翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Microsoft AD ディレクトリへの接続
では AWS IAM Identity Center、 AWS Managed Microsoft AD を使用して Active Directory (AD) のセルフマネージドディレクトリまたは のディレクトリを接続できます AWS Directory Service。この Microsoft AD ディレクトリは、Identity Center コンソールを使用してシングルサインオンアクセスを割り当てるときに管理者がプルできる IAM ID プールを定義します。社内ディレクトリを IAM Identity Center に接続したら、AD ユーザーまたはグループに AWS アカウント、アプリケーション、またはその両方へのアクセスを許可できます。
AWS Directory Service は、 AWS クラウドでホストされているスタンドアロン AWS Managed Microsoft AD ディレクトリをセットアップして実行するのに役立ちます。を使用して AWS Directory Service 、 AWS リソースを既存のセルフマネージド AD に接続することもできます。セルフマネージド AD と連携 AWS Directory Service するように を設定するには、まず信頼関係を設定して認証をクラウドに拡張する必要があります。
IAM Identity Center は、 が提供する接続 AWS Directory Service を使用して、ソース AD インスタンスへのパススルー認証を実行します。を ID ソース AWS Managed Microsoft AD として使用すると、IAMIdentity Center は AD トラストを介して接続された任意のドメインのユーザー AWS Managed Microsoft AD と連携できます。4 つ以上のドメインでユーザーを検索する場合、ユーザーは IAM Identity Center へのサインインを実行するときにユーザー名として DOMAIN\user
構文を使用する必要があります。
メモ
-
前提条件として、 AWS Managed Microsoft AD の AD Connector または ディレクトリが AWS Organizations 管理アカウント内 AWS Directory Service に存在することを確認します。詳細については、「Identity Center で IAM ID ソースを確認する」を参照してください。
-
IAM Identity Center はSAMBA、接続されたディレクトリとして 4 ベースの Simple AD をサポートしていません。
Active Directory を使用する際の考慮事項
Active Directory を ID ソースとして使用する場合、設定は次の前提条件を満たす必要があります。
-
を使用している場合は AWS Managed Microsoft AD、 AWS リージョン AWS Managed Microsoft AD ディレクトリがセットアップされているのと同じ で IAM Identity Center を有効にする必要があります。IAM Identity Center は、割り当てデータを ディレクトリと同じリージョンに保存します。IAM Identity Center を管理するには、IAMIdentity Center が設定されているリージョンに切り替える必要がある場合があります。また、 AWS アクセスポータルは ディレクトリURLと同じアクセスを使用することに注意してください。
-
管理アカウントにある Active Directory を使用してください。
に既存の AD Connector または AWS Managed Microsoft AD ディレクトリを設定し AWS Directory Service、 AWS Organizations 管理アカウント内に存在する必要があります。 AWS Managed Microsoft AD 一度に接続できる AD Connector ディレクトリは 1 つ、または に 1 つのディレクトリのみです。複数のドメインやフォレストをサポートする必要がある場合は、 AWS Managed Microsoft ADを使用してください。詳細については、以下を参照してください。
-
委任された管理者アカウントにある Active Directory を使用してください。
IAM Identity Center の委任された管理者を有効にし、Active Directory を IAM Identity Center の ID ソースとして使用する場合は、委任された管理者アカウントにある AWS Directory に設定された既存の AD Connector または AWS Managed Microsoft AD ディレクトリを使用できます。
IAM Identity Center の ID ソースを他のソースから Active Directory に変更するか、Active Directory から他のソースに変更する場合、そのディレクトリは IAM Identity Center の委任された管理者メンバーアカウントが存在する場合は、そのアカウントに存在 (所有) する必要があります。存在しない場合は、管理アカウントに存在する必要があります。
ユーザーがアクティブディレクトリから来たときのプロビジョニング
IAM Identity Center は、 が提供する接続 AWS Directory Service を使用して、Active Directory のソースディレクトリから IAM Identity Center ID ストアにユーザー、グループ、メンバーシップ情報を同期します。ユーザー認証は Active Directory のソースディレクトリから直接行われるため、パスワード情報は IAM Identity Center と同期されません。この ID データは、Active Directory のソースディレクトリにLDAPアクティビティを返すことなく、アプリケーション内検索、承認、コラボレーションのシナリオを容易にするためにアプリケーションによって使用されます。
上記のプロビジョニングの詳細については、「ユーザーおよびグループのプロビジョニング」を参照してください。