Okta - AWS IAM Identity Center (successor to AWS Single Sign-On)

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Okta

IAM Identity Center は、クロスドメインアイデンティティ管理システム (SCIM) v2.0 プロトコルを使用して、Okta から IAM Identity Center へのユーザーおよびグループ情報の自動プロビジョニング (同期化) をサポートしています。この接続を Okta で設定するには、IAM Identity Center 用の SCIM エンドポイントと、IAM Identity Center で自動的に作成したベアラートークンを使用します。SCIM 同期を設定すると、Okta のユーザー属性と IAM Identity Center の名前付き属性のマッピングが作成されます。これにより、IAM Identity Center とお客様の IdP の間で、期待される属性が一致します。

Okta は、SCIM を介して IAM Identity Center に接続した場合、以下のプロビジョニング機能をサポートします。

  • ユーザーの作成 — Okta の IAM ID Center アプリケーションに割り当てられたユーザーは IAM ID Center でプロビジョニングされます。

  • ユーザー属性の更新 — Okta の IAM Identity Center アプリケーションに割り当てられているユーザーの属性変更は、IAM Identity Center で更新されます。

  • ユーザーの無効化 — Okta の IAM アイデンティティセンターアプリケーションから割り当てられていないユーザーは、IAM アイデンティティセンターでは無効になります。

  • グループプッシュ-Okta のグループ (およびそのメンバー) は、IAM Identity Center に同期されます。

次のステップでは、SCIM プロトコルを使用して、Okta から IAM Identity Center へのユーザーとグループの自動プロビジョニングを有効にする方法を説明します。

注記

SCIM のデプロイを開始する前に、まず 自動プロビジョニングを使用する際の注意事項 を確認することをお勧めします。そして、次のセクションで残りの注意事項を確認します。

追加の考慮事項

以下は、IAM Identity Center によるプロビジョニングの実装方法に影響を与える可能性がある Okta に関する重要な注意事項です。

  • 同じ Okta グループを割り当てとグループプッシュの両方に使用することは、現在サポートされていません。Okta と IAM Identity Center の間で間で間で間で間で間で間で間で間で間で間で間で間で間で間で間で間で間で間で間で間で間で間で間で間で間で間で間で間で間で間で間で間で間で間で間で間で間で間で間で間で間で間で間で間で間で間で間で間で間で間で間で間で間で間で間で間

  • ユーザーの住所を更新する場合は、[streetAddress] (番地)、[city] (市町村)、[state] (都道府県)、[zipCode] (郵便番号)、[countryCode] (国番号) の値を指定する必要があります。同期するときに Okta ユーザーにこれらの値のいずれかが指定されていない場合、そのユーザーやユーザーへの変更はプロビジョニングされません。

  • エンタイトルメントとロール属性はサポートされておらず、IAM Identity Center に同期することはできません。

前提条件

開始する前に、以下の準備が必要です。

ステップ 1: IAM Identity Center でプロビジョニングを有効にする

この最初のステップでは、IAM Identity Center コンソールを使用して、自動プロビジョニングを有効にします。

IAM Identity Center で自動プロビジョニングを有効にするには
  1. 前提条件が整ったら、IAM Identity Center コンソールを開きます。

  2. 左側のナビゲーションペインの [Settings] (設定) を選択します。

  3. 設定ページで自動プロビジョニング情報ボックスを見つけ、「有効にする」を選択します。これにより、すぐに IAM Identity Center の自動プロビジョニングが有効になり、必要な SCIM エンドポイントとアクセストークンの情報が表示されます。

  4. [Inbound automatic provisioning] (インバウンド自動プロビジョニング) ダイアログボックスで、以下のオプションの値をそれぞれコピーします。これらは、後で IdP でプロビジョニングを設定する際に貼り付ける必要があります。

    1. SCIM エンドポイント

    2. アクセストークン

  5. [Close] (閉じる) を選択します。

IAM Identity Center コンソールでプロビジョニングを設定しています。あとは Okta のユーザーインターフェースに従い、以下の残りの手順を行う必要があります。

ステップ 2: Okta でプロビジョニングを設定する

Okta 管理者ポータルで以下の手順により、IAM アイデンティティセンターと IAM アイデンティティセンターアプリケーションの統合を有効にします。

Okta でプロビジョニングを設定するには
  1. 別のブラウザウィンドウで、Okta 管理者ポータルにログインし、IAM Identity Center アプリケーションにナビゲートします

  2. IAM Identity Center アプリページで、「プロビジョニング」タブを選択し、「統合」を選択します。

  3. [Configure API Integration] (API 統合の設定) を選択し、[Enable API integration] (API 統合の有効化) の横のチェックボックスを選択してプロビジョニングを有効にします。

  4. 前の手順で、IAM ID センターから [SCIM endpoint] (SCIM エンドポイント) の値をコピーしました。その値を Okta の [Base URL] (ベース URL) フィールドに貼り付けます。URL の末尾にあるスラッシュを削除してください。また、前の手順で、IAM Identity Center の [Access token] (アクセストークン) の値をコピーしました。その値を Okta の [API Token] (API トークン) フィールドに貼り付けます。

  5. [Test API Credentials] (API 認証情報をテストする) を選択して、入力された認証情報が有効であることを確認します。

  6. [Save] (保存) を選択します。

  7. [Settings] (設定) で、[To App] (アプリケーションへ) を選択し、[Edit] (編集) を選択して、有効にしたい各 [Provisioning Features] (プロビジョニング機能) の [Enable] (有効) チェックボックスを選択します。

  8. [Save] (保存) を選択します。

デフォルトでは、Okta IAM Identity Center アプリケーションにユーザーやグループは割り当てられていません。したがって、IAM Identity Center にユーザーとグループの同期を開始するためには、次の手順を完了する必要があります。

ステップ 3: Okta でユーザーとグループにアクセスを割り当てる

Okta で以下の手順により、ユーザーやグループにアクセスを割り当てます。ここで設定したグループに所属する Okta ユーザーは、自動的に IAM Identity Center に同期されます。Okta と IAM Identity Center の両方で管理上のオーバーヘッドを最小限に抑えるために、個々のユーザーではなくグループを割り当てを行い、プッシュすることをお勧めします

このステップが完了し、SCIM との最初の同期が完了すると、割り当てたユーザーとグループが IAM Identity Center に表示されます。これらのユーザーは、OktaAWS の認証情報を使ってアクセスポータルにアクセスすることができます。

Okta でユーザーにアクセス権を割り当てるには
  1. IAM ID センターアプリページで、「割り当て」タブを選択します。

  2. [Assignments] (割り当て) ページで、[Assign] (割り当て) を選択し、[Assign to People] (人に割り当てる) を選択します。

  3. IAM Identity Center アプリケーションへのアクセスを割り当てる Okta ユーザーを選択します。[Assign] (割り当て)、[Save and Go Back] (保存して戻る)、[Done] (完了) の順に選択します。これにより、IAM Identity Center へのユーザーのプロビジョニングプロセスが開始されます。

Okta でグループにアクセス権を割り当てるには
  1. IAM ID センターアプリページで、「割り当て」タブを選択します。

  2. [Assignments] (割り当て) ページで、[Assign] (割り当て) を選択し、[Assign to People] (グループに割り当てる) を選択します。

  3. IAM Identity Center アプリケーションへのアクセスを割り当てる Okta グループを選択します。[Assign] (割り当て)、[Save and Go Back] (保存して戻る)、[Done] (完了) の順に選択します。これにより、IAM Identity Center へのグループ内のユーザーのプロビジョニングプロセスが開始されます。

  4. [Push Groups] (プッシュグループ) タブを選択します。前のステップで選択した Okta グループを選択します。

    注記

    選択したグループは、アプリケーションに割り当てられたものとは違うものでなければなりません。Okta と IAM Identity Center の間で間で間で間で間で間で間で間で間で間で間で間で間で間で間で間で間で間で間で間で間で間で間で間で間で間で間で間で間で間で間で間で間で間で間で間で間で間で間で間で間で間で間で間で間で間で間で間で間で間で間で間で間で間で間で間で間

    次に、[Save] (保存) を選択します。グループとそのメンバーが IAM アイデンティティセンターに正常にプッシュされると、グループのステータスがアクティブに変わります。

Okta ユーザーにAWSアカウントとクラウドアプリケーションへのアクセスを許可するには、IAM Identity Center コンソールから次の該当する手順を実行します。

(オプション) ステップ 4: IAM Identity Center でのアクセスコントロールのために Okta でユーザー属性を設定する

これは、AWSリソースへのアクセスを管理するために IAM Identity Center の属性設定を選択した場合の Okta のオプション手順です。Okta で定義した属性は、SAML アサーションとして IAM ID Center に渡されます。その後、IAM ID Center でアクセス権限セットを作成し、Okta から渡された属性に基づいてアクセスを管理します。

この手順を始める前に、まず アクセスコントロールの属性 機能を有効にしておく必要があります。これを行う方法については、「アクセスコントロールのための属性の有効化と設定」を参照してください。

IAM Identity Center でのアクセスコントロールのために Okta でユーザー属性を設定するには
  1. 別のブラウザウィンドウで、Okta 管理者ポータルにログインし、IAM Identity Center アプリケーションにナビゲートします

  2. IAM ID Center アプリページで、[サインオン] タブを選択し、[編集] を選択します。

  3. [SAML] セクションで、[Attributes (Optional)] (属性 (オプション)) を展開します。

  4. [Attribute Sign-Center (オプション) セクションでは、アクセスコントロールに IAM Identity Center を使用する各属性について以下のように記述します

    1. [Name] (名前) フィールドにはhttps://aws.amazon.com/SAML/Attributes/AccessControl:AttributeName、入力して、IAM Identity CenterAttributeName で想定している属性名に置き換えます。例えば、https://aws.amazon.com/SAML/Attributes/AccessControl:Department

    2. [Name Format] (名前のフォーマット) フィールドで [URI reference] (URI リファレンス) を選択します。

    3. [Value] (値) フィールドには user.AttributeName を入力し、AttributeName を Okta のデフォルトのユーザープロファイル変数名に置き換えます。例えば、user.department。Okta デフォルトユーザープロファイルの変数名を確認するには、Okta ウェブサイトの「View the Okta default user profile」(Okta のデフォルトユーザープロファイルの表示) を参照してください。

  5. (オプション) [Preview SAML] (SAML のプレビュー) を選択して、新しい属性を含む SAML アサーションのサンプルを確認します。

  6. [Save] (保存) を選択します。

(オプション) アクセスコントロールの属性を渡す

オプションで、IAM Identity Centerアクセスコントロールの属性 の機能を使用して、AttributeName属性がに設定された要素を渡すことができますhttps://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey}。この要素を使用すると、SAML アサーションでセッションタグとして属性を渡すことができます。セッションタグの詳細については、「IAM ユーザーガイド」「Passing session tags in AWS STS」(AWS STS でのタグ付けの規則) を参照してください。

属性をセッションタグとして渡すには、タグの値を指定する AttributeValue 要素を含めます。例えば、タグのキーバリューのペア CostCenter = blue を渡すには、次のような属性を使用します。

<saml:AttributeStatement> <saml:Attribute Name="https://aws.amazon.com/SAML/Attributes/AccessControl:CostCenter"> <saml:AttributeValue>blue </saml:AttributeValue> </saml:Attribute> </saml:AttributeStatement>

複数の属性を追加する必要がある場合は、各タグに個別の Attribute 要素を含めます。

トラブルシューティング

以下は、Okta で自動プロビジョニングで発生する問題のトラブルシューティングに役立ちます。

ベース URL: 必須パターンに一致しない

ベース URL に貼り付けた SCIM エンドポイントの URL には、末尾にフォワードスラッシュ (/) が含まれていることがあります。SCIM エンドポイントの URL からスラッシュを削除してから Base URL (ベース URL) に貼り付けます。例えば、https://scim.us-east-2.amazonaws.com/ xxxxxxxx-xxxx-xxxxx-xxxxxx-xxxx /scim/v2。

同期中のエラー

同期を開始すると、次のようなエラーが表示される場合があります。

Automatic profile push of <user> to app IAM Identity Center failed: Error while trying to push profile update for <user>@Corp.Example.com: Bad Request. Errors reported by remote server: Request is unparsable, syntactically incorrect, or violates schema.

SCIM の同期が機能するためには

  • すべてのユーザーが First name (名)、Last name (姓)、Username (ユーザーネーム)、Display name (表示名) の値を指定する必要があります。これらのすべての値が設定されていないユーザーはプロビジョニングされません。

  • ユーザーネームは、Okta のディレクトリ内で一意な属性にマッピングする必要があります。

  • 次の特殊文字は、SCIM と同期している属性に使用してはいけません: <>;:%

  • ユーザーの住所を更新する場合は、[streetAddress] (番地)、[city] (市町村)、[state] (都道府県)、[zipCode] (郵便番号)、[countryCode] (国番号) の値を指定する必要があります。同期するときに Okta ユーザーにこれらの値のいずれかが指定されていない場合、そのユーザーやユーザーへの変更はプロビジョニングされません。