Microsoft AD ディレクトリConnect。 - AWSシングルサインオン

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Microsoft AD ディレクトリConnect。

とAWSシングルサインオンでは、管理者は、セルフマネージド Active Directory (AD) またはAWS Managed Microsoft ADディレクトリを使用してAWS Directory Service。この Microsoft AD ディレクトリでは、管理者が、使用時に ID プールを定義します。AWSSSO コンソールを使用して、シングルサインオン (SSO) アクセスを割り当てます。社内ディレクトリをAWSSSO を使用すると、管理者は AD ユーザーまたはグループにAWSアカウント、クラウドアプリケーション、またはその両方で利用できます。

AWS Directory Service により、AWS クラウドでホストされているスタンドアロンの AWS Managed Microsoft AD ディレクトリを設定して実行できます。また、AWS Directory Serviceに接続するにはAWSリソースを、既存のセルフマネージド AD とともにサポートします。を設定するにはAWS Directory Serviceセルフマネージド AD と連携するには、最初に、認証をクラウドに拡張するように信頼関係を設定する必要があります。

AWSSSO は、AWS Directory Serviceを使用して、Kerberos プロトコルを活用して、ソース AD インスタンスへのパススルー認証を実行します。使用するとAWS Managed Microsoft ADをアイデンティティ・ソースとしてAWSSSO は、AWS Managed Microsoft ADまたは AD 信頼を介して接続された任意のドメインからアクセスできます。4 つ以上のドメインでユーザーを検索する場合、ユーザーはDOMAIN\userへのサインインを実行するときに、ユーザー名としてAWSSSO.

Notes
  • 前提条件のステップとして、AWS ディレクトリサービスの AD Connector または AWS マネージド Microsoft AD ディレクトリがAWS Organizations管理アカウント。詳細については、「AWSSSO の前提条件」を参照してください。

  • AWSSSO は SAMBA 4 ベースの Simple AD を接続先ディレクトリとしてサポートしていません。

ユーザーがActive Directoryから来たときのプロビジョニング

AWSSSO は、AWS Directory Serviceを使用して、ユーザー、グループ、メンバーシップ情報をソース AD からAWSSSO アイデンティティストア。パスワード情報が同期されないAWSSSO。ユーザー認証はソース AD から直接行われるためです。この ID データは、AWSSSO 統合アプリケーションにより、LDAP アクティビティをソース AD に渡すことなく、アプリ内ルックアップ、承認、コラボレーションのシナリオを容易にします。

仕組み

AWSSSO は、次のプロセスを使用して、ID ストア内の AD ベースの ID データを更新します。

Creation

ユーザーまたはグループがAWSリソースまたはアプリケーションを使用してAWSコンソールまたはエンタイトルメント API を呼び出すと、ユーザー、グループ、およびメンバーシップ情報が定期的にAWSSSO アイデンティティストア。に追加されたユーザーまたはグループAWSSSO 割り当ては通常、AWSアイデンティティストアは 2 時間以内ですが、同期されるデータの量によっては時間がかかる場合があります。アクセス権を直接割り当てられているユーザーまたはグループ、またはアクセス権を割り当てられているグループのメンバーのみが同期されます。

割り当てられたグループ (ネストされたグループと呼ばれます) のメンバーであるグループは、アイデンティティストアにも書き込まれます。ネストされたグループのメンバーであるユーザーは「フラット化」されます。つまり、AWSSSO アイデンティティストア。これにより、AWSSSO 管理者は、認可に親グループのみを使用します。

ユーザーがアクセスした場合AWSユーザーオブジェクトが初めて同期される前の SSO では、そのユーザーの ID ストアオブジェクトは、ジャストインタイム (JIT) プロビジョニングを使用してオンデマンドで作成されます。JIT プロビジョニングによって作成されたユーザーは、直接割り当てられているか、グループベースのAWSSSO 使用権限。JIT でプロビジョニングされたユーザーのグループメンバーシップは、同期後まで使用できません。

Update

の ID データAWSSSO アイデンティティストアは、ソース AD から定期的にデータを読み取ることによって、最新の状態を維持します。AD で変更された ID データは、通常、AWSアイデンティティストアは 4 時間以内ですが、同期されるデータの量によっては時間がかかる場合があります。

ユーザーとグループのオブジェクトとそのメンバーシップは、AWSSSO を使用して、ソース AD 内の対応するオブジェクトにマッピングします。ユーザアトリビュートの場合、[属性マッピング] セクションにリストされているアトリビュートのサブセットのみAWSSSO コンソールはAWSSSO. さらに、ユーザー属性はユーザー認証イベントごとに更新されます。

Deletion

ユーザーおよびグループは、AWS対応するユーザーまたはグループのオブジェクトがソース AD から削除された場合の SSO アイデンティティストア。

上記のプロビジョニングの詳細については、「」を参照してください。ユーザーおよびグループのプロビジョニング