自動プロビジョニング

IAM Identity Center は、クロスドメインアイデンティティ管理システム (SCIM) v2.0 プロトコルを使用して、ID プロバイダー (IdP) から IAM Identity Center へのユーザーおよびグループ情報の自動プロビジョニング (同期化) をサポートしています。SCIM 同期を設定すると、ID プロバイダー (IdP) のユーザー属性と IAM Identity Center の名前付き属性のマッピングが作成されます。これにより、IAM Identity Center とお客様の IdP の間で、期待される属性が一致します。この接続を IdP で設定するには、IAM Identity Center 用の SCIM エンドポイントと IAM Identity Center で作成したベアラートークンを使用します。

自動プロビジョニングを使用する際の注意事項

SCIM のデプロイを開始する前に、まず、IAM Identity Center との連携について、以下の注意事項を確認することをお勧めします。プロビジョニングに関するその他の考慮事項については、お使いの IdP 入門チュートリアル の該当する項目を参照してください。

• プライマリの E メールアドレスをプロビジョニングする場合、この属性値は各ユーザーに対して一意でなければなりません。場合によっては IdPs、メインのメールアドレスが実際のメールアドレスではない場合があります。例えば、E メールにしか見えない UPN (Universal Principal Name) だったりします。これらのメールアドレスには、ユーザーの実際のメールアドレスを含む予備のメールアドレスや「その他」 IdPs のメールアドレスが含まれている場合があります。Null 以外の一意なメールアドレスを IAM Identity Center のプライマリ E メールアドレス属性にマッピングするために、IdP の SCIM を設定する必要があります。また、ユーザーの Null 以外の一意なサインイン識別子を IAM Identity Center のユーザー名属性にマッピングする必要があります。ご利用の IdP に、サインイン識別子とユーザーの E メール名を兼ねた単一の値があるかどうかを確認してください。その場合、その IdP フィールドを IAM Identity Center のプライマリ E メールと IAM Identity Center のユーザー名の両方にマッピングすることができます。

• SCIM の同期が機能するためには、すべてのユーザーが First name (名)、Last name (姓)、Username (ユーザーネーム)、Display name (表示名) の値を指定する必要があります。これらのすべての値が設定されていないユーザーはプロビジョニングされません。

• サードパーティーのアプリケーションを使用する必要がある場合は、まず、アウトバウンド SAML のサブジェクト属性をユーザー名属性にマッピングする必要があります。サードパーティーのアプリケーションにルーティング可能な E メールアドレスが必要な場合、E メール属性を IdP に提供する必要があります。

• SCIM のプロビジョニングとアップデートの間隔は、ID プロバイダーによって管理されます。ID プロバイダーのユーザーおよびグループに対する変更は、ID プロバイダーがそれらの変更を IAM Identity Center に送信した後に、 SSO にのみ反映されます。ユーザーやグループの更新の頻度については、ID プロバイダーにご確認ください。

• 現在、SCIM では多値属性 (特定のユーザーに対する複数の E メールや電話番号など) は提供されていません。SCIM を使用した IAM Identity Center に多値属性を同期させようとすると失敗します。失敗を回避するために、各属性には 1 つの値しか渡さないようにします。マルチバリューの属性を持つユーザーがいる場合は、IAM Identity Center への接続のために、IdP の SCIM で重複する属性マッピングを削除または変更します。

• お客様の IdP での externalId SCIM マッピングが、一意で常に存在し、お客様のユーザにとって変更の可能性が低い値に対応していることを確認してください。例えば、IdP は、名前や E メールなどのユーザー属性の変更に影響されない、保証付きの objectId やその他の識別子を提供することができます。そうであれば、その値を SCIM の externalId フィールドにマッピングすることができます。これにより、名前やメールを変更する必要が生じた場合に、 AWS ユーザーが資格、割り当て、または権限を失うことがなくなります。

• まだアプリケーションに割り当てられていないユーザー、または IAM Identity Center AWS アカウント にプロビジョニングできないユーザー。ユーザーとグループを同期させるには、ユーザーとグループが、IAM Identity Center への IdP の接続を表すアプリケーションやその他の設定に割り当てられていることを確認してください。

• ユーザーのプロビジョニング解除動作は ID プロバイダーによって管理され、実装によって異なる場合があります。ユーザープロビジョニング解除の詳細については、ID プロバイダーに確認してください。

IAM Identity Center の SCIM 実装の詳細については、「IAM Identity Center SCIM 実装デベロッパーガイド」 () を参照してください。

アクセストークンの有効期限を監視する方法

SCIM アクセストークンは 1 年の有効期間で生成されます。SCIM アクセストークンが 90 日以内に期限切れになるように設定されている場合、IAM Identity Center AWS Health コンソールとダッシュボードに、 AWS トークンのローテーションに役立つリマインダーが送信されます。SCIM アクセストークンを有効期限が切れる前にローテーションすることで、ユーザーとグループの情報の自動プロビジョニングを継続的に保護できます。SCIM アクセストークンの有効期限が切れると、ID プロバイダーから IAM Identity Center へのユーザーとグループの情報の同期が停止するため、自動プロビジョニングでは情報を更新したり、情報を作成、削除したりできなくなります。自動プロビジョニングが中断されると、セキュリティリスクが高まり、サービスへのアクセスに影響が及ぶ可能性があります。

Identity Center コンソールのリマインダーは、SCIM アクセストークンをローテーションして、未使用または期限切れのアクセストークンを削除するまで続きます。 AWS Health ダッシュボードのイベントは、SCIM アクセストークンの有効期限が切れるまで 90 日から 60 日の間は毎週、60 日から 30 日の間は週 2 回、30 日から 15 日の間は週 3 回、15 日間は毎日更新されます。

自動プロビジョニングを有効にする方法

SCIM プロトコルを使用して、IdP から IAM Identity Center へのユーザーおよびグループの自動プロビジョニングを有効にするには、以下の手順を使用します。

注記

この手順を開始する前に、まずお客様の IdP に適用されるプロビジョニングに関する注意事項を確認することをお勧めします。詳細については、お使いの IdP 入門チュートリアル のを参照してください。

IAM Identity Center で自動プロビジョニングを有効にするには

1. 前提条件が整ったら、IAM Identity Center コンソールを開きます。

2. 左側のナビゲーションペインの [Settings] (設定) を選択します。

3. [設定] ページで、[自動プロビジョニング] 情報ボックスを探し、[有効化] を選択します。これにより、すぐに IAM Identity Center の自動プロビジョニングが有効になり、必要なエンドポイントとアクセストークンの情報が表示されます。

4. [Inbound automatic provisioning] (インバウンド自動プロビジョニング) ダイアログボックスで、以下のオプションの値をそれぞれコピーします。これらは、後で IdP でプロビジョニングを設定する際に貼り付ける必要があります。

   1. SCIM エンドポイント

   2. アクセストークン

5. [Close] (閉じる) を選択します。

この手順が完了したら、IdP で自動プロビジョニングを設定する必要があります。詳細については、お使いの IdP 入門チュートリアル のを参照してください。

自動プロビジョニングを無効にする方法

以下の手順で、IAM Identity Center コンソールでの自動プロビジョニングを無効にします。

重要

この手順を行う前にアクセストークンを削除する必要があります。詳細については、「アクセストークンを削除する方法」を参照してください。

IAM Identity Center コンソールで自動プロビジョニングを無効にするには

1. [IAM Identity Center コンソール] で、左のナビゲーションペインの [設定] を選択します。

2. [設定] ページで [ID ソース] タブを選択し、[アクション] > [プロビジョニングの管理] を選択します。

3. [自動プロビジョニング] ページで、[無効にする] を選択します。

4. [Disable automatic provisioning] (自動プロビジョニングを無効にする) ダイアログボックスで、情報を確認し、[DISABLE] (無効) と入力して、[Disable automatic provisioning] (自動プロビジョニングを無効にする) を選択します。

新しいアクセストークンを生成する方法

以下の手順で、IAM Identity Center コンソールで新しいアクセストークンを生成します。

注記

この手順では、自動プロビジョニングが事前に有効になっている必要があります。詳細については、「自動プロビジョニングを有効にする方法」を参照してください。

新しいアクセストークンを生成するには

1. [IAM Identity Center コンソール] で、左のナビゲーションペインの [設定] を選択します。

2. [設定] ページで [ID ソース] タブを選択し、[アクション] > [プロビジョニングの管理] を選択します。

3. [自動プロビジョニング] ページで、 [アクセストークン] の [トークンを生成する] を選択します。

4. [新しいアクセストークンを生成] ダイアログで、新しいアクセストークンをコピーして安全な場所に保存します。

5. [閉じる] を選びます。

アクセストークンを削除する方法

以下の手順で、IAM Identity Center コンソールで既存のアクセストークンを削除します。

既存のアクセストークンを削除するには

1. [IAM Identity Center コンソール] で、左のナビゲーションペインの [設定] を選択します。

2. [設定] ページで [ID ソース] タブを選択し、[アクション] > [プロビジョニングの管理] を選択します。

3. [自動プロビジョニング] ページで、[アクセストークン] から削除したいアクセストークンを選び、[削除] を選択します。

4. [Delete access token] (アクセストークンを削除する) ダイアログボックスで、情報を確認し、[DELETE] (削除) と入力して、[Delete access token] (アクセストークンを削除する) を選択します。

アクセストークンをローテーションする方法

IAM Identity Center ディレクトリは一度に 2 つまでのアクセストークンをサポートします。ローテーションの前に追加のアクセストークンを生成するには、期限切れまたは未使用のアクセストークンをすべて削除します。

SCIM アクセストークンの有効期限が近づいている場合は、以下の手順で IAM Identity Center コンソールで既存のアクセストークンをローテーションさせることができます。

アクセストークンをローテーションするには

1. [IAM Identity Center コンソール] で、左のナビゲーションペインの [設定] を選択します。

2. [設定] ページで [ID ソース] タブを選択し、[アクション] > [プロビジョニングの管理] を選択します。

3. [Automatic provisioning] (自動プロビジョニング) ページの [Access Token] (アクセストークン) でローテーションさせたいトークンのトークン ID をメモしておきます。

4. 新しいアクセストークンを生成する方法 の手順に従って、新しいトークンを作成します。既に最大数の SCIM アクセストークンを作成している場合は、まず既存のトークンの 1 つを削除する必要があります。

5. ID プロバイダーのウェブサイトにアクセスし、新しいアクセストークンを SCIM プロビジョニング用に設定した後、新しい SCIM アクセストークンを使用して IAM Identity Center への接続をテストします。新しいトークンを使ってプロビジョニングが正常に行われていることを確認したら、この手順の次のステップに進みます。

6. アクセストークンを削除する方法 の手順で、先ほどの古いアクセストークンを削除します。また、どのトークンを削除するかを判断するために、トークンの作成日を利用することもできます。