翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
ID ソースの変更に関する注意事項
アイデンティティソースはいつでも変更できますが、この変更が現在のデプロイにどのように影響するかを検討することをお勧めします。
あるアイデンティティソースですでにユーザーとグループを管理している場合、別のアイデンティティソースに変更すると、IAM Identity Center で設定したユーザーとグループの割り当てがすべて削除される可能性があります。この場合、IAM Identity Center の管理ユーザーを含むすべてのユーザーは、 AWS アカウント およびアプリケーションへのシングルサインオンアクセスを失います。
IAM Identity Center の ID ソースを変更する前に、以下の考慮事項を確認してください。ID ソースの変更を続行する場合は、詳細について アイデンティティソースを変更する を参照してください。
IAM Identity Center と Active Directory 間の切り替え
すでに Active Directory でユーザーとグループを管理している場合は、IAM Identity Center を有効にして ID ソースを選択するときに、ディレクトリの接続を検討することをお勧めします。デフォルトの Identity Center ディレクトリにユーザーやグループを作成して割り当てを行う前に、この作業を行ってください。
既に Identity Center のデフォルトディレクトリでユーザーとグループを管理している場合は、次の点を考慮してください。
-
割り当ての削除、ユーザーとグループの削除 — ID ソースを Active Directory に変更すると、ユーザーとグループが Identity Center ディレクトリから削除されます。この変更により、割り当ても削除されます。この場合、Active Directory に変更した後に、Active Directory のユーザーとグループを Identity Center ディレクトリに同期してから、それらの割り当てを再適用する必要があります。
Active Directory を使用しない場合は、Identity Center のディレクトリにユーザーとグループを作成し、割り当てを行う必要があります。
-
ID が削除されても割り当ては削除されない — Identity Center ディレクトリで ID が削除されると、IAM Identity Center でも対応する割り当てが削除されます。しかし、Active Directory では、ID が削除されても (Active Directory でも同期された ID でも)、対応する割り当ては削除されません。
-
API のアウトバウンド同期なし — Active Directory をアイデンティティソースとして使用する場合、「作成、更新、および削除」API は注意して使用することをお勧めします。IAM Identity Center はアウトバウンド同期をサポートしていないため、これらの API を使用してユーザーまたはグループに加えた変更によってアイデンティティソースが自動的に更新されることはありません。
-
アクセスポータル URL が変更される – IAM Identity Center と Active Directory の間で ID ソースを変更すると、 AWS アクセスポータルの URL も変更されます。
IAM Identity Center がユーザーとグループをどのようにプロビジョニングするかについては、「Microsoft AD ディレクトリへの接続」を参照してください。
IAM Identity Center から外部 IdP への変更
ID ソースを IAM Identity Center から外部 ID プロバイダー (IdP) に変更する場合は、次の点を考慮してください。
-
割り当てとメンバーシップは正しいアサーションで機能します – ユーザー割り当て、グループ割り当て、グループメンバーシップは、新しい IdP が正しいアサーション (SAML nameIDs。これらのアサーションは、IAM Identity Center のユーザー名とグループと一致する必要があります。
-
アウトバウンド同期なし – IAM Identity Center はアウトバウンド同期をサポートしていないため、IAM Identity Center で行ったユーザーとグループの変更により、外部 IdP が自動的に更新されることはありません。
-
SCIM プロビジョニング – SCIM プロビジョニングを使用している場合、ID プロバイダーが IAM Identity Center に変更を送信した後でのみ、ID プロバイダーのユーザーとグループへの変更は IAM Identity Center に反映されます。自動プロビジョニングを使用する際の注意事項 を参照してください。
-
ロールバック — ID ソースは、いつでも IAM Identity Center を使用して に戻すことができます。IAM Identity Center から外部 IdP への変更 を参照してください。
IAM Identity Center がユーザーとグループをどのようにプロビジョニングするかについては、「外部 ID プロバイダに接続する方法には」を参照してください。
IAM Identity Center から外部 IdP への変更
ID ソースを IAM Identity Center から外部 ID プロバイダー (IdP) に変更する場合は、次の点を考慮してください。
-
IAM Identity Center センターではすべての割り当てが保持されます。
-
パスワードリセットを強制する — IAM Identity Center でパスワードを持っていたユーザーは、以前のパスワードでサインインを続けることができます。外部 IdP にいて、IAM Identity Center にいなかったユーザーに対して、パスワードリセットを強制する必要があります。
IAM Identity Center がユーザーとグループをどのようにプロビジョニングするかについては、「IAM Identity Center で ID を管理する」を参照してください。
ある外部 IdP から別の外部 IdP への変更
IAM Identity Center の ID ソースとして既に外部 IdP を使用していて、別の外部 IdP に変更する場合は、次の点を考慮してください。
-
アサインメントとメンバーシップは正しいアサーションで機能する – IAM Identity Center はアサインメントをすべて保持します。新しい IdP が正しいアサーション (SAML nameID など) を送信する限り、ユーザー割り当て、グループ割り当て、およびグループメンバーシップは引き続き機能します。
これらのアサーションは、ユーザーが新しい外部 IdP を介して認証する際に、IAM Identity Center のユーザー名と一致する必要があります。
-
SCIM プロビジョニング – IAM Identity Center へのプロビジョニングに SCIM を使用している場合は、SCIM を有効にしたときに新しいプロバイダーがユーザーとグループを正しくマッチさせるために、本ガイドの IdP 固有の情報や IdP のドキュメントを確認することをお勧めします。
IAM Identity Center がユーザーとグループをどのようにプロビジョニングするかについては、「外部 ID プロバイダに接続する方法には」を参照してください。
IAM Identity Center と Active Directory の切り替え
アイデンティティソースを外部 IdP から Active Directory に、または Active Directory から外部 IdP に変更する場合は、次の点を考慮してください。
-
ユーザー、グループ、割り当てが削除される — すべてのユーザー、グループ、および割り当てが IAM Identity Center から削除されます。外部の IdP や Active Directory のユーザーやグループの情報は影響を受けません。
-
ユーザーのプロビジョニング — 外部 IdP に変更した場合、ユーザーのプロビジョニングに IAM Identity Center を設定する必要があります。または、外部 IdP のユーザーやグループを手動でプロビジョニングしてから、割り当てを設定する必要があります。
-
アサインメントとグループの作成 — Active Directory に変更する場合は、Active Directory 内のディレクトリにあるユーザーとグループを使用してアサインメントを作成する必要があります。
IAM Identity Center がユーザーとグループをどのようにプロビジョニングするかについては、「Microsoft AD ディレクトリへの接続」を参照してください。
