外部 ID プロバイダーの管理

IAM アイデンティティセンターでは、Security Assertion Markup Language (SAML) 2.0 および System for Cross-Domain Identity Management (SCIM) プロトコルを使用して、外部 ID プロバイダー (IdP) から既存のワークフォース ID を接続できます。これにより、ユーザーは AWS アクセスポータルにサインインできるようになります。そして、外部の IdP でホストされている、割り当てられたアカウント、ロール、アプリケーションにナビゲートすることができます。

例えば、Okta や Microsoft Entra ID などの外部 IdP を IAM アイデンティティセンターに接続できます。その後、ユーザーは既存の Oktaまたは Microsoft Entra ID認証情報を使用して AWS アクセスポータルにサインインできます。ユーザーがサインインした後に実行できる操作を制御するには、 AWS 組織内のすべてのアカウントとアプリケーションに一元的にアクセス許可を割り当てることができます。さらに、開発者は既存の認証情報を使用して AWS Command Line Interface （AWS CLI) にサインインするだけで、短期的な認証情報の自動生成とローテーションのメリットを得ることができます。

Active Directory または でセルフマネージドディレクトリを使用している場合は AWS Managed Microsoft AD、「」を参照してくださいMicrosoft AD ディレクトリへの接続。

注記

SAML プロトコルは、ユーザーやグループについての情報を得るために IdP へクエリする方法は提供していません。そのため、IAM アイデンティティセンターがこれらのユーザーやグループを IAM アイデンティティセンターにプロビジョニングして認識する必要があります。

ユーザーが外部の IdP から来た場合のプロビジョニング

外部 IdP を使用する場合は、 AWS アカウント または アプリケーションに割り当てる前に、該当するすべてのユーザーとグループを IAM Identity Center にプロビジョニングする必要があります。これを行うには、ユーザーやグループに合わせて SCIM を使用して外部 ID プロバイダーを IAM アイデンティティセンターにプロビジョニングする を設定するか、手動のプロビジョニング を使用します。ユーザーをプロビジョニングする方法にかかわらず、IAM Identity Center は AWS Management Console、、コマンドラインインターフェイス、およびアプリケーション認証を外部 IdP にリダイレクトします。IAM アイデンティティセンターでは、IAM アイデンティティセンターセンターで作成したポリシーに基づいて、それらのリソースへのアクセス権を付与します。プロビジョニングの詳細については、「ユーザーおよびグループのプロビジョニング」を参照してください。

トピック

• 外部 ID プロバイダに接続する方法

• IAM アイデンティティセンターで外部 ID プロバイダーからのメタデータを変更するには

• 外部 ID プロバイダーで SAML および SCIM ID フェデレーションを使用する

• SCIM プロファイルおよび SAML 2.0 の実装