翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
ID ソースの変更に関する注意事項
アイデンティティソースはいつでも変更できますが、この変更が現在のデプロイにどのように影響するかを検討することをお勧めします。
あるアイデンティティソースですでにユーザーとグループを管理している場合、別のアイデンティティソースに変更すると、IAM アイデンティティセンターで設定したユーザーとグループの割り当てがすべて削除される可能性があります。この場合、IAM Identity Center の管理ユーザーを含むすべてのユーザーは、 AWS アカウント およびアプリケーションへのシングルサインオンアクセスを失います。
IAM アイデンティティセンターの ID ソースを変更する前に、以下の考慮事項を確認してください。ID ソースの変更を続行する場合は、詳細について アイデンティティソースを変更する を参照してください。
IAM アイデンティティセンターと Active Directory 間の切り替え
すでに Active Directory でユーザーとグループを管理している場合は、IAM アイデンティティセンターを有効にして ID ソースを選択するときに、ディレクトリの接続を検討することをお勧めします。デフォルトの Identity Center ディレクトリにユーザーやグループを作成して割り当てを行う前に、この作業を行ってください。
既に Identity Center のデフォルトディレクトリでユーザーとグループを管理している場合は、次の点を考慮してください。
-
割り当ての削除、ユーザーとグループの削除 — ID ソースを Active Directory に変更すると、ユーザーとグループが Identity Center ディレクトリから削除されます。この変更により、割り当ても削除されます。この場合、Active Directory に変更した後に、Active Directory のユーザーとグループを Identity Center ディレクトリに同期してから、それらの割り当てを再適用する必要があります。
Active Directory を使用しない場合は、Identity Center のディレクトリにユーザーとグループを作成し、割り当てを行う必要があります。
-
ID が削除されても割り当ては削除されない — アイデンティティセンターディレクトリで ID が削除されると、IAM アイデンティティセンターでも対応する割り当てが削除されます。しかし Active Directory では、(Active Directory または同期された ID のどちらかで) ID が削除されても、対応する割り当ては削除されません。
-
API のアウトバウンド同期なし — Active Directory をアイデンティティソースとして使用する場合、「作成、更新、および削除」API は注意して使用することをお勧めします。IAM アイデンティティセンターはアウトバウンド同期をサポートしていないため、これらの API を使用してユーザーまたはグループに加えた変更によってアイデンティティソースが自動的に更新されることはありません。
-
アクセスポータル URL が変更される – IAM Identity Center と Active Directory の間で ID ソースを変更すると、 AWS アクセスポータルの URL も変更されます。
-
既存のユーザーセッションの有効期限切れには最大 2 時間かかる場合があります – ユーザーとグループが Identity Center ディレクトリから削除されると、アクティブなセッションを持つユーザーは AWS 、アクセスポータルと統合 AWS アプリケーションに最大 2 時間引き続きアクセスできます。認証セッションの期間とユーザー動作については、「IAM アイデンティティセンターを使用した認証」を参照してください。
IAM アイデンティティセンターがユーザーとグループをどのようにプロビジョニングするかについては、「Microsoft AD ディレクトリへの接続」を参照してください。
IAM アイデンティティセンターから外部 IdP への変更
ID ソースを IAM アイデンティティセンターから外部 ID プロバイダー (IdP) に変更する場合は、次の点を考慮してください。
-
割り当てとメンバーシップは正しいアサーションで機能する – 新しい IdP が正しいアサーション (SAML nameID など) を送信する限り、ユーザー割り当て、グループ割り当て、グループメンバーシップは引き続き機能します。これらのアサーションは、IAM アイデンティティセンターのユーザー名およびグループと一致する必要があります。
-
アウトバウンド同期なし — IAM アイデンティティセンターはアウトバウンド同期をサポートしていないため、IAM アイデンティティセンターで行ったユーザーやグループの変更によって外部 IdP が自動的に更新されることはありません。
-
SCIM プロビジョニング – SCIM プロビジョニングを使用している場合、ID プロバイダーのユーザーおよびグループに対する変更は、ID プロバイダーがそれらの変更を IAM アイデンティティセンターに送信した後にのみ IAM アイデンティティセンターに反映されます。「自動プロビジョニングを使用する際の注意事項」を参照してください。
-
ロールバック – IAM アイデンティティセンターを使用して ID ソースをいつでも元に戻すことができます。「IAM アイデンティティセンターから外部 IdP への変更」を参照してください。
-
セッション期間の有効期限が切れると、既存のユーザーセッションを取り消し – ID ソースを外部 ID プロバイダーに変更すると、アクティブなユーザーセッションは、コンソールで設定された最大セッション期間の残りの間、継続します。例えば、 AWS アクセスポータルのセッション期間を 8 時間に設定し、4 時間目に ID ソースを変更した場合、アクティブなユーザーセッションはさらに 4 時間保持されます。ユーザーセッションを取り消すには、「AWS アクセスポータルと AWS 統合アプリケーションのアクティブなユーザーセッションを削除する」を参照してください。
ユーザーが IAM Identity Center コンソール、Identity Store APIs、または SCIM プロビジョニングで削除または無効化された場合、アクティブなセッションを持つユーザーは、最大 2 時間 AWS 引き続き アクセスポータルと統合 AWS アプリケーションにアクセスできます。
注記
ユーザーの削除後、IAM アイデンティティセンターコンソールからユーザーセッションを取り消すことはできません。
IAM アイデンティティセンターがユーザーとグループをどのようにプロビジョニングするかについては、「外部 ID プロバイダーの管理」を参照してください。
IAM アイデンティティセンターから外部 IdP への変更
ID ソースを IAM アイデンティティセンターから外部 ID プロバイダー (IdP) に変更する場合は、次の点を考慮してください。
-
IAM アイデンティティセンターセンターではすべての割り当てが保持されます。
-
パスワードリセットを強制する — IAM アイデンティティセンターでパスワードを持っていたユーザーは、以前のパスワードでサインインを続けることができます。外部 IdP にいて、IAM アイデンティティセンターにいなかったユーザーに対して、パスワードリセットを強制する必要があります。
-
セッション期間の有効期限が切れると、既存のユーザーセッションが取り消される – ID ソースを IAM アイデンティティセンターに変更すると、アクティブなユーザーセッションは、コンソールで設定された最大セッション期間の残りの時間の間、継続されます。例えば、 AWS アクセスポータルセッションの所要時間が 8 時間で、4 時間目に ID ソースを変更した場合、アクティブなユーザーセッションはさらに 4 時間実行されます。ユーザーセッションを取り消すには、「AWS アクセスポータルと AWS 統合アプリケーションのアクティブなユーザーセッションを削除する」を参照してください。
ユーザーが IAM Identity Center コンソール、Identity Store APIs、または SCIM プロビジョニングで削除または無効化された場合、アクティブなセッションを持つユーザーは、最大 2 時間 AWS 引き続き アクセスポータルと統合 AWS アプリケーションにアクセスできます。
注記
ユーザーの削除後、IAM アイデンティティセンターコンソールからユーザーセッションを取り消すことはできません。
IAM アイデンティティセンターがユーザーとグループをどのようにプロビジョニングするかについては、「IAM Identity Center で ID を管理する」を参照してください。
ある外部 IdP から別の外部 IdP への変更
IAM アイデンティティセンターの ID ソースとして既に外部 IdP を使用していて、別の外部 IdP に変更する場合は、次の点を考慮してください。
-
アサインメントとメンバーシップは正しいアサーションで機能する – IAM アイデンティティセンターはアサインメントをすべて保持します。新しい IdP が正しいアサーション (SAML nameID など) を送信する限り、ユーザー割り当て、グループ割り当て、グループメンバーシップは引き続き機能します。
これらのアサーションは、ユーザーが新しい外部 IdP を介して認証する際に、IAM アイデンティティセンターのユーザー名と一致する必要があります。
-
SCIM プロビジョニング – IAM アイデンティティセンターへのプロビジョニングに SCIM を使用している場合は、本ガイドの IdP 固有の情報や IdP のドキュメントを確認して、SCIM を有効にしたときに新しいプロバイダーでユーザーやグループが正しく一致するかどうかを確認するようお勧めします。
-
セッション期間の有効期限が切れると、既存のユーザーセッションが取り消される – ID ソースを別の外部 ID プロバイダーに変更すると、アクティブなユーザーセッションは、コンソールで設定された最大セッション期間の残り時間の間、継続します。例えば、 AWS アクセスポータルセッションの所要時間が 8 時間で、4 時間目に ID ソースを変更した場合、アクティブなユーザーセッションはさらに 4 時間保持されます。ユーザーセッションを取り消すには、「AWS アクセスポータルと AWS 統合アプリケーションのアクティブなユーザーセッションを削除する」を参照してください。
ユーザーが IAM Identity Center コンソール、Identity Store APIs、または SCIM プロビジョニングで削除または無効化された場合、アクティブなセッションを持つユーザーは、最大 2 時間 AWS 引き続き アクセスポータルと統合 AWS アプリケーションにアクセスできます。
注記
ユーザーの削除後、IAM アイデンティティセンターコンソールからユーザーセッションを取り消すことはできません。
IAM アイデンティティセンターがユーザーとグループをどのようにプロビジョニングするかについては、「外部 ID プロバイダーの管理」を参照してください。
IAM アイデンティティセンターと Active Directory の切り替え
アイデンティティソースを外部 IdP から Active Directory に、または Active Directory から外部 IdP に変更する場合は、次の点を考慮してください。
-
ユーザー、グループ、割り当てが削除される — すべてのユーザー、グループ、および割り当てが IAM アイデンティティセンターから削除されます。外部の IdP や Active Directory のユーザーやグループの情報は影響を受けません。
-
ユーザーのプロビジョニング — 外部 IdP に変更した場合、ユーザーのプロビジョニングに IAM アイデンティティセンターを設定する必要があります。または、外部 IdP のユーザーやグループを手動でプロビジョニングしてから、割り当てを設定する必要があります。
-
アサインメントとグループの作成 — Active Directory に変更する場合は、Active Directory 内のディレクトリにあるユーザーとグループを使用してアサインメントを作成する必要があります。
-
既存のユーザーセッションの有効期限切れには最大 2 時間かかる場合があります – ユーザーとグループが Identity Center ディレクトリから削除されると、アクティブなセッションを持つユーザーは、 AWS アクセスポータルと統合 AWS アプリケーションに最大 2 時間引き続きアクセスできます。認証セッションの期間とユーザー動作については、「IAM アイデンティティセンターを使用した認証」を参照してください。
IAM アイデンティティセンターがユーザーとグループをどのようにプロビジョニングするかについては、「Microsoft AD ディレクトリへの接続」を参照してください。
