SCIM を使用して外部 ID プロバイダーを IAM アイデンティティセンターにプロビジョニングする - AWS IAM Identity Center
自動プロビジョニングを使用する際の注意事項アクセストークンの有効期限を監視する方法手動のプロビジョニング

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

SCIM を使用して外部 ID プロバイダーを IAM アイデンティティセンターにプロビジョニングする

IAM アイデンティティセンターは、クロスドメインアイデンティティ管理システム (SCIM) v2.0 プロトコルを使用して、ID プロバイダー (IdP) から IAM アイデンティティセンターへのユーザーおよびグループ情報の自動プロビジョニング (同期化) をサポートしています。SCIM 同期を設定すると、ID プロバイダー (IdP) のユーザー属性と IAM アイデンティティセンターの名前付き属性のマッピングが作成されます。これにより、IAM アイデンティティセンターとお客様の IdP の間で、期待される属性が一致します。この接続を IdP で設定するには、IAM アイデンティティセンター用の SCIM エンドポイントと IAM アイデンティティセンターで作成したベアラートークンを使用します。

トピック

自動プロビジョニングを使用する際の注意事項

SCIM のデプロイを開始する前に、まず、IAM アイデンティティセンターとの連携について、以下の注意事項を確認することをお勧めします。プロビジョニングに関する追加の注意事項については、お使いの IdP 向け IAM Identity Center アイデンティティソースのチュートリアル を参照してください。

  • プライマリの E メールアドレスをプロビジョニングする場合、この属性値は各ユーザーに対して一意でなければなりません。一部の IdP では、プライマリ E メールアドレスが実在しない場合があります。例えば、E メールにしか見えない UPN (Universal Principal Name) だったりします。これらの IdP は、ユーザーの実際の E メールアドレスを含むセカンダリまたは「その他」の E メールアドレスを持っている場合があります。Null 以外の一意なメールアドレスを IAM アイデンティティセンターのプライマリ E メールアドレス属性にマッピングするために、IdP の SCIM を設定する必要があります。また、ユーザーの Null 以外の一意なサインイン識別子を IAM アイデンティティセンターのユーザー名属性にマッピングする必要があります。ご利用の IdP に、サインイン識別子とユーザーの E メール名を兼ねた単一の値があるかどうかを確認してください。その場合、その IdP フィールドを IAM アイデンティティセンターのプライマリ E メールと IAM アイデンティティセンターのユーザー名の両方にマッピングすることができます。

  • SCIM の同期が機能するためには、すべてのユーザーが First name (名)、Last name (姓)、Username (ユーザーネーム)、Display name (表示名) の値を指定する必要があります。これらのすべての値が設定されていないユーザーはプロビジョニングされません。

  • サードパーティーのアプリケーションを使用する必要がある場合は、まず、アウトバウンド SAML のサブジェクト属性をユーザー名属性にマッピングする必要があります。サードパーティーのアプリケーションにルーティング可能な E メールアドレスが必要な場合、E メール属性を IdP に提供する必要があります。

  • SCIM のプロビジョニングとアップデートの間隔は、ID プロバイダーによって管理されます。ID プロバイダーのユーザーおよびグループに対する変更は、ID プロバイダーがそれらの変更を IAM アイデンティティセンターに送信した後に、 SSO にのみ反映されます。ユーザーやグループの更新の頻度については、ID プロバイダーにご確認ください。

  • 現在、SCIM では多値属性 (特定のユーザーに対する複数の E メールや電話番号など) は提供されていません。SCIM を使用した IAM アイデンティティセンターに多値属性を同期させようとすると失敗します。失敗を回避するために、各属性には 1 つの値しか渡さないようにします。マルチバリューの属性を持つユーザーがいる場合は、IAM アイデンティティセンターへの接続のために、IdP の SCIM で重複する属性マッピングを削除または変更します。

  • お客様の IdP での externalId SCIM マッピングが、一意で常に存在し、お客様のユーザにとって変更の可能性が低い値に対応していることを確認してください。例えば、IdP は、名前や E メールなどのユーザー属性の変更に影響されない、保証付きの objectId やその他の識別子を提供することができます。そうであれば、その値を SCIM の externalId フィールドにマッピングすることができます。これにより、名前や E メールを変更する必要がある場合に、ユーザーが AWS 使用権限、割り当て、またはアクセス許可を失うことがなくなります。

  • まだアプリケーションに割り当てられていないユーザー、または IAM Identity Center にプロビジョニング AWS アカウント できないユーザー。ユーザーとグループを同期させるには、ユーザーとグループが、IAM アイデンティティセンターへの IdP の接続を表すアプリケーションやその他の設定に割り当てられていることを確認してください。

  • ユーザープロビジョニング解除の動作は ID プロバイダーによって管理され、実装によって異なる場合があります。ユーザープロビジョニング解除の詳細については、ID プロバイダーにお問い合わせください。

  • IdP に SCIM を使用して自動プロビジョニングを設定した後は、IAM Identity Center コンソールでユーザーを追加または編集できなくなります。ユーザーを追加または変更する必要がある場合は、外部 IdP または ID ソースから追加または変更する必要があります。

IAM Identity Center の SCIM 実装の詳細については、「IAM Identity Center SCIM 実装デベロッパーガイド」 () を参照してください。

アクセストークンの有効期限を監視する方法

SCIM アクセストークンは 1 年の有効期間で生成されます。SCIM アクセストークンが 90 日以内に期限切れに設定されている場合、 はトークンのローテーションに役立つ AWS リマインダーを IAM Identity Center コンソールと AWS Health Dashboard に送信します。SCIM アクセストークンを有効期限が切れる前にローテーションすることで、ユーザーとグループの情報の自動プロビジョニングを継続的に保護できます。SCIM アクセストークンの有効期限が切れると、ID プロバイダーから IAM アイデンティティセンターへのユーザーとグループの情報の同期が停止するため、自動プロビジョニングでは情報を更新したり、情報を作成、削除したりできなくなります。自動プロビジョニングが中断されると、セキュリティリスクが高まり、サービスへのアクセスに影響が及ぶ可能性があります。

Identity Center コンソールのリマインダーは、SCIM アクセストークンをローテーションして、未使用または期限切れのアクセストークンを削除するまで続きます。 AWS Health ダッシュボードイベントは、90 日から 60 日の間、1 週間に 2 回、60 日から 30 日の間、1 週間に 3 回、30 日から 15 日の間、SCIM アクセストークンの有効期限が切れるまで 15 日間毎日更新されます。

手動のプロビジョニング

一部の IdP では、クロスドメインアイデンティティ管理システム (SCIM) をサポートしていないか、互換性のない SCIM 実装をしている場合があります。そのような場合は、IAM アイデンティティセンターコンソールを通じて手動でユーザーをプロビジョニングすることができます。IAM アイデンティティセンターにユーザーを追加する際には、IdP に登録されているユーザー名と同一のユーザー名を設定します。少なくとも、一意の E メールアドレスとユーザー名が必要です。詳細については、「ユーザー名と E メールアドレスの一意性」を参照してください。

また、IAM アイデンティティセンターでは、すべてのグループを手動で管理する必要があります。そのためには、グループを作成し、IAM アイデンティティセンターコンソールを使ってグループを追加します。これらのグループは、お客様の IdP に存在するものと一致する必要はありません。詳細については、「グループ」を参照してください。