外部 ID プロバイダーの管理
IAM Identity Center では、Security Assertion Markup Language (SAML) 2.0 および System for Cross-Domain Identity Management (SCIM) プロトコルを使用して、外部 ID プロバイダー (IdP) から既存のワークフォース ID を接続できます。これにより、ユーザーは AWS アクセスポータルにサインインできるようになります。そして、外部の IdP でホストされている、割り当てられたアカウント、ロール、アプリケーションにナビゲートすることができます。
例えば、Okta や Microsoft Entra ID などの外部 IdP を IAM アイデンティティセンターに接続できます。ユーザーは、既存の Okta や Microsoft Entra ID の認証情報を使って、AWS アクセスポータルにサインインすることができます。ユーザーがサインイン後にできることを制御するには、AWS 組織内のすべてのアカウントとアプリケーションにわたってアクセス許可を一元的に割り当てることができます。さらに、開発者は既存の認証情報を使って AWS Command Line Interface (AWS CLI) にサインインするだけで、短期間の認証情報の自動生成やローテーションを利用することができます。
Active Directory または AWS Managed Microsoft AD で自己管理型ディレクトリを使用している場合は、Microsoft AD ディレクトリへの接続 を参照してください。
注記
SAML プロトコルは、ユーザーやグループについての情報を得るために IdP へクエリする方法は提供していません。そのため、IAM Identity Center がこれらのユーザーやグループを IAM Identity Center にプロビジョニングして認識する必要があります。
ユーザーが外部の IdP から来た場合のプロビジョニング
外部の IdP を使用する場合、AWS アカウント やアプリケーションへの割り当てを行う前に、すべての該当するユーザーとグループを IAM アイデンティティセンターにプロビジョニングする必要があります。これを行うには、ユーザーやグループに合わせて SCIM を使用して外部 ID プロバイダーを IAM Identity Center にプロビジョニングする を設定するか、手動のプロビジョニング を使用します。ユーザーのプロビジョニング方法に関係なく、IAM Identity Center は AWS Management Console、コマンドラインインターフェース、およびアプリケーション認証を外部の IdP にリダイレクトします。IAM Identity Center では、IAM Identity Center センターで作成したポリシーに基づいて、それらのリソースへのアクセス権を付与します。プロビジョニングの詳細については、「ユーザーおよびグループのプロビジョニング」を参照してください。