SAML と Identity Center SCIMを使用して Oktaと IAM を設定する - AWS IAM Identity Center

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

SAML と Identity Center SCIMを使用して Oktaと IAM を設定する

System for Cross-domain IAM Identity Management () 2.0 プロトコル を使用して、 から Identity Center Oktaにユーザーおよびグループの情報を自動的にプロビジョニングまたは同期できます。 SCIMでこの接続を設定するにはOkta、IAMIdentity Center のSCIMエンドポイントと、Identity Center IAM によって自動的に作成されるベアラートークンを使用します。同期を設定するときは、 のユーザー属性Oktaと IAM Identity Center SCIM の名前付き属性のマッピングを作成します。このマッピングは、IAMIdentity Center と Okta アカウントの間で想定されるユーザー属性と一致します。

Okta は、 を介して IAM Identity Center に接続すると、次のプロビジョニング機能をサポートしますSCIM。

  • ユーザーの作成 – の IAM Identity Center アプリケーションに割り当てられたユーザーはOkta、Identity Center IAM でプロビジョニングされます。

  • ユーザー属性の更新 – の IAM Identity Center アプリケーションに割り当てられたユーザーの属性の変更Oktaは、 Identity Center IAM で更新されます。

  • ユーザーを非アクティブ化する – の IAM Identity Center アプリケーションから割り当てを解除されたユーザーはOkta、Identity Center IAM で無効になります。

  • グループプッシュ — のグループ (およびそのメンバー) Oktaは IAM Identity Center に同期されます。

    注記

    Okta と IAM Identity Center の両方の管理オーバーヘッドを最小限に抑えるために、個々のユーザーではなくグループを割り当ててプッシュすることをお勧めします。

目的

このチュートリアルでは、OktaIAMIdentity Center とSAMLの接続の設定について説明します。後で、 を使用して Oktaからユーザーを同期しますSCIM。このシナリオでは、Okta 内のすべてのユーザーとグループを管理します。ユーザーは Okta ポータルを通じてサインインします。すべてが正しく設定されていることを確認するには、設定ステップを完了すると、 Okta ユーザーとしてサインインし、 AWS リソースへのアクセスを確認します。

注記

Okta's IAM Identity Center アプリケーションがインストールされているOktaアカウント (無料トライアル ) にサインアップできます。有料の Okta 製品の場合は、Okta のライセンスがライフサイクル管理やアウトバウンドプロビジョニングを可能にする同様の機能をサポートしているかどうかを確認する必要があるかもしれません。これらの機能は、 SCIMから Okta IAM Identity Center への設定に必要になる場合があります。

IAM Identity Center をまだ有効にしていない場合は、「」を参照してくださいの有効化 AWS IAM Identity Center

  • Okta と IAM Identity Center の間でSCIMプロビジョニングを設定する前に、まず を確認することをお勧めします自動プロビジョニングを使用する際の注意事項

  • すべての Okta ユーザーにおいて、[名][姓][ユーザー名][表示名] の値を指定する必要があります。

  • 各 Okta ユーザーには、E メールアドレスや電話番号などのデータ属性ごとに 1 つの値のみが割り当てられます。複数の値を持つユーザーは同期に失敗します。属性に複数の値を持つユーザーがいる場合は、IAMIdentity Center でユーザーのプロビジョニングを試みる前に、重複する属性を削除します。例えば、同期できる電話番号属性は 1 つだけです。デフォルトの電話番号属性は「勤務先の電話」なので、ユーザーの電話番号が自宅の電話でも携帯電話でも、「勤務先の電話」属性を使用してユーザーの電話番号を保存します。

  • IAM Identity Center Oktaで を使用する場合、IAMIdentity Center は通常、 のアプリケーションとして設定されますOkta。これにより、 IAM Identity Center の複数のインスタンスを複数のアプリケーションとして設定し、 の単一のインスタンス内で複数の AWS Organizations へのアクセスをサポートできますOkta。

  • エンタイトルメントとロール属性はサポートされておらず、IAMIdentity Center と同期することもできません。

  • 同じ Okta グループを割り当てとグループプッシュの両方に使用することは、現在サポートされていません。Okta と IAM Identity Center の間で一貫したグループメンバーシップを維持するには、別のグループを作成し、グループを Identity Center IAM にプッシュするように設定します。

  1. Okta admin dashboard にログインして [アプリケーション] を展開し、[アプリケーション] を選択します。

  2. [Applications] (アプリケーション) ページで、[Browse App Catalog] (アプリケーションカタログを参照) を選択します。

  3. 検索ボックスに「」と入力し AWS IAM Identity Center、アプリを選択して IAM Identity Center アプリを追加します。

  4. [サインオン] タブを選択します。

  5. SAML 「証明書の署名」で「アクション」を選択し、IdP メタデータの表示」を選択します。 XML ファイルのドキュメントツリーを示す新しいブラウザタブが開きます。XML から <md:EntityDescriptor>へのすべての </md:EntityDescriptor>を選択し、テキストファイルにコピーします。

  6. metadata.xml としてテキストファイルを保存します。

をOkta admin dashboard開いたままにすると、後のステップでこのコンソールを引き続き使用します。

  1. 管理者権限を持つユーザーとして IAM Identity Center コンソールを開きます。

  2. 左側のナビゲーションペインの [Settings] (設定) を選択します。

  3. [設定] ページで [アクション] タブを選択し、[ID ソースを変更] を選択します。

  4. [ID ソースの選択][外部 ID プロバイダー] を選択し、[次へ] を選択します。

  5. [外部 ID プロバイダーの設定] で、次の操作を行います。

    1. 「サービスプロバイダーメタデータ」で、「メタデータファイルのダウンロード」を選択して IAM Identity Center メタデータファイルをダウンロードし、システムに保存します。このチュートリアルのOkta後半で IAM Identity Center SAMLメタデータファイルを に提供します。

      簡単にアクセスできるように、以下の項目をテキストファイルにコピーします。

      • IAM Identity Center アサーションコンシューマーサービス (ACS) URL

      • IAM Identity Center 発行者 URL

      これらの値は、このチュートリアルの後半で必要になります。

    2. ID プロバイダーメタデータ IdP SAMLメタデータ で、ファイルを選択 を選択し、前のステップで作成したmetadata.xmlファイルを選択します。

    3. [次へ] をクリックします。

  6. 免責事項を読み、続行する準備ができたら、「」と入力しますACCEPT

  7. [Change identity source] (ID ソースの変更) を選択します。

    AWS コンソールを開いたままにして、次のステップでこのコンソールを引き続き使用します。

  8. に戻りOkta admin dashboard、 AWS IAM Identity Center アプリのサインオンタブを選択し、編集を選択します

  9. [詳細なサインオン設定] で、次のように入力します。

    • ACS にはURLIAMIdentity Center Assertion Consumer Service (ACS) URLにコピーした値を入力します。

    • 発行者 にはURLIAMIdentity Center 発行URL者にコピーした値を入力します。

    • アプリケーションユーザー名の形式 で、メニューからオプションのいずれかを選択します。

      選択した値がユーザーごとに一意であることを確認します。このチュートリアルでは、[Okta ユーザー名] を選択します。

  10. [保存] を選択します。

これで、 から IAM Identity Center にユーザーOktaをプロビジョニングする準備が整いました。をOkta admin dashboard開いたままにして、IAMIdentity Center コンソールに戻り、次のステップに進みます。

  1. 設定ページの IAM Identity Center コンソールで、自動プロビジョニング情報ボックスを見つけ、 を有効にするを選択します。これにより、IAMIdentity Center での自動プロビジョニングが可能になり、必要なSCIMエンドポイントとアクセストークンの情報が表示されます。

  2. [インバウンド自動プロビジョニング] ダイアログボックスで、以下のオプションの値をそれぞれコピーします。

    • SCIM エンドポイント

    • アクセストークン

    警告

    これは、SCIMエンドポイントとアクセストークンを取得できる唯一の時間です。先に進む前に、必ずこれらの値をコピーしてください。これらの値を入力して、このチュートリアルのOkta後半で自動プロビジョニングを設定します。

  3. [閉じる] を選びます。

  4. に戻りOkta admin dashboard、IAMIdentity Center アプリに移動します。

  5. IAM Identity Center アプリページでプロビジョニングタブを選択し、設定 の左側のナビゲーションで統合 を選択します。

  6. 編集 を選択し、API統合を有効にする の横にあるチェックボックスを選択して自動プロビジョニングを有効にします。

  7. このステップの前半Oktaでコピー AWS IAM Identity Center した のSCIMプロビジョニング値を使用して を設定します。

    1. Base URL フィールドにエンドポイントSCIM値を入力します。の最後にある末尾のフォワードスラッシュを必ず削除してくださいURL。

    2. API トークン フィールドに、アクセストークンの値を入力します。

  8. API 認証情報のテスト を選択して、入力した認証情報が有効であることを確認します。

    [AWS IAM Identity Center は正常に検証されました] というメッセージが表示されます。

  9. [保存] を選択します。「設定」セクションに移動し、「統合」が選択されました。

  10. 「設定」で、「アプリケーションへ」を選択し、有効にするアプリへのプロビジョニング機能ごとに「有効化」チェックボックスを選択します。このチュートリアルでは、すべてのオプションを選択します。

  11. [保存] を選択します。

これで、 のユーザーを IAM Identity Center Oktaと同期する準備が整いました。

デフォルトでは、OktaIAMIdentity Center アプリにグループやユーザーは割り当てられません。プロビジョニンググループは、グループのメンバーであるユーザーをプロビジョニングします。グループとユーザーを と同期するには、次のステップを実行します AWS IAM Identity Center。

  1. Okta IAM Identity Center アプリページで、割り当てタブを選択します。IAM Identity Center アプリには、ユーザーとグループの両方を割り当てることができます。

    1. ユーザーを割り当てるには:

      • [割り当て] ページで、[割り当てる] を選択し、[人に割り当てる] を選択します。

      • IAM Identity Center アプリへのアクセスを許可するOktaユーザーを選択します。[Assign] (割り当て)、[Save and Go Back] (保存して戻る)、[Done] (完了) の順に選択します。

      これにより、IAMIdentity Center へのユーザーのプロビジョニングプロセスが開始されます。

    2. グループを割り当てるには:

      • [割り当て] ページで、[割り当てる] を選択し、[グループに割り当てる] を選択します。

      • IAM Identity Center アプリへのアクセスを許可するOktaグループを選択します。[Assign] (割り当て)、[Save and Go Back] (保存して戻る)、[Done] (完了) の順に選択します。

      これにより、グループ内のユーザーを IAM Identity Center にプロビジョニングするプロセスが開始されます。

      注記

      グループに追加の属性がすべてのユーザーレコードに含まれていない場合は、その属性を指定する必要がある場合があります。グループに指定された属性は、個々の属性値よりも優先されます。

  2. [Push Groups] (プッシュグループ) タブを選択します。IAM Identity Center と同期するOktaグループを選択します。[保存] を選択します。

    グループとそのメンバーが IAM Identity Center にプッシュされると、グループのステータスはアクティブに変わります。

  3. [割り当て] タブに戻ります。

  4. 個々のOktaユーザーを IAM Identity Center に追加するには、次のステップに従います。

    1. [Assignments] (割り当て) ページで、[Assign] (割り当て) を選択し、[Assign to People] (人に割り当てる) を選択します。

    2. IAM Identity Center アプリへのアクセスを許可するOktaユーザーを選択します。[Assign] (割り当て)、[Save and Go Back] (保存して戻る)、[Done] (完了) の順に選択します。

      これにより、個々のユーザーを IAM Identity Center にプロビジョニングするプロセスが開始されます。

      注記

      のアプリケーションページから AWS IAM Identity Center 、ユーザーとグループをアプリケーションに割り当てることもできますOkta admin dashboard。これを行うには、[設定] アイコンを選択し、[ユーザーに割り当てる] または [グループに割り当てる] を選択し、ユーザーまたはグループを指定します。

  5. IAM Identity Center コンソールに戻ります。左側のナビゲーションで [ユーザー] を選択すると、Okta ユーザーが入力したユーザーリストが表示されます。

お疲れ様でした。

Okta と 間のSAML接続を正常にセットアップ AWS し、自動プロビジョニングが機能していることを検証しました。これらのユーザーを IAM Identity Center のアカウントとアプリケーションに割り当てることができるようになりました。このチュートリアルでは、次のステップで、管理アカウントに管理者権限を付与して、いずれかのユーザーを IAM Identity Center 管理者として指定します。

  1. IAM Identity Center ナビゲーションペインのマルチアカウントアクセス許可 で、 を選択しますAWS アカウント

  2. AWS アカウント ページの [組織構造] には、組織のルートと、その下にあるアカウントが階層内で表示されます。管理アカウントのチェックボックスをオンにし、[ユーザーまたはグループを割り当て] を選択します。

  3. [ユーザーとグループを割り当てる] のワークフローが表示されます。これは、3 つのステップから構成されています。

    1. ステップ 1: ユーザーとグループ を選択するには、管理者ジョブ機能を実行するユーザーを選択します。次いで、[次へ] を選択します。

    2. ステップ 2: アクセス許可セット を選択する で、アクセス許可セットの作成 を選択して新しいタブを開き、アクセス許可セットの作成に関連する 3 つのサブステップを順を追って説明します。

      1. [ステップ 1: 許可セットタイプを選択] では、以下を完了します。

        • [許可セットのタイプ] で、[事前定義された許可セット] を選択します。

        • 事前定義されたアクセス許可セット のポリシーで、 を選択しますAdministratorAccess

        [次へ] をクリックします。

      2. [ステップ 2: 許可セットの詳細を指定] では、デフォルト設定のままで、[次へ] を選択します。

        デフォルト設定では、 という名前のアクセス許可セットが作成されます。AdministratorAccess セッション時間を 1 時間に設定した 。

      3. ステップ 3: を確認して作成する でアクセス許可セットタイプが AWS 管理ポリシー を使用していることを確認しますAdministratorAccess[作成] を選択します。アクセス許可セットページには、アクセス許可セットが作成されたことを示す通知が表示されます。この時点で、ウェブブラウザでこのタブを閉じてもかまいません。

      [ユーザーとグループを割り当てる] ブラウザタブでは、[ステップ 2: 許可セットを選択] でアクセス許可セットの作成ワークフローを開始した状態のままになっています。

      [アクセス許可セット] 領域で、[更新] ボタンを選択します。- AdministratorAccess 作成した アクセス許可セットがリストに表示されます。そのアクセス許可セットのチェックボックスを選択したら、[次へ] を選択します。

    3. ステップ 3: を確認して送信するには、選択したユーザーとアクセス許可セットを確認してから、送信を選択します

      ページが更新され、 が設定され AWS アカウント ているというメッセージが表示されます。プロセスが完了するまで待ちます。

      AWS アカウント ページに戻ります。が再プロビジョニングされ、更新されたアクセス許可セットが適用され AWS アカウント たことを通知する通知メッセージ。ユーザーがサインインすると、AdministratorAccess ロール。

  1. テストアカウントを使用して にサインインしますOkta dashboard。

  2. マイアプリ で、 AWS IAM Identity Center アイコンを選択します。

  3. AWS アカウント アイコンが表示されます。そのアイコンを展開すると、ユーザーがアクセスできる AWS アカウント のリストが表示されます。このチュートリアルでは 1 つのアカウントしか使用していなかったため、アイコンを展開しても 1 つのアカウントしか表示されません。

  4. アカウントを選択すると、そのユーザーが利用可能なアクセス許可セットが表示されます。このチュートリアルでは、アクセスAdministratorAccess許可セットを作成しました。

  5. アクセス許可セットの横には、その許可セットで利用できるアクセスの種類を示すリンクがあります。アクセス許可セットを作成したときに、 AWS Management Console とプログラムによるアクセスの両方へのアクセスを指定しました。[管理コンソール] を選択して AWS Management Consoleを開きます。

  6. ユーザーは にサインインしています AWS Management Console。

オプションで IAM Identity Center アクセスコントロールの属性の機能を使用して、 Name 属性を に設定した Attribute要素を渡すことができますhttps://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey}。この要素を使用すると、SAMLアサーションで属性をセッションタグとして渡すことができます。セッションタグの詳細については、「 IAMユーザーガイド」の「 でのセッションタグの受け渡し AWS STS」を参照してください。

属性をセッションタグとして渡すには、タグの値を指定する AttributeValue 要素を含めます。例えば、タグのキーバリューのペア CostCenter = blue を渡すには、次のような属性を使用します。

<saml:AttributeStatement>
<saml:Attribute Name="https://aws.amazon.com/SAML/Attributes/AccessControl:CostCenter">
<saml:AttributeValue>blue
</saml:AttributeValue>
</saml:Attribute>
</saml:AttributeStatement>

複数の属性を追加する必要がある場合は、各タグに個別の Attribute 要素を含めます。

IAM Identity Center で ID プロバイダーとプロビジョニングされたユーザーOktaとして を設定したので、次のことができます。