すべての ID ソースタイプのサインインと属性の使用を管理

PDFRSS

IAM Identity Center を使用すると、管理者は AWS アクセスポータルの使用を制御し、 AWS アクセスポータルとアプリケーションのユーザーのセッション期間を設定し、アクセスコントロールに属性を使用できます。これらの機能はアイデンティティセンターディレクトリまたは外部 ID プロバイダーを ID ソースとして使用します。

注記

Active Directory を IAM アイデンティティセンターの ID ソースとして使用している場合、セッション管理はサポートされていません。詳細については、「アクティブディレクトリ」を参照してください。

IAM アイデンティティセンターでサポートされるユーザー属性とグループ属性

属性とは、name、email、members など、個々のユーザーやグループのオブジェクトを定義し、識別するための情報のことです。IAM アイデンティティセンターは、ユーザー作成時に手動で入力された属性であるか、あるいは SCIM (System for Cross-Domain Identity Management) 仕様で定義されているような同期エンジンを使用して自動的にプロビジョニングされた属性であるかにかかわらず、最も代表的な属性をサポートします。

• クロスドメインアイデンティティ管理 (SCIM) 仕様の詳細については、https://tools.ietf.org/html/rfc7642 を参照してください。

• 手動および自動プロビジョニングの詳細については、「ユーザーが外部の IdP から来た場合のプロビジョニング」を参照してください。

• 属性のマッピングの詳細については、「IAM アイデンティティセンターと外部 ID プロバイダーディレクトリ間の属性マッピング」を参照してください。

IAM アイデンティティセンターは自動プロビジョニングのユースケースのために SCIM をサポートしているので、アイデンティティセンターは、いくつかの例外を除いて、SCIM 仕様に記載されているのと同じユーザーとグループの属性をすべてサポートしています。次のセクションでは、IAM アイデンティティセンターでサポートしていない属性について説明します。

ユーザーオブジェクト

SCIM ユーザースキーマ (https://tools.ietf.org/html/rfc7643#section-8.3) のすべての属性は、IAM Identity Center ID ストアでサポートされていますが、以下を除きます。

• password

• ims

• photos

• entitlements

• x509Certificates

ユーザーのすべてのサブ属性がサポートされていますが、以下の項目はサポートされていません。

• 複数の値を持つ属性のうち、'display' の副属性 (例えば、emails や phoneNumbers など)

• 'meta' 属性の 'version' サブ属性

オブジェクトをグループ化

SCIM グループスキーマ (https://tools.ietf.org/html/rfc7643#section-8.4) のすべての属性がサポートされています。

グループのすべてのサブ属性は、以下を除いてサポートされています。

• 多値属性 (例: メンバー) の 'display' サブ属性。

トピック

• AWS アクセスポータルと IAM アイデンティティセンター統合アプリケーションのセッション期間を設定する

• AWS アクセスポータルと AWS 統合アプリケーションのアクティブなユーザーセッションを削除する