、ユーザーを選択します。

2. ユーザーページに、RichRoeユーザーが表示されます。Created by 列の値は に設定されていることに注意してくださいSCIM。

3. プロファイルで RichRoeを選択し、次の属性が からコピーされたことを確認します。Microsoft Entra ID.

   • [名] - Richard

   • [姓] - Roe

   • [部門] - Sales

   • 役職 - Marketing Lead

   • [従業員番号] - 12345

   Richard のユーザーが IAM Identity Center で作成されたので、任意のアクセス許可セットに割り当てることができます。これにより、Richard のリソースに対する AWS アクセスレベルを制御できます。例えば、以前に使用したRegionalAdminアクセス許可セットRichRoeに を割り当てて、Nikki にリージョンを管理するアクセス許可を付与し (「」を参照Step 2.3）、 を使用してアクセスレベルをテストできますStep 3.5。

お疲れ様でした。

Microsoft と 間のSAML接続を正常にセットアップ AWS し、自動プロビジョニングがすべてを同期させるために機能していることを確認します。これで、学習した内容を応用して、本番環境をよりスムーズに設定できます。

ステップ 5: を設定する ABAC - オプション

SAML と が正常に設定されたのでSCIM、オプションで属性ベースのアクセスコントロール () を設定できますABAC。 ABACは、属性に基づいてアクセス許可を定義する認可戦略です。

With Microsoft Entra IDでは、次の 2 つの方法のいずれかを使用して、 IAM Identity Center で使用するABACように を設定できます。

Configure user attributes in Microsoft Entra ID for access control in IAM Identity Center

でユーザー属性を設定する Microsoft Entra ID IAM Identity Center でのアクセスコントロール用の

次の手順では、 でどの属性を使用するかを決定します。Microsoft Entra ID は、 AWS リソースへのアクセスを管理するために IAM Identity Center が使用する必要があります。定義後、Microsoft Entra ID は、SAMLアサーションを通じてこれらの属性を IAM Identity Center に送信します。次に、 IAM から渡された属性に基づいてアクセスを管理するために Identity Center アクセス権限セットを作成します。で を行う必要があります。Microsoft Entra ID.

この手順を始める前に、まず アクセスコントロールの属性 機能を有効にしておく必要があります。これを行う方法については、「アクセスコントロールのための属性の有効化と設定」を参照してください。

1. Microsoft Entra 管理センターコンソールで、[ID] > [アプリケーション] > [エンタープライズアプリケーション] に移動し、[AWS IAM Identity Center] を選択します。

2. [Single Sign-On] を選択します。

3. [属性とクレーム] セクションで、[編集] を選択します。

4. [属性とクレーム] ページで、以下を実行します。

   1. [Add new claim] (新しいクレームを追加する) を選択します。

   2. [Name] (名前) に AccessControl:AttributeName を入力します。を IAM Identity Center で予期している属性の名前AttributeNameに置き換えます。例えば、AccessControl:Department と指定します。

   3. Namespaceに https://aws.amazon.com/SAML/Attributes. と入力します。

   4. [出典] で、[属性] を選択します。

   5. Source 属性では、ドロップダウンリストを使用して Microsoft Entra ID ユーザー属性。例えば、user.department と指定します。

5. SAML アサーションで IAM Identity Center に送信する必要がある属性ごとに、前のステップを繰り返します。

6. [Save] を選択します。

Configure ABAC using IAM Identity Center

IAM Identity Center ABACを使用して を設定する

この方法では、 IAM Identity Center の アクセスコントロールの属性機能を使用して、 Name 属性が に設定された Attribute要素を渡しますhttps://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey}。この要素を使用して、SAMLアサーションで属性をセッションタグとして渡すことができます。セッションタグの詳細については、「 ユーザーガイド」の「 でのセッションタグの受け AWS STS渡し」を参照してください。 IAM

属性をセッションタグとして渡すには、タグの値を指定する AttributeValue 要素を含めます。例えば、タグのキーバリューのペア Department=billing を渡すには、次の属性を使用します。

<saml:AttributeStatement>
<saml:Attribute Name="https://aws.amazon.com/SAML/Attributes/AccessControl:Department">
<saml:AttributeValue>billing
</saml:AttributeValue>
</saml:Attribute>
</saml:AttributeStatement>

複数の属性を追加する必要がある場合は、各タグに個別の Attribute 要素を含めます。

へのアクセスを割り当てる AWS アカウント

以下の手順は、 へのアクセス AWS アカウント のみを許可するためにのみ必要です。これらのステップは、 AWS アプリケーションへのアクセスを許可するためには必要ありません。

ステップ 1: IAM Identity Center: Grant Microsoft Entra ID ユーザーによる アカウントへのアクセス

1. IAM Identity Center コンソールに戻ります。IAM Identity Center ナビゲーションペインのマルチアカウントアクセス許可で、 を選択しますAWS アカウント。

2. AWS アカウント ページの [組織構造] には、組織のルートと、その下にあるアカウントが階層内で表示されます。管理アカウントのチェックボックスをオンにし、[ユーザーまたはグループを割り当て] を選択します。

3. [ユーザーとグループを割り当てる] のワークフローが表示されます。これは、3 つのステップから構成されています。

   1. [ステップ 1: ユーザーとグループの選択] では、管理者の職務を実行するユーザーを選択します。次いで、[次へ] を選択します。

   2. [ステップ 2: アクセス許可セットの選択] では、[許可セットを作成] を選択します。新しいタブが開き、アクセス許可セットを作成するための 3 つのサブステップが順を追って表示されます。

      1. [ステップ 1: 許可セットタイプを選択] では、以下を完了します。

         • [許可セットのタイプ] で、[事前定義された許可セット] を選択します。

         • 事前定義されたアクセス許可セットのポリシーで、 を選択しますAdministratorAccess。

         [Next (次へ)] を選択します。

      2. [ステップ 2: 許可セットの詳細を指定] では、デフォルト設定のままで、[次へ] を選択します。

         デフォルト設定では、セッション期間を 1 時間に設定した という名前AdministratorAccessのアクセス許可セットが作成されます。

      3. ステップ 3: 確認して作成するには、アクセス許可セットタイプが AWS 管理ポリシー を使用していることを確認しますAdministratorAccess。[Create] (作成) を選択します。[アクセス許可セット] ページに、アクセス許可セットが作成されたことを知らせる通知が表示されます。この時点で、ウェブブラウザでこのタブを閉じてもかまいません。

      4. [ユーザーとグループを割り当てる] ブラウザタブでは、[ステップ 2: 許可セットを選択] でアクセス許可セットの作成ワークフローを開始した状態のままになっています。

      5. [アクセス許可セット] 領域で、[更新] ボタンを選択します。作成したAdministratorAccessアクセス許可セットがリストに表示されます。そのアクセス許可セットのチェックボックスを選択したら、[次へ] を選択します。

   3. [ステップ 3: 確認と送信] では、選択したユーザーとアクセス許可セットを確認し、[送信] を選択します。

      ページが更新され、 AWS アカウント が設定されているというメッセージが表示されます。プロセスが完了するまで待ちます。

      AWS アカウント ページに戻ります。通知メッセージは、 AWS アカウント が再プロビジョニングされ、更新されたアクセス許可セットが適用されたことを通知します。ユーザーがサインインすると、AdministratorAccessロールを選択するオプションが表示されます。

ステップ 2: Microsoft Entra ID: 確認 Microsoft Entra ID ユーザーが AWS リソースにアクセスする

1. に戻る Microsoft Entra ID コンソールから IAM Identity Center SAMLベースのサインオンアプリケーションに移動します。

2. ユーザーとグループを選択し、ユーザーまたはグループの追加を選択します。このチュートリアルで作成したユーザーをステップ 4 で に追加します。Microsoft Entra ID アプリケーションをデプロイします。ユーザーを追加することで、サインインを許可します AWS。ステップ 4 で作成したユーザーを検索します。このステップに従った場合、 になりますRichardRoe。

   1. デモについては、「 を使用して既存の IAM Identity Center インスタンスをフェデレーションする」を参照してください。Microsoft Entra ID

トラブルシューティング

を使用した一般的なSCIMSAMLトラブルシューティング Microsoft Entra ID、以下のセクションを参照してください。

• との同期の問題 Microsoft Entra ID および IAM Identity Center

• 特定のユーザーが外部SCIMプロバイダーから IAM Identity Center に同期できない

• IAM Identity Center によって作成されたSAMLアサーションの内容に関する問題

• 外部 ID プロバイダーを使用してユーザーまたはグループをプロビジョニングする際の重複ユーザーまたはグループのエラー

• 追加リソース

との同期の問題 Microsoft Entra ID および IAM Identity Center

で問題が発生した場合 Microsoft Entra ID ユーザーが IAM Identity Center に同期していない可能性があります。これは、新しいユーザーが IAM Identity Center に追加されるときに IAM Identity Center がフラグ付けした構文の問題が原因である可能性があります。これを確認するには、Microsoft Entra ID などの失敗したイベントの監査ログ'Export'。このイベントの Status Reason (ステータス理由) には、次のように記述されます。

{"schema":["urn:ietf:params:scim:api:messages:2.0:Error"],"detail":"Request is unparsable, syntactically incorrect, or violates schema.","status":"400"}

失敗したイベント AWS CloudTrail を確認することもできます。これは、次のフィルター CloudTrail を使用して のイベント履歴コンソールで検索することで実行できます。

"eventName":"CreateUser"

CloudTrail イベントのエラーには、次の内容が表示されます。

"errorCode": "ValidationException",
        "errorMessage": "Currently list attributes only allow single item“

最終的に、この例外は、 から渡された値の 1 つであることを意味します。Microsoft Entra ID には予想よりも多くの値が含まれていました。解決策は、 でユーザーの属性を確認することです。Microsoft Entra ID。重複した値が含まれていないことを確認します。重複した値の一般的な例の一つは、携帯電話、仕事、FAX などの連絡先に複数の値が存在することです。値は別個ですが、すべて単一の親属性 で IAM Identity Center に渡されますphoneNumbers。

トラブルシューティングの一般的なヒントについては、SCIM「トラブルシューティング」を参照してください。

Microsoft Entra ID ゲストアカウントの同期

を同期する場合 Microsoft Entra ID IAM Identity Center へのゲストユーザーについては、次の手順を参照してください。

Microsoft Entra ID ゲストユーザーの E メールは とは異なります Microsoft Entra ID ユーザー。この違いにより、同期しようとすると問題が発生します。Microsoft Entra ID IAM Identity Center を使用するゲストユーザー。例えば、ゲストユーザーの場合は、次の E メールアドレスを参照してください。

exampleuser_domain.com#EXT@domain.onmicrosoft.com.

IAM Identity Center では、ユーザーの E メールアドレスに EXT@domain形式が含まれていないことを想定しています。

1. Microsoft Entra 管理センターにサインインし、[ID] > [アプリケーション] > [エンタープライズアプリケーション] に移動し、[AWS IAM Identity Center] を選択します。

2. 左側ペインの [シングルサインオン] タブに移動します。

3. [ユーザー属性とクレーム] の横にある [編集] を選択します。

4. [必須クレーム] に続く [一意のユーザー識別子 (名前 ID)] を選択します。

5. の 2 つのクレーム条件を作成します。Microsoft Entra ID ユーザーとゲストユーザー：

   1. [ Microsoft Entra ID ユーザーの場合は、ソース属性が に設定されているメンバーのユーザータイプを作成します user.userprincipalname。

   2. [ Microsoft Entra ID ゲストユーザーの場合は、ソース属性を に設定して、外部ゲストのユーザータイプを作成しますuser.mail。

   3. としてサインインを保存して再試行するを選択する Microsoft Entra ID ゲストユーザー。

追加リソース

• SCIM トラブルシューティングの一般的なヒントについては、「」を参照してくださいIAM Identity Center の問題のトラブルシューティング。

• [ Microsoft Entra ID トラブルシューティングについては、「」を参照してください 。Microsoft ドキュメント。

• 複数の 間のフェデレーションの詳細については AWS アカウント、「 AWS アカウント による保護」を参照してください。Azure Active Directory Federation.

以下のリソースは、作業中のトラブルシューティングに役立ちます AWS。

• AWS re:Post - 問題のトラブルシューティングに役立つ他の リソースを検索FAQsしてリンクします。

• AWS サポート - テクニカルサポートを受ける