IAM アイデンティティセンターの ID ソースを確認する - AWS IAM Identity Center

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

IAM アイデンティティセンターの ID ソースを確認する

IAM Identity Center の ID ソースは、ユーザーやグループがどこで管理されているかを定義します。IAM アイデンティティセンターを有効にしたら、選択した ID ソースを使用していることを確認します。ID ソースが既に割り当てられている場合は、引き続き使用できます。

ID ソースを確認する

  1. IAM アイデンティティセンターコンソール を開きます。

  2. [ダッシュボード] ページで、[推奨セットアップステップ] セクションの下にある [ID ソースの確認] を選択します。[設定] を選択し、[ID ソース] タブを選択してもこのページにアクセスできます。

  3. 割り当てられた ID ソースを維持したい場合はアクションはありません。変更したい場合は、[アクション] を選択し、[ID ソースの変更] を選択します。

    ID ソースとして以下のいずれかを選択できます。

    Identity Center ディレクトリ

    IAM アイデンティティセンターを初めて有効にすると、IAM アイデンティティセンターディレクトリがデフォルトの ID ソースとして自動的に構成されます。別の外部 ID プロバイダーをまだ使用していない場合は、ユーザーとグループの作成を開始し、 AWS アカウント およびアプリケーションへのアクセスレベルを割り当てることができます。この ID ソースの使用に関するチュートリアルについては、「デフォルトの IAM アイデンティティセンターディレクトリを使用してユーザーアクセスを設定する」を参照してください。

    アクティブディレクトリ

    AWS Directory Service または のセルフマネージド AWS Managed Microsoft AD ディレクトリを使用して、ディレクトリ内のユーザーとグループを既に管理している場合はActive Directory (AD)、IAM Identity Center を有効にするときにそのディレクトリを接続することをお勧めします。デフォルトの Identity Center ディレクトリにはユーザーとグループを作成しないでください。IAM Identity Center は、 AWS Directory Service によって提供された接続を使用して、Active Directory のソースディレクトリにあるユーザー、グループ、メンバーシップ情報を IAM ID センターアイデンティティストアに同期します。詳細については、「Microsoft AD ディレクトリへの接続」を参照してください。

    注記

    IAM アイデンティティセンターは SAMBA4 ベースの Simple AD を ID ソースとしてサポートしていません。

    外部 ID プロバイダー

    Okta や Microsoft Entra ID などの外部 ID プロバイダー (IdP) の場合、IAM アイデンティティセンターを使用して、Security Assertion Markup Language (SAML) 2.0 標準を通じて IdP からの ID を認証できます。SAML プロトコルは、ユーザーやグループについての情報を得るために IdP へクエリする方法は提供していません。IAM アイデンティティセンターがこれらのユーザーやグループを IAM アイデンティティセンターにプロビジョニングして認識する必要があります。IdP が SCIM をサポートしている場合は、System for Cross-domain Identity Management (SCIM) v2.0 プロトコルを使用して、IdP から IAM アイデンティティセンターへのユーザーおよびグループの情報の自動プロビジョニング (同期) を実行できます。それ以外の場合は、ユーザー名、E メールアドレス、グループを IAM アイデンティティセンターに手動で入力して、ユーザーとグループを手動でプロビジョニングできます。

    ID ソースの設定方法の詳細については、「IAM Identity Center の ID ソースに関するチュートリアル」を参照してください。

    注記

    外部 ID プロバイダーを使用する予定の場合は、IAM アイデンティティセンターではなく外部 IdP が多要素認証 (MFA) 設定を管理することに注意してください。IAM アイデンティティセンターの MFA では、外部 ID プロバイダーによる使用はサポートされていません。詳細については、「ユーザーに MFA を求める」を参照してください。

    選択する ID ソースによって、シングルサインオンアクセスを必要とするユーザーとグループを IAM Identity Center が検索する場所が決まります。ID ソースを選択または変更したら、ユーザーを作成または特定し、そのユーザーに AWS アカウントへの管理者権限を割り当てます。

重要

Active Directory または外部 IdP ですでにユーザーとグループを管理している場合は、IAM アイデンティティセンターを有効にして ID ソースを選択するときに、この ID ソースの接続を検討することをお勧めします。これは、ユーザーやグループをデフォルトの Identity Center ディレクトリに作成して割り当てを行う前に行う必要があります。

すでに IAM Identity Center の 1 つの ID ソースでユーザーとグループを管理している場合、別の ID ソースに変更すると、IAM Identity Center で設定したユーザーとグループの割り当てがすべて削除される可能性があります。この場合、IAM Identity Center の管理ユーザーを含むすべてのユーザーは、 AWS アカウント およびアプリケーションへのシングルサインオンアクセスを失います。詳細については、「ID ソースの変更に関する注意事項」を参照してください。

ID ソースを設定したら、ユーザーまたはグループを検索して AWS アカウント、シングルサインオンアクセス、クラウドアプリケーション、またはその両方を許可できます。