外部の ID プロバイダーとの接続 - AWS IAM Identity Center (successor to AWS Single Sign-On)

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

外部の ID プロバイダーとの接続

次を使用できます。AWS IAM Identity Center (successor to AWS Single Sign-On)外部の ID プロバイダーからの ID を認証するには (IdPs) を SSO (SAML) 2.0 標準でサポートします。これにより、ユーザーはAWS企業の資格情報でポータルにアクセスします。そして、外部の ID プロバイダーでホストされている、割り当てられたアカウント、ロール、アプリケーションにナビゲートすることができます。

たとえば、Okta や Azure アクティブディレクトリ (AD) などの外部 IdP を IAM アイデンティティセンターに接続することができます。その後、ユーザーはAWS既存の Okta や Azure の認証情報を使ってポータルにアクセスします。さらに、AWS 組織内のすべてのアカウントやアプリケーションを対象に、ユーザーのアクセス権限を一元的に割り当てることができます。さらに、開発者は既存の認証情報を使って AWS Command Line Interface (AWS CLI) にサインインするだけで、短期間の認証情報の自動生成やローテーションを利用することができます。

SAML プロトコルは、ユーザーやグループについての情報を得るために IdP へクエリする方法は提供していません。そのため、IAM Identity Center がこれらのユーザーやグループを IAM Identity Center にプロビジョニングして認識する必要があります。

ユーザーが外部の ID プロバイダーから来た場合のプロビジョニング

外部の IdP を使用する場合、への割り当てを行う前に、すべてのユーザーとグループを IAM Identity Center にプロビジョニングする必要があります。AWSアカウントまたはアプリケーション。この場合、次の 2 つのオプションがあります。設定することが可能です自動プロビジョニング、または設定することができます手動のプロビジョニングあなたのユーザーとグループの。ユーザーのプロビジョニング方法に関係なく、IAM Identity Center はAWS Management Console、コマンドラインインターフェース、および外部の IdP へのアプリケーション認証。IAM Identity Center は、IAM Identity Center で作成したポリシーに基づいて、これらのリソースへのアクセスを許可します。プロビジョニングの詳細については、「ユーザーおよびグループのプロビジョニング」を参照してください。

外部 ID プロバイダに接続する方法

以下の手順で、IAM IM Imentity Center コンソールから外部の ID プロバイダーに接続します。

外部 ID プロバイダに接続する方法には

  1. を開くIAM アイデンティティセンターコンソール

  2. [Settings] (設定) を選択します。

  3. リポジトリの []設定[] ページで [] を選択しますID ソース[] タブを選択してからアクション > ID ソースの変更

  4. []アイデンティティソースを選択する、選択外部 ID プロバイダー[] を選択してから

  5. []外部 ID プロバイダを設定する] で、次の作業を行います。

    1. []サービスプロバイダーメタデータ、選択メタデータファイルのダウンロードをクリックして、メタデータファイルをダウンロードしてシステムに保存します。IAM Identity Center の SAML メタデータファイルは、外部の ID プロバイダーに必要です。

    2. []アイデンティティプロバイダーメタデータ、選択[Chooseを選択し、外部の ID プロバイダからダウンロードしたメタデータファイルを検索します。次に、ファイルをアップロードします。このメタデータファイルには,IdP から送信されるメッセージを信頼を得るための公開 x509 証明書が含まれています。

    3. [Next] (次へ) を選択します。

    重要

    ソースをアクティブディレクトリとの間で変更すると、既存のユーザーやグループの割り当てがすべて削除されます。ソースの変更が成功したら、手動で割り当てを再適用する必要があります。

  6. 免責事項を読み、次に進む準備ができたら、[ACCEPT] (許諾) を押してください。

  7. [Change identity source] (ID ソースの変更) を選択します。