外部 ID プロバイダとのConnect - AWS IAM Identity Center (successor to AWS Single Sign-On)

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

外部 ID プロバイダとのConnect

Active Directory のセルフマネージドディレクトリまたはを使用している場合はAWS Managed Microsoft AD、を参照してくださいMicrosoft AD ディレクトリへのConnect。他の外部の ID プロバイダー (IdPs) では、Security Assertion Markup Language (SAML) 2.0 規格を使用してAWS IAM Identity Center (successor to AWS Single Sign-On)、Security Assertion Markup Language (SAML) 2.0 規格を使用できます。 IdPs これにより、ユーザーはAWS Access Portal にサインインできるようになります。そして、外部でホストされている、割り当てられたアカウント、ロール、アプリケーションにナビゲートすることができます IdPs。

例えば、Okta や Azure アクティブディレクトリ (AD) などの外部 IdP を IAM ID センターに接続することができます。ユーザーは、既存の Okta や AzureAWS の認証情報を使ってアクセスポータルにサインインすることができます。さらに、AWS 組織内のすべてのアカウントやアプリケーションを対象に、ユーザーのアクセス権限を一元的に割り当てることができます。さらに、開発者は既存の認証情報を使って AWS Command Line Interface (AWS CLI) にサインインするだけで、短期間の認証情報の自動生成やローテーションを利用することができます。

SAML プロトコルは、ユーザーやグループについての情報を得るために IdP へクエリする方法は提供していません。そのため、IAM Identity Center がこれらのユーザーやグループを IAM Identity Center にプロビジョニングして認識する必要があります。

ユーザーが外部の IdP から来た場合のプロビジョニング

外部の IdP を使用する場合、AWS アカウントやアプリケーションへの割り当てを行う前に、すべてのユーザーとグループを IAM Identity Center にプロビジョニングする必要があります。この場合、以下のように設定できます。または自動プロビジョニング、ユーザーとグループの手動のプロビジョニングの設定ができます。ユーザーのプロビジョニング方法に関係なく、IAM Identity Center はAWS Management Console、コマンドラインインターフェイス、およびアプリケーション認証を外部の IdP にリダイレクトします。IAM ID センターは、IAM ID Center で作成したポリシーに基づいて、それらのリソースへのアクセスを許可します。プロビジョニングの詳細については、「ユーザーおよびグループのプロビジョニング」を参照してください。

外部 ID プロバイダに接続する方法

以下の手順で、IAM Identity Center コンソールから外部の ID プロバイダーに接続します。

外部 ID プロバイダに接続する方法には
  1. IAM ID センターコンソールを開きます

  2. [Settings] (設定) を選択します。

  3. 設定」ページで「アイデンティティ・ソース」タブを選択し、「アクション」>「アイデンティティ・ソースの変更」を選択します。

  4. [ID ソースの選択] で、[外部 ID プロバイダー] を選択し、[次へ] を選択します。

  5. [外部 ID プロバイダーの設定], で、次の操作を行います。

    1. [Service provider metadata] (サービスプロバイダーメタデータ) で、[Download metadata file] (メタデータファイルのダウンロード) を選択して、メタデータファイルをダウンロードして、システムに保存します。IAM Identity Center SAML メタデータファイルは、外部の ID プロバイダーに必要です。

    2. [Identity provider metadata] (ID プロバイダーのメタデータ) で、[Choose file file file] (ファイル) を選択し、外部の ID プロバイダーからダウンロードしたメタデータファイルを検索します。次に、ファイルをアップロードします。このメタデータファイルには,IdP から送信されるメッセージを信頼を得るための公開 x509 証明書が含まれています。

    3. [次へ] を選択します。

    重要

    ソースをアクティブディレクトリとの間で変更すると、既存のユーザーやグループの割り当てがすべて削除されます。ソースの変更が成功したら、手動で割り当てを再適用する必要があります。

  6. 免責事項を読み、次に進む準備ができたら、[ACCEPT] (許諾) を押してください。

  7. [Change identity source] (ID ソースの変更) を選択します。