SAML SCIM と を設定する Microsoft Entra ID および IAM Identity Center

AWS IAM Identity Center は、Security Assertion Markup Language (SAML) 2.0 との統合と、 からのユーザーおよびグループ情報の自動プロビジョニング (同期) をサポートします。Microsoft Entra ID （以前は と呼ばれていました。Azure Active Directory または Azure AD) は、System for Cross-domain IAM Identity Management () 2.0 プロトコルを使用して Identity Center に入力します。 SCIM

目的

このチュートリアルでは、テストラボを設定し、 間のSAML接続とSCIMプロビジョニングを設定します。Microsoft Entra ID および IAM Identity Center。最初の準備ステップでは、両方の でテストユーザー (Nikki Wolf) を作成します。Microsoft Entra ID と IAM Identity Center を使用して、双方向SAMLの接続をテストします。後で、SCIMステップの一環として、別のテストユーザー (Richard Roe) を作成して、 の新しい属性が Microsoft Entra ID は想定どおりに IAM Identity Center に同期しています。

前提条件

このチュートリアルを開始する前に、まず以下を設定する必要があります。

• A Microsoft Entra ID テナント。詳細については、「クイックスタート: でテナントを設定する」を参照してください。Microsoft ドキュメント内) を参照してください。

• AWS IAM Identity Centerが有効なアカウント。詳細については、AWS IAM Identity Center 「 ユーザーガイド」のIAM「アイデンティティセンターを有効にする」を参照してください。

考慮事項

以下は、 に関する重要な考慮事項です。Microsoft Entra ID これは、v2 プロトコルを使用して本番環境に IAM Identity Center SCIM で自動プロビジョニングを実装する計画に影響を与える可能性があります。

自動プロビジョニング

のデプロイを開始する前にSCIM、まず を確認することをお勧めします自動プロビジョニングを使用する際の注意事項。

アクセスコントロールの属性

アクセスコントロールの属性は、ID ソース内の誰が AWS リソースにアクセスできるかを決定するアクセス許可ポリシーで使用されます。でユーザーから属性が削除された場合 Microsoft Entra ID、その属性は IAM Identity Center の対応するユーザーから削除されません。これは、Microsoft Entra ID。 属性がユーザーの別の (空でない) 値に変更された場合、その変更は IAM Identity Center に同期されます。

ネストされたグループ

- Microsoft Entra ID ユーザープロビジョニングサービスは、ネストされたグループ内のユーザーを読み取りまたはプロビジョニングできません。明示的に割り当てられたグループの直接のメンバーであるユーザーのみが読み取りおよびプロビジョニングできます。Microsoft Entra ID は、間接的に割り当てられたユーザーまたはグループ (直接割り当てられたグループのメンバーであるユーザーまたはグループ) のグループメンバーシップを再帰的にアンパックしません。詳細については、「」の「割り当てベースのスコープ」を参照してください。Microsoft ドキュメント内) を参照してください。または、IAMIdentity Center ID AD Sync を使用して統合することもできます。Active Directory IAM Identity Center を持つグループ。

動的グループ

- Microsoft Entra ID ユーザープロビジョニングサービスは、動的グループ でユーザーを読み取ってプロビジョニングできます。動的グループの使用時のユーザーとグループの構造と、IAMIdentity Center での表示方法の例については、以下を参照してください。これらのユーザーとグループは からプロビジョニングされました Microsoft Entra ID 経由で IAM Identity Center に SCIM

例えば、Microsoft Entra ID 動的グループの構造は次のとおりです。

1. メンバー ua1、ua2 を持つグループ A

2. メンバー ub1 を持つグループ B

3. メンバー uc1 を持つグループ C

4. グループ K (グループ A、B、C のメンバーを含むルールを持つ)

5. グループ L (グループ B と C のメンバーを含むルールを持つ)

ユーザーとグループの情報が からプロビジョニングされた後 Microsoft Entra ID から IAM Identity Center にSCIM、 構造は次のようになります。

1. メンバー ua1、ua2 を持つグループ A

2. メンバー ub1 を持つグループ B

3. メンバー uc1 を持つグループ C

4. メンバー ua1、ua2、ub1、uc1 を含むグループ K

5. メンバー ub1、uc1 を持つグループ L

動的グループを使用して自動プロビジョニングを設定する場合、次の考慮事項に留意してください。

• 動的グループにはネストされたグループを含めることができます。ただし、Microsoft Entra ID プロビジョニングサービスは、ネストされたグループをフラット化しません。例えば、次の場合 Microsoft Entra ID 動的グループの構造：

  • グループ A はグループ B の親です。

  • グループ A には ua1 がメンバーとしています。

  • グループ B には ub1 がメンバーとしています。

グループ A を含む動的グループには、グループ A の直接のメンバー (つまり ua1) のみが含まれます。グループ B のメンバーは再帰的に含まれません。

• 動的グループには他の動的グループを含めることはできません。詳細については、「」の「プレビューの制限」を参照してください。Microsoft ドキュメント内) を参照してください。

ステップ 1: Microsoft テナントを準備する

このステップでは、エンタープライズアプリケーションをインストールして設定し、新しく作成された へのアクセスを割り当てる方法について説明します。 AWS IAM Identity Center Microsoft Entra ID テストユーザー。

Step 1.1 >

ステップ 1.1: で AWS IAM Identity Center エンタープライズアプリケーションをセットアップする Microsoft Entra ID

この手順では、 AWS IAM Identity Center エンタープライズアプリケーションを にインストールします。Microsoft Entra ID。 とSAMLの接続を設定するには、後でこのアプリケーションが必要です AWS。

1. クラウドアプリケーション管理者以上の権限で、Microsoft Entra 管理センターにサインインします。

2. [ID] > [アプリケーション] > [エンタープライズアプリケーション] に移動し、[新しいアプリケーション] を選択します。

3. [Microsoft Entra ギャラリーの参照] ページで、検索ボックスに AWS IAM Identity Center を入力します。

4. 結果AWS IAM Identity Centerから を選択します。

5. [Create] (作成) を選択します。

Step 1.2 >

ステップ 1.2: でテストユーザーを作成する Microsoft Entra ID

Nikki Wolf は、Microsoft Entra ID この手順で作成するユーザーをテストします。

1. Microsoft Entra 管理センターコンソールで、[ID] > [ユーザー] > [すべてのユーザー] に移動します。

2. [新しいユーザー] を選択し、画面上部の [新しいユーザーの作成] を選択します。

3. [ユーザープリンシパル名] に NikkiWolf と入力し、目的のドメインと拡張子を選択します。例えば、NikkiWolf@example.org.

4. [表示名] に NikkiWolf と入力します。

5. [パスワード] に、強力なパスワードを入力するか、目のアイコンを選択して自動生成されたパスワードを表示し、表示された値をコピーするか書き留めてください。

6. [プロパティ] を選択し、[名] に Nikki と入力します。[姓] に、Wolf と入力します。

7. [レビューと作成] を選択したら、[作成] を選択します。

Step 1.3

ステップ 1.3: アクセス許可を に割り当てる前に Nikki の経験をテストする AWS IAM Identity Center

この手順では、Nikki が Microsoft マイアカウントポータルに正常にサインインできることを確認します。

1. 同じブラウザで新しいタブを開き、マイアカウントポータルのサインインページに移動し、Nikki の完全な E メールアドレスを入力します。例えば、NikkiWolf@example.org.

2. プロンプトが表示されたら、Nikki のパスワードを入力し、[サインイン] を選択します。これが自動生成されたパスワードの場合は、パスワードを変更するように求められます。

3. [アクションが必要] ページで [後で確認する] を選択すると、追加のセキュリティメソッドの入力を求めるプロンプトは表示されなくなります。

4. マイアカウントページの左側のナビゲーションペインで、マイアプリ を選択します。現時点では、アドイン以外のアプリが表示されていないことに注意してください。後のステップでここに表示される AWS IAM Identity Center アプリを追加します。

Step 1.4

ステップ 1.4: で Nikki にアクセス許可を割り当てる Microsoft Entra ID

Nikki が [マイアカウントポータル] に正常にアクセスできることを確認したので、次の手順に従って Nikki のユーザーを AWS IAM Identity Center アプリに割り当てます。

1. Microsoft Entra 管理センターコンソールで、[ID] > [アプリケーション] > [エンタープライズアプリケーション] に移動し、リストから AWS IAM Identity Center を選択します。

2. 左側で [ユーザーとグループ] を選択します。

3. [Add user/group] (ユーザーとグループを追加) を選択します。グループを割り当てることができないというメッセージは無視してかまいません。このチュートリアルでは、割り当てにグループを使用しません。

4. [割り当てを追加] ページの [ユーザー] で、[何も選択されていません] を選択します。

5. を選択しNikkiWolf、選択 を選択します。

6. 割り当ての追加ページで、「割り当て」を選択します。AWS IAM Identity Centerアプリに割り当てられているユーザーのリスト NikkiWolf に表示されます。

ステップ 2: AWS アカウントを準備する

このステップでは、 IAM Identity Center アクセス許可を設定するには (アクセス許可セットを使用）、対応する Nikki Wolf ユーザーを手動で作成し、 でリソースを管理するために必要なアクセス許可を割り当てます AWS。

Step 2.1 >

ステップ 2.1: で RegionalAdmin アクセス許可セットを作成する IAM Identity Center

このアクセス許可セットは、 内の AWS アカウントページからリージョンを管理するために必要なアカウントアクセス許可を Nikki に付与するために使用されます AWS Management Console。Nikki のアカウントのその他の情報を閲覧または管理するその他の権限は、デフォルトではすべて拒否されています。

1. IAM Identity Center コンソール を開きます。

2. [マルチアカウント権限] で、[権限セット] を選択します。

3. [Create permission set] (アクセス権限セットの作成) を選択します。

4. [許可セットタイプを選択] ページで [カスタム許可セット] を選択し、[次へ] を選択します。

5. [インラインポリシー] を選択して展開し、次の手順を使用してアクセス許可セットのポリシーを作成します。

   1. [新しいステートメントを追加] を選択してポリシーステートメントを作成します。

   2. 編集ステートメント で、リストからアカウントを選択し、次のチェックボックスを選択します。

      • ListRegions

      • GetRegionOptStatus

      • DisableRegion

      • EnableRegion

   3. [リソースの追加] の横にある [追加] を選択します。

   4. [リソースを追加] ページの [リソースタイプ] で、[すべてのリソース] を選択し、[リソースを追加] を選択します。ポリシーが次のようになっていることを確認します。

      {
          "Statement": [
              {
                  "Sid": "Statement1",
                  "Effect": "Allow",
                  "Action": [
                      "account:ListRegions",
                      "account:DisableRegion",
                      "account:EnableRegion",
                      "account:GetRegionOptStatus"
                  ],
                  "Resource": [
                      "*"
                  ]
              }
          ]
      }

6. [Next (次へ)] を選択します。

7. [許可セットの詳細を指定] ページの [許可セット名] に RegionalAdmin と入力し、[次へ] を選択します。

8. [確認して作成] ページで、[作成] をクリックします。アクセス許可セットのリストRegionalAdminに表示されます。

Step 2.2 >

ステップ 2.2: で対応する NikkiWolf ユーザーを作成する IAM Identity Center

SAML プロトコルは IdP (Microsoft Entra ID) を使用して、IAMIdentity Center でユーザーを自動的に作成します。次の手順を使用して、 の Nikki Wolfs ユーザーからコア属性をミラーリングするユーザーを IAM Identity Center で手動で作成します。Microsoft Entra ID.

1. IAM Identity Center コンソール を開きます。

2. [ユーザー] を選択し、[ユーザーを追加] を選択して、次の情報を入力します。

   1. ユーザー名と E メールアドレスの両方 – 同じ NikkiWolf@ を入力しますyourcompanydomain.extension の作成時に使用した Microsoft Entra ID ユーザー。例えば、NikkiWolf@example.org.

   2. [メールアドレスの確認] — 前のステップで使用したメールアドレスを再入力します。

   3. [名] — Nikki と入力します。

   4. [姓] — Wolf と入力します。

   5. [表示名] — Nikki Wolf と入力します。

3. [次へ] を 2 回選択後、[ユーザーの追加] を選択します。

4. [Close] を選択します。

Step 2.3

ステップ 2.3: でアクセス RegionalAdmin 許可セットに Nikki を割り当てる IAM Identity Center

ここでは、Nikki がリージョンを管理する AWS アカウント を見つけ、 AWS アクセスポータルに正常にアクセスするために必要なアクセス許可を割り当てます。

1. IAM Identity Center コンソール を開きます。

2. [マルチアカウント権限] で、[AWS アカウント] を選択します。

3. アカウント名の横にあるチェックボックスを選択します (例：Sandbox) リージョンを管理するためのアクセスを Nikki に付与し、ユーザーとグループの割り当て を選択します。

4. [ユーザーとグループを割り当てる] ページで [ユーザー] タブを選択し、Nikki の横にあるボックスを探してオンにし、[次へ] を選択します。

ステップ 3: SAML接続を設定してテストする

このステップでは、 の AWS IAM Identity Center エンタープライズアプリケーションを使用してSAML接続を設定します。Microsoft Entra ID IAM Identity Center の外部 IdP 設定とともに。

Step 3.1 >

ステップ 3.1: IAM Identity Center から必要なサービスプロバイダーメタデータを収集する

このステップでは、Identity Center コンソール内から ID ソースの変更ウィザードを起動し、 との接続を設定するときに入力URLする必要があるメタデータファイルと AWS 特定のサインインを取得します。 IAMMicrosoft Entra ID 次のステップで。

1. IAM Identity Center コンソール で、設定 を選択します。

2. [設定] ページで [ID ソース] タブを選択し、[アクション] > [ID ソースを変更] を選択します。

3. [ID ソースを選択] ページで [外部 ID プロバイダー] を選択したら、[次へ] を選択します。

4. 「外部 ID プロバイダーの設定」ページのサービスプロバイダーメタデータ「」で、メタデータファイルのダウンロードを選択してXMLファイルをダウンロードします。

5. 同じセクションで、AWS アクセスポータルのサインインURL値を見つけてコピーします。この値は、次のステップで求められたときに入力します。

6. このページを開いたまま、次のステップ (Step 3.2) に移動して で AWS IAM Identity Center エンタープライズアプリケーションを設定します。Microsoft Entra ID。 その後、このページに戻ってプロセスを完了します。

Step 3.2 >

ステップ 3.2: で AWS IAM Identity Center エンタープライズアプリケーションを設定する Microsoft Entra ID

この手順では、前のステップでURL取得したメタデータファイルとサインオンの値を使用して、Microsoft 側のSAML接続の半分を確立します。

1. Microsoft Entra 管理センターコンソールで、[ID] > [アプリケーション] > [エンタープライズアプリケーション] に移動し、[AWS IAM Identity Center] を選択します。

2. 左側で 2 を選択します。シングルサインオン をセットアップします。

3. でシングルサインオンをセットアップSAMLページで、 を選択しますSAML。次に、メタデータファイルのアップロード を選択し、フォルダアイコンを選択し、前のステップでダウンロードしたサービスプロバイダーメタデータファイルを選択し、 の追加 を選択します。

4. 基本SAML設定ページで、識別子と返信URLの両方の値が、 で始 AWS まる のエンドポイントを指すようになりましたhttps://<REGION>.signin.aws.amazon.com/platform/saml/。

5. 「サインオン URL (オプション）」で、前のステップでコピーしたAWS アクセスポータルのサインインURL値 (Step 3.1) に貼り付け、「保存」を選択し、「X」を選択してウィンドウを閉じます。

6. でシングルサインオンをテストするように求められた場合は AWS IAM Identity Center、後でテストする を選択します。この検証は、後のステップで行います。

7. でシングルサインオンをセットアップ SAML ページで、SAML証明書セクションのフェデレーションメタデータ XMLの横にあるダウンロード を選択してメタデータファイルをシステムに保存してください。次のステップでプロンプトが表示されたら、このファイルをアップロードする必要があります。

Step 3.3 >

ステップ 3.3: を設定する Microsoft Entra ID の外部 IdP AWS IAM Identity Center

ここでは、IAMIdentity Center コンソールの ID ソースの変更ウィザードに戻り、 SAMLの接続の後半を完了します AWS。

1. IAM Identity Center コンソールStep 3.1で、開いたままのブラウザセッションに戻ります。

2. 外部 ID プロバイダーの設定ページで、ID プロバイダーメタデータセクションの IdP SAMLメタデータ で、ファイルの選択ボタンを選択し、ダウンロード元の ID プロバイダーメタデータファイルを選択します。Microsoft Entra ID 前のステップで、「 を開く」を選択します。

3. [Next (次へ)] を選択します。

4. 免責事項を読み、次に進む準備ができたら、ACCEPT と入力してください。

5. [ID ソースを変更] を選択して変更を適用します。

Step 3.4 >

ステップ 3.4: Nikki が AWS アクセスポータルにリダイレクトされることをテストする

この手順では、Nikki の認証情報を使用して Microsoft の My Account ポータルにサインインしてSAML接続をテストします。認証されると、Nikki を AWS アクセスポータルにリダイレクトする AWS IAM Identity Center アプリケーションを選択します。

1. マイアカウントポータルのサインインページに移動し、Nikki の完全なメールアドレスを入力します。例えば、NikkiWolf@example.org.

2. プロンプトが表示されたら、Nikki のパスワードを入力し、[サインイン] を選択します。

3. マイアカウントページの左側のナビゲーションペインで、マイアプリ を選択します。

4. [マイアプリ] ページで、AWS IAM Identity Center という名前のアプリを選択します。これにより、追加の認証を求めるプロンプトが表示されます。

5. Microsoft のサインインページで、 NikkiWolf 認証情報を選択します。認証を 2 回目に求められた場合は、 NikkiWolf 認証情報を再度選択します。これにより、 AWS アクセスポータルに自動的にリダイレクトされます。

   ヒント

   正常にリダイレクトされない場合は、入力したAWS アクセスポータルのサインインURL値が、 からコピーした値Step 3.2と一致することを確認してくださいStep 3.1。

6. AWS アカウント ディスプレイを確認します。

   ヒント

   ページが空で AWS アカウント 表示されていない場合は、Nikki がRegionalAdminアクセス許可セットに正常に割り当てられていることを確認します (「」を参照Step 2.3）。

Step 3.5

ステップ 3.5: Nikki が AWS アカウントを管理するためのアクセスレベルをテストする

このステップでは、Nikki が AWS アカウントのリージョン設定を管理するためのアクセスレベルを確認します。Nikki には、[アカウント] ページからリージョンを管理するための十分な管理者権限のみを持つことが期待されています。

1. AWS アクセスポータルで、アカウントタブを選択してアカウントのリストを表示します。アクセス許可セットを定義したアカウントに関連付けられたアカウント名、アカウント IDs、および E メールアドレスが表示されます。

2. アカウント名 (例：Sandbox) アクセス許可セットを適用した場所 (「」を参照Step 2.3）。これにより、Nikki が自分のアカウントを管理するために選択できるアクセス許可セットのリストが展開されます。

3. 次に、アクセスRegionalAdmin許可セットで定義したロールを引き受ける 管理コンソールRegionalAdminを選択します。これにより、 AWS Management Console ホームページにリダイレクトされます。

4. コンソールの右上で、アカウント名を選択してから [アカウント] を選択します。これにより、[アカウント] ページに移動します。このページの他のすべてのセクションには、これらの設定を表示または変更するのに必要なアクセス許可がないことを示すメッセージが表示されます。

5. [アカウント] ページで、 [AWS リージョン] までスクロールダウンします。テーブルで使用可能なリージョンのチェックボックスをオンにします。Nikki には、自分のアカウントのリージョンのリストを意図したとおりに [有効化] または [無効化] するために必要なアクセス許可が付与されています。

よくできました!

ステップ 1 から 3 までは、SAML接続の実装とテストに成功することができました。チュートリアルを完了するには、ステップ 4 に進んで自動プロビジョニングを実装することをお勧めします。

ステップ 4: SCIM 同期を設定してテストする

このステップでは、 からユーザー情報の自動プロビジョニング (同期) を設定します。Microsoft Entra ID v2.0 SCIM プロトコルを使用して IAM Identity Center に入力します。この接続は で設定します。Microsoft Entra ID Identity Center のSCIMエンドポイントとIAM、IAMIdentity Center によって自動的に作成されるベアラトークンを使用する。

SCIM 同期を設定するときは、 でユーザー属性のマッピングを作成します。Microsoft Entra ID IAM Identity Center で名前付き属性に。これにより、IAMIdentity Center と の間で予想される属性が一致 Microsoft Entra ID.

次の手順では、主に に居住するユーザーの自動プロビジョニングを有効にする方法について説明します。Microsoft Entra ID の IAM Identity Center アプリを使用して IAM Identity Center へ Microsoft Entra ID.

Step 4.1 >

ステップ 4.1: で 2 番目のテストユーザーを作成する Microsoft Entra ID

テストの目的で、 で新しいユーザー (Richard Roe) を作成します。Microsoft Entra ID。 その後、同期を設定した後、このユーザーとすべての関連する属性が IAM Identity Center SCIM に正常に同期されたことをテストします。

1. Microsoft Entra 管理センターコンソールで、[ID] > [ユーザー] > [すべてのユーザー] に移動します。

2. [新しいユーザー] を選択し、画面上部の [新しいユーザーの作成] を選択します。

3. [ユーザープリンシパル名] に RichRoe と入力し、目的のドメインと拡張子を選択します。例えば、RichRoe@example.org.

4. [表示名] に RichRoe と入力します。

5. [パスワード] に、強力なパスワードを入力するか、目のアイコンを選択して自動生成されたパスワードを表示し、表示された値をコピーするか書き留めてください。

6. [プロパティ] を選択し、以下の値を指定します。

   • [名] - Richard と入力します。

   • [姓] - Roe と入力します。

   • [役職名] - Marketing Lead と入力します。

   • [部門] - Sales と入力します。

   • [従業員 ID] - 12345 と入力します。

7. [レビューと作成] を選択したら、[作成] を選択します。

Step 4.2 >

ステップ 4.2: IAM Identity Center で自動プロビジョニングを有効にする

この手順では、IAMIdentity Center コンソールを使用して、Microsoft Entra ID IAM Identity Center に移動します。

1. IAM Identity Center コンソール を開き、左側のナビゲーションペインで設定を選択します。

2. [設定] ページの [ID ソース] タブで、[プロビジョニング方法] が [手動] に設定されていることに注目してください。

3. [自動プロビジョニング] 情報ボックスを見つけ、[有効にする] を選択します。これにより、IAMIdentity Center の自動プロビジョニングがすぐに有効になり、必要なSCIMエンドポイントとアクセストークン情報が表示されます。

4. [Inbound automatic provisioning] (インバウンド自動プロビジョニング) ダイアログボックスで、以下のオプションの値をそれぞれコピーします。でプロビジョニングを設定するときは、次のステップでこれらを貼り付ける必要があります。Microsoft Entra ID.

   1. SCIM エンドポイント - https://scim. などus-east-2.amazonaws.com/11111111111-2222-3333-4444-555555555555/scim/v2

   2. [アクセストークン] - [トークンを表示] を選択して値をコピーします。

   警告

   これは、SCIMエンドポイントとアクセストークンを取得できる唯一の時間です。先に進む前に、これらの値をコピーしてください。

5. [閉じる] を選択します。

6. Identity source タブで、プロビジョニングメソッドが に設定されるようになりましたSCIM。

Step 4.3 >

ステップ 4.3: で自動プロビジョニングを設定する Microsoft Entra ID

RichRoe テストユーザーが配置され、IAMIdentity Center SCIMで有効になったので、 でSCIM同期設定の設定に進むことができます。Microsoft Entra ID.

1. Microsoft Entra 管理センターコンソールで、[ID] > [アプリケーション] > [エンタープライズアプリケーション] に移動し、[AWS IAM Identity Center] を選択します。

2. [プロビジョニング] を選択し、[管理] で [プロビジョニング] をもう一度選択します。

3. [プロビジョニングモード] で [自動] を選択します。

4. 管理認証情報 の下の、 で前にコピーしたSCIMエンドポイントURL値のテナントURLペースト。 Step 4.2[シークレットトークン] にアクセストークンの値を貼り付けます。

5. 接続のテストを選択します。テストした認証情報が正常に認証され、プロビジョニングが可能になったことを示すメッセージが表示されます。

6. [Save] を選択します。

7. [管理] で [ユーザーとグループ] を選択し、[ユーザー/グループの追加] を選択します。

8. [割り当てを追加] ページの [ユーザー] で、[何も選択されていません] を選択します。

9. を選択しRichRoe、選択 を選択します。

10. [Add Assignment] (割り当てを追加) ページで、[Assign] (割り当て) を選択します。

11. [概要] を選択したら、[プロビジョニングの開始] を選択します。

Step 4.4

ステップ 4.4: 同期が行われたことを確認する

このセクションでは、Richard のユーザーが正常にプロビジョニングされ、すべての属性が IAM Identity Center に表示されることを確認します。

1. IAM Identity Center コンソール で、ユーザー を選択します。

2. ユーザーページには、RichRoeユーザーが表示されます。Created by 列の値は に設定されていることに注意してくださいSCIM。

3. プロファイル で RichRoeを選択し、次の属性が からコピーされたことを確認します。Microsoft Entra ID.

   • [名] - Richard

   • [姓] - Roe

   • [部門] - Sales

   • 役職 - Marketing Lead

   • [従業員番号] - 12345

   リチャードのユーザーが IAM Identity Center で作成されたので、任意のアクセス許可セットに割り当てることで、リチャードのリソースへのアクセスレベルを AWS 制御できます。例えば、以前に使用したRegionalAdminアクセス許可セットRichRoeに を割り当てて、Nikki にリージョンを管理するアクセス許可を付与し (「」を参照Step 2.3）、 を使用してアクセスレベルをテストできますStep 3.5。

お疲れ様でした。

Microsoft と 間のSAML接続を正常にセットアップ AWS し、自動プロビジョニングがすべてを同期させるように機能していることを確認しました。これで、学習した内容を応用して、本番環境をよりスムーズに設定できます。

ステップ 5: (オプション) 設定 ABAC

これで、 SAMLと が正常に設定されました。オプションでSCIM、属性ベースのアクセスコントロール () の設定を選択できますABAC。ABAC は、属性に基づいてアクセス許可を定義する認証戦略です。

で Microsoft Entra IDでは、次の 2 つの方法のいずれかを使用して、 IAM Identity Center で使用するABACように を設定できます。

Configure user attributes in Microsoft Entra ID for access control in IAM Identity Center

でユーザー属性を設定する Microsoft Entra ID IAM Identity Center でのアクセスコントロール用

次の手順では、 の属性を決定します。Microsoft Entra ID は、 AWS リソースへのアクセスを管理するために IAM Identity Center によって使用される必要があります。定義したら、Microsoft Entra ID はSAMLアサーションを通じてこれらの属性を IAM Identity Center に送信します。次に、渡した属性に基づいてアクセスを管理するために IAM Identity Center アクセス権限セットを作成します。で を使用する必要があります。Microsoft Entra ID.

この手順を始める前に、まず アクセスコントロールの属性 機能を有効にしておく必要があります。これを行う方法については、「アクセスコントロールのための属性の有効化と設定」を参照してください。

1. Microsoft Entra 管理センターコンソールで、[ID] > [アプリケーション] > [エンタープライズアプリケーション] に移動し、[AWS IAM Identity Center] を選択します。

2. [Single Sign-On] (Single Sign-On) を選択します。

3. [属性とクレーム] セクションで、[編集] を選択します。

4. [属性とクレーム] ページで、以下を実行します。

   1. [Add new claim] (新しいクレームを追加する) を選択します。

   2. [Name] (名前) に AccessControl:AttributeName を入力します。置換 AttributeName IAM Identity Center で想定している属性の名前。例えば、AccessControl:Department と指定します。

   3. Namespaceに https://aws.amazon.com/SAML/Attributes. と入力します。

   4. [出典] で、[属性] を選択します。

   5. ソース属性 では、ドロップダウンリストを使用して を選択します。Microsoft Entra ID ユーザー属性。例えば、user.department と指定します。

5. アSAMLサーションで IAM Identity Center に送信する必要がある属性ごとに前のステップを繰り返します。

6. [Save] を選択します。

Configure ABAC using IAM Identity Center

IAM Identity Center ABACを使用して を設定する

この方法では、IAMIdentity Center の アクセスコントロールの属性機能を使用して、 Name 属性が に設定されている Attribute 要素を渡しますhttps://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey}。この要素を使用して、SAMLアサーションで属性をセッションタグとして渡すことができます。セッションタグの詳細については、IAM「 ユーザーガイド」の「 でセッションタグを渡す AWS STS」を参照してください。

属性をセッションタグとして渡すには、タグの値を指定する AttributeValue 要素を含めます。例えば、タグのキーバリューのペア Department=billing を渡すには、次の属性を使用します。

<saml:AttributeStatement>
<saml:Attribute Name="https://aws.amazon.com/SAML/Attributes/AccessControl:Department">
<saml:AttributeValue>billing
</saml:AttributeValue>
</saml:Attribute>
</saml:AttributeStatement>

複数の属性を追加する必要がある場合は、各タグに個別の Attribute 要素を含めます。

トラブルシューティング

を使用した一般的なSCIMSAMLトラブルシューティング Microsoft Entra ID 以下のセクションを参照してください。

• との同期の問題 Microsoft Entra ID および IAM Identity Center

• 特定のユーザーが外部SCIMプロバイダーから IAM Identity Center に同期できない

• IAM Identity Center によって作成されたSAMLアサーションの内容に関する問題

との同期の問題 Microsoft Entra ID および IAM Identity Center

で問題が発生した場合 Microsoft Entra ID ユーザーが IAM Identity Center に同期していない可能性があります。これは、新しいユーザーが IAM Identity Center に追加されるときに IAM Identity Center にフラグが付けられた構文の問題が原因である可能性があります。これは、Microsoft Entra ID などの失敗したイベントの監査ログ'Export'。このイベントの Status Reason (ステータス理由) には、次のように記述されます。

{"schema":["urn:ietf:params:scim:api:messages:2.0:Error"],"detail":"Request is unparsable, syntactically incorrect, or violates schema.","status":"400"}

失敗したイベント AWS CloudTrail を確認することもできます。これは、次のフィルター CloudTrail を使用して のイベント履歴コンソールで検索することで実行できます。

"eventName":"CreateUser"

CloudTrail イベントのエラーには、次の内容が表示されます。

"errorCode": "ValidationException",
        "errorMessage": "Currently list attributes only allow single item“

最終的に、この例外は、 から渡された値の 1 つであることを意味します。Microsoft Entra ID には予想よりも多くの値が含まれていました。解決策は、 でユーザーの属性を確認することです。Microsoft Entra ID。重複する値が含まれていないことを確認します。重複した値の一般的な例の一つは、携帯電話、仕事、FAX などの連絡先に複数の値が存在することです。値は別個ですが、すべて単一の親属性 の IAM ID センターに渡されますphoneNumbers。

トラブルシューティングの一般的なヒントについては、SCIM「トラブルシューティング」を参照してください。

追加リソース

• SCIM トラブルシューティングの一般的なヒントについては、「」を参照してくださいIAM Identity Center の問題のトラブルシューティング。

• [ Microsoft Entra ID トラブルシューティングについては、「」を参照してください 。Microsoft ドキュメント 。

• 複数の 間のフェデレーションの詳細については AWS アカウント、「 AWS アカウント による保護」を参照してください。Azure Active Directory Federation.

でのトラブルシューティングには、次のリソースが役立ちます AWS。

• AWS re:Post - 問題のトラブルシューティングに役立つ他のリソースを検索FAQsしてリンクします。

• AWS Support - テクニカルサポートを受ける