IAM Identity Center AD 同期 - AWS IAM Identity Center
IAM Identity Center AD 同期の仕組み

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

IAM Identity Center AD 同期

IAM Identity Center AD 同期では、IAM Identity Center を使用して、Active Directory のユーザーとグループに、 AWS マネージドアプリケーションまたはカスタマーマネージドアプリケーションへのアクセス AWS アカウント 許可を割り当てます。割り当てられた ID はすべて IAM Identity Center に自動的に同期されます。

IAM Identity Center AD 同期の仕組み

IAM Identity Center は、以下のプロセスで ID ストアの AD ベースの ID データを更新します。

作成

コンソールまたは割り当て API コールを使用して AWS ユーザー AWS アカウント またはグループを またはアプリケーションに割り当てると、ユーザー、グループ、メンバーシップに関する情報が IAM Identity Center アイデンティティストアに定期的に同期されます。IAM Identity Center の割り当てに追加されたユーザーまたはグループは、通常 2 時間以内に AWS ID ストアに表示されます。同期されるデータの量によっては、この処理に時間がかかる場合があります。同期されるのは、アクセス権が直接割り当てられているか、アクセス権が割り当てられているグループのメンバーであるユーザーとグループのみです。

他のグループメンバーであるグループ (ネストされたグループと呼ばれる) も、ID ストアに書き込まれます。ネストされたグループを含む Active Directory のグループに割り当てる場合、割り当てが適用される方法は、AD 同期を使用するか、設定可能な AD 同期を使用するかによって異なります。

  • AD 同期 – ネストされたグループを含む Active Directory 内のグループに割り当てると、グループの直接のメンバーのみがアカウントにアクセスできます。たとえば、グループ A にアクセス権を割り当て、グループ B がグループ A のメンバーである場合、グループ A の直属メンバーのみがアカウントにアクセスできます。グループ B のメンバーはアクセス権を引き継ぎません。

  • 設定可能な AD 同期 — 設定可能な AD 同期を使用して、ネストされたグループを含む Active Directory 内のグループに割り当てると、アプリケーションへのアクセス AWS アカウント またはアプリケーションへのアクセスを持つユーザーのスコープが増大する可能性があります。この場合、割り当ては、ネストされたグループのユーザーを含むすべてのユーザーに適用されます。たとえば、グループ A にアクセス権を割り当て、グループ B がグループ A のメンバーである場合、グループ B のメンバーもこのアクセスを継承します。

ユーザーオブジェクトが初めて同期される前にユーザーが IAM Identity Center にアクセスする場合、そのユーザーの ID ストアオブジェクトは (JIT) プロビジョニングを使用して just-in-timeオンデマンドで作成されます。JIT プロビジョニングによって作成されたユーザーは、直接割り当てられた、またはグループベースの IAM Identity Center エンタイトルメントがない限り、同期されません。JIT でプロビジョニングされたユーザーのグループメンバーシップは、同期化されるまで利用できません。

ユーザーに へのアクセスを割り当てる方法については AWS アカウント、「」を参照してくださいへのシングルサインオンアクセス AWS アカウント

更新

IAM Identity Center ID ストアの ID データは、Active Directory のソース ディレクトリから定期的にデータを読み込むことで、常にリフレッシュされた状態を保たれます。Active Directory で変更された ID データは、通常 4 時間以内に AWS ID ストアに表示されます。同期されるデータの量によっては、この処理に時間がかかる場合があります。

ユーザーとグループのオブジェクトとそのメンバーシップは、IAM Identity Center で作成または更新され、Active Directory のソースディレクトリで対応するオブジェクトにマッピングされます。ユーザー属性については、IAM Identity Center コンソールの「アクセスコントロール用の属性の管理」セクションにリストされている属性のサブセットのみが IAM Identity Center で更新されます。さらに、ユーザー属性は、各ユーザー認証イベントで更新されます。

削除

対応するユーザーまたはグループオブジェクトが Active Directory のソース ディレクトリから削除されると、ユーザーとグループは IAM Identity Center ID ストアから削除されます。