自動プロビジョニング

IAM Identity Center は、クロスドメインアイデンティティ管理システム (SCIM) v2.0 プロトコルを使用して、ID プロバイダー (IdP) から IAM Identity Center へのユーザーおよびグループ情報の自動プロビジョニング (同期化) をサポートしています。SCIM 同期を設定すると、ID プロバイダー (IdP) のユーザー属性と IAM Identity Center の名前付き属性のマッピングが作成されます。これにより、IAM Identity Center と IdP の間で、期待される属性が一致します。この接続を IdP で設定するには、IAM アイデンティティセンター用の SCIM エンドポイントと IAM アイデンティティセンターで作成したベアラートークンを使用します。

自動プロビジョニングを使用する際の注意事項

SCIM のデプロイを開始する前に、まず、IAM Identity Center との連携について、以下の注意事項を確認することをお勧めします。お客様の IdP に適用されるその他のプロビジョニングに関する注意事項については、「サポートされている ID プロバイダー」を参照してください。

• プライマリの E メールアドレスをプロビジョニングする場合、この属性値は各ユーザーに対して一意でなければなりません。場合によっては IdPs、プライマリ E メールアドレスが実在しない場合があります。例えば、E メールにしか見えない UPN (Universal Principal Name) だったりします。これらには、ユーザーの実際の E メールアドレスを含むセカンダリまたは「その他」の E IdPs メールアドレスを持っている場合があります。Null 以外の一意なメールアドレスを IAM アイデンティティセンターのプライマリ E メールアドレス属性にマッピングするために、IdP の SCIM を設定する必要があります。また、ユーザーの Null 以外の一意なサインイン識別子を IAM Identity Center のユーザー名属性にマッピングする必要があります。ご利用の IdP に、サインイン識別子とユーザーの E メール名を兼ねた単一の値があるかどうかを確認してください。その場合、その IdP フィールドを IAM Identity Center のプライマリ E メールと IAM ID センターのユーザー名の両方にマッピングすることができます。

• SCIM の同期が機能するためには、すべてのユーザーが First name (名)、Last name (姓)、Username (ユーザーネーム)、Display name (表示名) の値を指定する必要があります。これらのすべての値が設定されていないユーザーはプロビジョニングされません。

• サードパーティーのアプリケーションを使用する必要がある場合は、まず、アウトバウンド SAML のサブジェクト属性をユーザー名属性にマッピングする必要があります。サードパーティーのアプリケーションにルーティング可能な E メールアドレスが必要な場合、E メール属性を IdP に提供する必要があります。

• SCIM のプロビジョニングとアップデートの間隔は、ID プロバイダーによって管理されます。ID プロバイダのユーザおよびグループに対する変更は、ID プロバイダがそれらの変更を IAM Identity Center に送信した後に、IAM Identity Center にのみ反映されます。ユーザーやグループの更新の頻度については、ID プロバイダーにご確認ください。

• 現在、SCIM では多値属性 (特定のユーザーに対する複数の E メールや電話番号など) は提供されていません。SCIM を使用した IAM Identity Center に多値属性を同期させようとすると失敗します。失敗を回避するために、各属性には 1 つの値しか渡さないようにします。マルチバリューの属性を持つユーザーがいる場合は、IAM Identity Center への接続のために、IdP の SCIM で重複する属性マッピングを削除または変更します。

• お客様の IdP での externalId SCIM マッピングが、一意で常に存在し、お客様のユーザにとって変更の可能性が低い値に対応していることを確認してください。例えば、IdP は、名前や E メールなどのユーザー属性の変更に影響されない、保証付きの objectId やその他の識別子を提供することができます。そうであれば、その値を SCIM の externalId フィールドにマッピングすることができます。これにより、ユーザーの名前や E メールアドレスを変更しても、AWS の資格、割り当て、権限が失われることはありません。

• アプリケーションやAWSアカウントに割り当てられていないユーザーは、IAM Identity Center にプロビジョニングできません。ユーザーとグループを同期させるには、ユーザーとグループが、IAM Identity Center への IdP の接続を表すアプリケーションやその他の設定に割り当てられていることを確認してください。

IAM アイデンティティセンターの SCIM 実装の詳細については、「IAM アイデンティティセンター SCIM 実装デベロッパーガイド」(IAM 実装デベロッパーガイド) を参照してください。

アクセストークンの有効期限を監視する方法

SCIM アクセストークンは 1 年の有効期間で生成されます。SCIM アクセストークンの有効期限が 90 日以内に切れるように設定されている場合、IAM Identity CenterAWSAWS Health コンソールとダッシュボードにリマインダーが送信され、トークンのローテーションに役立ちます。有効期限が切れる前に SCIM アクセストークンをローテーションすることで、ユーザーおよびグループ情報の自動プロビジョニングを継続的に保護できます。SCIM アクセストークンの有効期限が切れると、ID プロバイダーから IAM Identity Center へのユーザーおよびグループ情報の同期が停止するため、自動プロビジョニングでは更新を行ったり、情報を作成および削除したりできなくなります。自動プロビジョニングが中断されると、セキュリティリスクが高まり、サービスへのアクセスに影響が及ぶ可能性があります。

ID Center コンソールのリマインダーは、SCIM アクセストークンをローテーションし、未使用または期限切れのアクセストークンを削除するまで続きます。AWS Healthダッシュボードイベントは、SCIM アクセストークンの有効期限が切れるまで、90 日から 60 日の間は毎週、60 日から 30 日の間は週 2 回、30 日から 15 日間は週に 3 回、毎日 15 日間更新されます。

自動プロビジョニングを有効にする方法

SCIM プロトコルを使用して、IdP から IAM アイデンティティセンターへのユーザーとグループの自動プロビジョニングを有効にするには、以下の手順を使用します。

注記

この手順を開始する前に、まずお客様の IdP に適用されるプロビジョニングに関する注意事項を確認することをお勧めします。詳細については、「サポートされている ID プロバイダー」を参照してください。

IAM Identity Center で自動プロビジョニングを有効にするには

1. 前提条件が整ったら、IAM Identity Center コンソールを開きます。

2. 左側のナビゲーションペインの [Settings] (設定) を選択します。

3. 設定ページで、自動プロビジョニング情報ボックスを見つけ、「有効にする」を選択します。これにより、すぐに IAM アイデンティティセンターの自動プロビジョニングが有効になり、必要な SCIM エンドポイントとアクセストークンの情報が表示されます。

4. [Inbound automatic provisioning] (インバウンド自動プロビジョニング) ダイアログボックスで、以下のオプションの値をそれぞれコピーします。これらは、後で IdP でプロビジョニングを設定する際に貼り付ける必要があります。

   1. SCIM エンドポイント

   2. アクセストークン

5. [Close] (閉じる) を選択します。

この手順が完了したら、IdP で自動プロビジョニングを設定する必要があります。詳細については、「サポートされている ID プロバイダー」を参照してください。

自動プロビジョニングを無効にする方法

以下の手順で、IAM Identity Center コンソールでの自動プロビジョニングを無効にします。

重要

この手順を行う前にアクセストークンを削除する必要があります。詳細については、「アクセストークンを削除する方法」を参照してください。

IAM Identity Center コンソールで自動プロビジョニングを無効にするには

1. IAM ID Center コンソールで、左側のナビゲーションペインで [設定] を選択します。

2. 設定ページで、「アイデンティティーソース」タブを選択し、「アクション」>「プロビジョニングの管理」を選択します。

3. 「自動プロビジョニング」ページで、「無効」を選択します。

4. [Disable automatic provisioning] (自動プロビジョニングを無効にする) ダイアログボックスで、情報を確認し、[DISABLE] (無効) と入力して、[Disable automatic provisioning] (自動プロビジョニングを無効にする) を選択します。

新しいアクセストークンを生成する方法

以下の手順で、IAM Identity Center コンソールで新しいアクセストークンを生成します。

注記

この手順では、自動プロビジョニングを事前に有効にしておく必要があります。詳細については、「自動プロビジョニングを有効にする方法」を参照してください。

新しいアクセストークンを生成するには

1. IAM ID Center コンソールで、左側のナビゲーションペインで [設定] を選択します。

2. 設定ページで、「アイデンティティーソース」タブを選択し、「アクション」>「プロビジョニングの管理」を選択します。

3. [自動プロビジョニング] ページの [アクセストークン] で、[トークンを生成] を選択します。

4. [新しいアクセストークンを生成] ダイアログボックスで、新しいアクセストークンをコピーして安全な場所に保存します。

5. [Close] (閉じる) を選択します。

アクセストークンを削除する方法

以下の手順で、IAM Identity Center コンソールで新しいアクセストークンを削除します。

既存のアクセストークンを削除するには

1. IAM ID Center コンソールで、左側のナビゲーションペインで [設定] を選択します。

2. 設定ページで、「アイデンティティーソース」タブを選択し、「アクション」>「プロビジョニングの管理」を選択します。

3. [自動プロビジョニング] ページの [アクセストークン] で、削除するアクセストークンを選択し、[削除] を選択します。

4. [Delete access token] (アクセストークンを削除する) ダイアログボックスで、情報を確認し、[DELETE] (削除) と入力して、[Delete access token] (アクセストークンを削除する) を選択します。

アクセストークンをローテーションする方法

IAM Identity Center ディレクトリは、一度に最大 2 つのアクセストークンをサポートします。ローテーションの前に追加のアクセストークンを生成するには、期限切れまたは未使用のアクセストークンをすべて削除します。

SCIM アクセストークンの有効期限が近づいている場合は、以下の手順で IAM Identity Center コンソールで既存のアクセストークンをローテーションさせることができます。

アクセストークンをローテーションするには

1. IAM ID Center コンソールで、左側のナビゲーションペインで [設定] を選択します。

2. 設定ページで、「アイデンティティーソース」タブを選択し、「アクション」>「プロビジョニングの管理」を選択します。

3. [Automatic provisioning] (自動プロビジョニング) ページの [Access Token] (アクセストークン) でローテーションさせたいトークンのトークン ID をメモしておきます。

4. 新しいアクセストークンを生成する方法 の手順に従って、新しいトークンを作成します。既に最大数の SCIM アクセストークンを作成している場合は、まず既存のトークンの 1 つを削除する必要があります。

5. ID プロバイダーのウェブサイトにアクセスし、新しいアクセストークンを SCIM プロビジョニング用に設定した後、新しい SCIM アクセストークンを使用して IAM Identity Center への接続をテストします。新しいトークンを使ってプロビジョニングが正常に行われていることを確認したら、この手順の次のステップに進みます。

6. アクセストークンを削除する方法 の手順で、先ほどの古いアクセストークンを削除します。また、どのトークンを削除するかを判断するために、トークンの作成日を利用することもできます。