OneLogin と IAM アイデンティティセンター間の SCIM プロビジョニングのセットアップ - AWS IAM Identity Center
前提条件ステップ 1: IAM Identity Center でプロビジョニングを有効にするステップ 2: OneLogin でプロビジョニングを設定する(オプション) ステップ 3: IAM Identity Center でのアクセスコントロールのために OneLogin でユーザー属性を設定する(オプション) アクセスコントロールの属性を渡すトラブルシューティング

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

OneLogin と IAM アイデンティティセンター間の SCIM プロビジョニングのセットアップ

IAM Identity Center は、クロスドメインアイデンティティ管理システム (SCIM) v2.0 プロトコルを使用して、OneLogin から IAM Identity Center へのユーザーおよびグループ情報の自動プロビジョニング (同期化) をサポートしています。この接続を OneLogin で設定するには、IAM Identity Center 用の SCIM エンドポイントと IAM Identity Center で自動的に作成したベアラートークンを使用します。SCIM 同期を設定すると、OneLogin のユーザー属性と IAM Identity Center の名前付き属性のマッピングが作成されます。これにより、IAM Identity Center と OneLogin の間で、期待される属性が一致します。

次のステップでは、SCIM プロトコルを使用して、OneLogin から IAM Identity Center へのユーザーとグループの自動プロビジョニングを有効にする方法を説明します。

注記

SCIM のデプロイを開始する前に、まず 自動プロビジョニングを使用する際の注意事項 を確認することをお勧めします。

前提条件

開始する前に、以下の準備が必要です。

  • OneLogin アカウント。既存のアカウントをお持ちでない場合は、OneLogin のウェブサイトから無料トライアルまたはデベロッパーアカウントを取得できるかもしれません。

  • IAM Identity Center 対応アカウント (無料)。詳細については、「IAM Identity Center の有効化」を参照してください。

  • OneLogin アカウントから IAM Identity Center への SAML 接続。詳細については、AWS パートナーネットワークブログの「OneLogin と AWS の間の有効化」 を参照してください。

ステップ 1: IAM Identity Center でプロビジョニングを有効にする

この最初のステップでは、IAM Identity Center コンソールを使用して、自動プロビジョニングを有効にします。

IAM Identity Center で自動プロビジョニングを有効にするには

  1. 前提条件が整ったら、IAM Identity Center コンソールを開きます。

  2. 左側のナビゲーションペインの [Settings] (設定) を選択します。

  3. [設定] ページで、[自動プロビジョニング] 情報ボックスを探し、[有効化] を選択します。これにより、すぐに IAM Identity Center の自動プロビジョニングが有効になり、必要なエンドポイントとアクセストークンの情報が表示されます。

  4. [Inbound automatic provisioning] (インバウンド自動プロビジョニング) ダイアログボックスで、以下のオプションの値をそれぞれコピーします。これらは、後で IdP でプロビジョニングを設定する際に貼り付ける必要があります。

    1. SCIM エンドポイント

    2. アクセストークン

  5. [Close] (閉じる) を選択します。

IAM Identity Center コンソールでプロビジョニングを設定しています。あとは OneLogin 管理者コンソールのユーザーインターフェースに従い、以下の残りの手順を行う必要があります。

ステップ 2: OneLogin でプロビジョニングを設定する

OneLogin 管理コンソールで以下の手順を使用して、IAM Identity Center と IAM Identity Center アプリケー ション間の統合を有効にします。この手順では、AWS の OneLogin シングルサインオンアプリケーションで SAML 認証が設定済みであることを前提としています。この SAML 接続をまだ作成していない場合は、先に進む前に SAML 接続を作成し、ここに戻って SCIM のプロビジョニングプロセスを完了してください。OneLogin での SAML の設定の詳細については、AWS パートナーネットワークブログの「Enabling Single Sign-On Between OneLogin and AWS」を参照してください。

OneLogin でプロビジョニングを設定するには

  1. OneLogin にサインインして、[アプリケーション] > [アプリケーション] と進みます。

  2. [アプリケーション] ページで、IAM Identity Center との SAML 接続を形成するために以前に作成したアプリケーションを検索します。それを選択して、左のナビゲーションバーから [Configuration] (構成) を選択します。

  3. 前の手順で、IAM Identity Center から [SCIM エンドポイント] の値をコピーしました。その値を OneLogin の [ベース URL] フィールドに貼り付けます。URL の末尾にあるスラッシュを削除してください。また、前の手順で、IAM Identity Center の [アクセストークン] の値をコピーしました。その値を OneLogin の [SCIM ベアラートークン] フィールドに貼り付けます。

  4. [API Connection] (API 接続) の隣にある [Enable] (有効化) をクリックし、[Save] (保存) をクリックして設定を完了します。

  5. 左側のナビゲーションバーで、[Provisioning] (プロビジョニング) を選択します。

  6. [Enable provisioning] (プロビジョニングの有効化)、[Create user] (ユーザーの作成)、[Delete user] (ユーザーの削除)、[Update user] (ユーザーの更新) の各チェックボックスを選択し、[Save] (保存) を選択します。

  7. 左側のナビゲーションバーで [Users] (ユーザー) を選択します。

  8. [More Actions] (その他のアクション) をクリックして、[Sync logins] (ログイン同期) を選択します。[Synchronizing users with AWS Single Sign-On を使用したユーザーの同期] というメッセージが表示されます。

  9. もう一度 [More Actions] (その他のアクション) をクリックして、[Reapply entitlement mappings] (エンタイトルメントマッピングの再適用) を選択します。Mappings are being reapplied (マッピングが再適用されている) というメッセージが表示されます。

  10. この時点で、プロビジョニングプロセスを開始する必要があります。これを確認するには、[Activity] (アクティビティ) > Events (イベント) をクリックして、進行状況をモニタリングします。プロビジョニングに成功したイベントやエラーがイベントストリームに表示されます。

  11. ユーザーおよびグループが IAM Identity Center にすべて正常に同期されたことを確認するには、 IAM Identity Center コンソールに戻り、[ユーザー] を選択します。OneLogin から同期されたユーザーは、[ユーザー] ページに表示されます。また、同期したグループは [Groups] (グループ) ページで確認できます。

  12. ユーザーの変更を IAM Identity Center に自動的に同期させるには、[プロビジョニング] ページに移動し、[この操作を実行する前に管理者の承認を要求する] セクションを見つけ、[ユーザーの作成]、[ユーザーの削除]、[ユーザーの更新] の選択を解除し、[保存] をクリックします。

(オプション) ステップ 3: IAM Identity Center でのアクセスコントロールのために OneLogin でユーザー属性を設定する

これは、AWS リソースへのアクセスを管理するために IAM Identity Center の属性設定を選択した場合の OneLogin のオプション手順です。OneLogin で定義した属性は、SAML アサーションで IAM Identity Center に渡されます。その後、IAM Identity Center でアクセス権限セットを作成し、OneLogin から渡された属性に基づいてアクセスを管理します。

この手順を始める前に、最初に アクセスコントロールの属性 機能を有効にしておく必要があります。これを行う方法については、「アクセスコントロールのための属性の有効化と設定」を参照してください。

IAM Identity Center でのアクセスコントロールに使用される OneLogin の属性の有効化と設定

  1. OneLogin にサインインして、[アプリケーション] > [アプリケーション] と進みます。

  2. [アプリケーション] ページで、IAM Identity Center との SAML 接続を形成するために以前に作成したアプリケーションを検索します。それを選択して、左のナビゲーションバーから [Parameters] (パラメータ) を選択します。

  3. [必須パラメータ] セクションでは、IAM Identity Center で使用する各属性について以下のように設定します。

    1. + を選択します。

    2. [名前] フィールドには https://aws.amazon.com/SAML/Attributes/AccessControl:AttributeName を入力し、AttributeName は IAM Identity Center で想定している属性名に置き換えます。例えば、「https://aws.amazon.com/SAML/Attributes/AccessControl:Department」と入力します。

    3. [Flags] (フラグ) で、[Include in SAML assertion] (SAML アサーションに含める) の横のボックスをチェックして、[Save] (保存) を選択します。

    4. [] フィールドでは、ドロップダウンリストを使って、OneLogin のユーザー属性を選択します。例えば、Department (部署) などです。

  4. [保存] を選択します。

(オプション) アクセスコントロールの属性を渡す

IAM Identity Center の アクセスコントロールの属性 機能をオプションで使用して、Name 属性を https://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey} に設定した Attribute 要素を渡すことができます。この要素を使用すると、SAML アサーションでセッションタグとして属性を渡すことができます。セッションタグの詳細については、「IAM ユーザーガイド」の「AWS STS でのタグ付けの規則 」 を参照してください。

属性をセッションタグとして渡すには、タグの値を指定する AttributeValue 要素を含めます。例えば、タグのキーバリューのペア CostCenter = blue を渡すには、次のような属性を使用します。

<saml:AttributeStatement>
<saml:Attribute Name="https://aws.amazon.com/SAML/Attributes/AccessControl:CostCenter">
<saml:AttributeValue>blue
</saml:AttributeValue>
</saml:Attribute>
</saml:AttributeStatement>

複数の属性を追加する必要がある場合は、各タグに個別の Attribute 要素を含めます。

トラブルシューティング

以下は、OneLogin で自動プロビジョニングで発生する問題のトラブルシューティングに役立ちます。

グループは IAM Identity Center にプロビジョニングされない

デフォルトでは、グループは OneLogin から IAM Identity Center にプロビジョニングできません。OneLogin で IAM Identity Center アプリケーションのグループプロビジョニングが有効になっていることを確認します。これを行うには、OneLogin 管理コンソールにサインインし、IAM Identity Center アプリケーションのプロパティ (IAM Identity Center アプリケーション > パラメータ > グループ) で、[ユーザープロビジョニングに含める] オプションが選択されている必要があります。SCIM のグループとして OneLogin のロールを同期させる方法を含め、OneLogin でグループを作成する方法の詳細については、「OneLogin のウェブサイト」 を参照してください。

すべての設定が正しいにもかかわらず、OneLogin から IAM Identity Center へ何も同期されない

上記の管理者承認に関する注意事項に加えて、多くの設定変更を有効にするためには、エンタイトルメントマッピングを再適用する必要があります。これは、[アプリケーション] > [アプリケーション] > [IAM Identity Center アプリケーション] > [その他のアクション] で確認できます。同期イベントを含む OneLogin のほとんどのアクションの詳細とログは、[Activity ] (アクティビティ) > [Events] (イベント) で確認できます。

OneLogin でグループを削除または無効にしたが、IAM Identity Center でまだ表示されている

OneLogin は現在、グループに対する SCIM DELETE オペレーションをサポートしていないため、グループは IAM Identity Center で存在し続けます。そのため、IAM Identity Center からグループを直接削除して、そのグループに対応する IAM Identity Center 内のアクセス権限が削除されるようにする必要があります。

OneLogin からグループを削除せずに IAM Identity Center でグループを削除したら、ユーザー/グループの同期問題が発生した

この問題を解決するには、まず、OneLogin に冗長なグループプロビジョニングルールや構成がないことを確認してください。例えば、アプリケーションに直接割り当てられたグループと、同じグループに発行するルールなどです。次に、IAM Identity Center 内の不必要なグループを削除します。最後に OneLogin でエンタイトルメントを リフレッシュして ([IAM Identity Center アプリケーション] > [プロビジョニング] > [エンタイトルメント])、エンタイトルメントマッピングを再度適用します ([IAM Identity Center アプリケーション] > [その他のアクション])。今後この問題を回避するには、まず OneLogin でグループのプロビジョニングを停止するように変更し、その後 IAM Identity Center からグループを削除します。