Microsoft AD ディレクトリへの接続

では AWS IAM Identity Center、 AWS Managed Microsoft AD を使用して Active Directory (AD) のセルフマネージドディレクトリまたは のディレクトリを接続できます AWS Directory Service。この Microsoft AD ディレクトリでは、管理者が IAM Identity Center コンソールを使用してシングルサインオンアクセスを割り当てるときに、プル元の ID プールを定義します。社内ディレクトリを IAM Identity Center に接続したら、AD ユーザーまたはグループに AWS アカウント、アプリケーション、またはその両方へのアクセス権を付与できます。

AWS Directory Service は、 AWS クラウドでホストされているスタンドアロン AWS Managed Microsoft AD ディレクトリをセットアップして実行するのに役立ちます。 AWS Directory Service を使用して、 AWS リソースを既存のセルフマネージド AD に接続することもできます。セルフマネージド AD と連携 AWS Directory Service するように を設定するには、まず信頼関係を設定して認証をクラウドに拡張する必要があります。

IAM Identity Center は、 が提供する接続 AWS Directory Service を使用して、ソース AD インスタンスへのパススルー認証を実行します。を ID ソース AWS Managed Microsoft AD として使用すると、IAM Identity Center は AD 信頼を介して接続された任意のドメインから、 AWS Managed Microsoft AD または任意のドメインからユーザーと連携できます。4 つ以上のドメインにユーザーを配置したい場合、ユーザーは IAM Identity Center へのサインインを実行する際に、ユーザー名として DOMAIN\user 構文を使用する必要があります。

メモ

• 前提条件のステップとして、 AWS Managed Microsoft AD の AD Connector または ディレクトリが AWS Organizations 管理アカウント内 AWS Directory Service に存在することを確認します。詳細については、「IAM Identity Center で ID ソースを確認する」を参照してください。

• IAM Identity Center は、SAMBA4 ベースの Simple AD を接続先ディレクトリとしてサポートしていません。

Active Directory を使用する際の考慮事項

Active Directory を ID ソースとして使用する場合、設定は次の前提条件を満たす必要があります。

• を使用している場合は AWS Managed Microsoft AD、 AWS Managed Microsoft AD ディレクトリがセットアップされている AWS リージョン のと同じ で IAM Identity Center を有効にする必要があります。IAM Identity Center では、割り当てデータに関するディレクトリと同じリージョンに保存されます。IAM Identity Center を管理するには、IAM Identity Center が設定されているリージョンに切り替える必要がある場合があります。また、 AWS アクセスポータルは ディレクトリと同じアクセス URL を使用することに注意してください。

• 管理アカウントにある Active Directory を使用してください。

  に既存の AD Connector または AWS Managed Microsoft AD ディレクトリを設定し AWS Directory Service、 AWS Organizations 管理アカウント内に存在する必要があります。 AWS Managed Microsoft AD 一度に接続できる AD Connector ディレクトリは 1 つまたは 1 つのディレクトリのみです。複数のドメインやフォレストをサポートする必要がある場合は、 AWS Managed Microsoft ADを使用してください。詳細については、以下を参照してください。

  • のディレクトリを IAM Identity Center AWS Managed Microsoft AD に接続する

  • Active Directory の自己管理型ディレクトリを IAM Identity Center に接続する

• 委任された管理者アカウントにある Active Directory を使用してください。

  IAM Identity Center の委任された管理者を有効にし、Active Directory を IAM Identity Center のアイデンティティソースとして使用する場合は、委任された管理者アカウントにある AWS ディレクトリに設定された既存の AD Connector または AWS Managed Microsoft AD ディレクトリを使用できます。

  IAM Identity Center ID ソースを他のソースから Active Directory に変更するか、Active Directory から他のソースに変更する場合、そのディレクトリは IAM Identity Center 委任管理者メンバーアカウント (存在する場合) に存在する (所有されている) 必要があります。それ以外の場合は、管理アカウントに含まれている必要があります。

ユーザーがアクティブディレクトリから来たときのプロビジョニング

IAM Identity Center は、 が提供する接続 AWS Directory Service を使用して、Active Directory のソースディレクトリから IAM Identity Center ID ストアにユーザー、グループ、メンバーシップ情報を同期します。ユーザー認証は Active Directory のソースディレクトリから直接行われるため、パスワード情報は IAM アイデンティティセンターに同期されません。この ID データは、アプリケーションによって使用され、LDAP アクティビティを Active Directory のソースディレクトリに戻すことなく、アプリ内検索、承認、コラボレーション シナリオを容易にします。

上記のプロビジョニングの詳細については、「ユーザーおよびグループのプロビジョニング」を参照してください。

トピック

• のディレクトリを IAM Identity Center AWS Managed Microsoft AD に接続する
• Active Directory の自己管理型ディレクトリを IAM Identity Center に接続する
• AWS Managed Microsoft AD 　ディレクトリの属性マッピング
• Active Directory からユーザーとグループをプロビジョニングする