Microsoft AD ディレクトリへの接続 - AWS IAM Identity Center

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Microsoft AD ディレクトリへの接続

AWS IAM Identity Center を使用すると、Active Directory (AD) の自己管理ディレクトリに接続することも、AWS Directory Service を使用して AWS Managed Microsoft AD 内のディレクトリに接続することもできます。この Microsoft AD ディレクトリでは、管理者が IAM Identity Center コンソールを使用してシングルサインオンアクセスを割り当てるときに、プル元の ID プールを定義します。会社のディレクトリを IAM アイデンティティセンターに接続すると、AD ユーザーまたはグループに AWS アカウント、アプリケーション、またはその両方へのアクセス権を付与することができます。

AWS Directory Service により、AWS クラウドでホストされているスタンドアロンの AWS Managed Microsoft AD ディレクトリを設定して実行できます。また、AWS Directory Service を使用して、AWS リソースを既存のセルフマネージド AD に接続することも可能です。セルフマネージド AD と連動するように AWS Directory Service を設定するには、まず信頼関係を構築して、認証をクラウドに拡張する必要があります。

IAM Identity Center は、AWS Directory Service が提供する接続を使用して、ソース AD インスタンスへのパススルー認証を実行します。AWS Managed Microsoft AD を ID ソースとして使用する場合、IAM Identity Center は AWS Managed Microsoft AD のユーザーや AD トラストで接続されたドメインのユーザーに対して機能します。4 つ以上のドメインにユーザーを配置したい場合、ユーザーは IAM Identity Center へのサインインを実行する際に、ユーザー名として DOMAIN\user 構文を使用する必要があります。

メモ
  • 前提条件の手順として、AWS Directory Service の AWS Managed Microsoft AD にある AD コネクタまたはディレクトリが AWS Organizations 管理アカウント内に存在することを確認してください。詳細については、「IAM アイデンティティセンターの ID ソース」を参照してください。

  • IAM Identity Center は、SAMBA4 ベースの Simple AD を接続先ディレクトリとしてサポートしていません。

Active Directory を使用する際の考慮事項

Active Directory を ID ソースとして使用する場合、設定は次の前提条件を満たす必要があります。

  • AWS Managed Microsoft AD を使用している場合は、AWS Managed Microsoft AD ディレクトリが設定されている場所と同じ AWS リージョン で IAM Identity Center を有効にする必要があります。IAM Identity Center では、割り当てデータに関するディレクトリと同じリージョンに保存されます。IAM Identity Center を管理するには、IAM Identity Center が設定されているリージョンに切り替える必要がある場合があります。また、AWS のアクセスポータルでは、ディレクトリと同じアクセス URL が使用されます。

  • 管理アカウントにある Active Directory を使用してください。

    既存の AD コネクタまたは AWS Managed Microsoft AD ディレクトリが AWS Directory Service に設定されており、AWS Organizations 管理アカウント内に存在する必要があります。一度に接続できる AD Connector ディレクトリは 1 つか、ディレクトリは AWS Managed Microsoft AD 1 つだけです。複数のドメインやフォレストをサポートする必要がある場合は、AWS Managed Microsoft AD を使用してください。詳細については、以下を参照してください。

  • 委任された管理者アカウントにある Active Directory を使用してください。

    IAM Identity Center 委任管理者を有効にし、IAM ID センターのアイデンティティソースとして Active Directory を使用する予定の場合は、AWS Managed Microsoft AD委任された管理者アカウントにあるディレクトリに設定された既存の AD Connector AWS またはディレクトリを使用できます。

    IAM Identity Center ID ソースを他のソースから Active Directory に変更するか、Active Directory から他のソースに変更する場合、そのディレクトリは IAM Identity Center 委任管理者メンバーアカウント (存在する場合) に存在する (所有されている) 必要があります。それ以外の場合は、管理アカウントに含まれている必要があります。

ユーザーがアクティブディレクトリから来たときのプロビジョニング

IAM Identity Center は、AWS Directory Service によって提供された接続を使用して、Active Directory のソースディレクトリにあるユーザー、グループ、メンバーシップ情報を IAM ID センターアイデンティティストアに同期します。ユーザー認証は Active Directory のソースディレクトリから直接行われるため、パスワード情報は IAM アイデンティティセンターに同期されません。この ID データは、アプリケーションによって使用され、LDAP アクティビティを Active Directory のソースディレクトリに戻すことなく、アプリ内検索、承認、コラボレーション シナリオを容易にします。

上記のプロビジョニングの詳細については、「ユーザーおよびグループのプロビジョニング」を参照してください。