IAM Identity Center AD 同期 - AWS IAM Identity Center
IAM Identity Center AD 同期の仕組み

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

IAM Identity Center AD 同期

IAM Identity Center AD 同期では、IAMIdentity Center を使用して、Active Directory 内のユーザーとグループに へのアクセスを割り当てます。 AWS アカウント および から AWS マネージドアプリケーションまたはカスタマーマネージドアプリケーション。割り当てのあるすべての ID は、Identity Center IAM に自動的に同期されます。

IAM Identity Center AD 同期の仕組み

IAM Identity Center は、以下のプロセスを使用して、ID ストア内の AD ベースの ID データを更新します。

作成

ユーザーまたはグループを に割り当てる場合 AWS アカウント または を使用したアプリケーション AWS コンソールまたは割り当てAPI呼び出し、ユーザー、グループ、メンバーシップに関する情報は、定期的に IAM Identity Center ID ストアに同期されます。IAM Identity Center の割り当てに追加されたユーザーまたはグループは、通常、 AWS ID ストアは 2 時間以内。同期されるデータの量によっては、この処理に時間がかかる場合があります。同期されるのは、アクセス権が直接割り当てられているか、アクセス権が割り当てられているグループのメンバーであるユーザーとグループのみです。

他のグループメンバーであるグループ (ネストされたグループと呼ばれる) も、ID ストアに書き込まれます。ネストされたグループを含む Active Directory のグループに割り当てる場合、割り当ての適用方法は、AD 同期を使用するか、設定可能な AD 同期を使用するかによって異なります。

  • AD 同期 – ネストされたグループを含む Active Directory のグループに割り当てると、グループの直接のメンバーのみがアカウントにアクセスできます。たとえば、グループ A にアクセス権を割り当て、グループ B がグループ A のメンバーである場合、グループ A の直属メンバーのみがアカウントにアクセスできます。グループ B のメンバーはアクセス権を引き継ぎません。

  • 設定可能な AD 同期 – 設定可能な AD 同期を使用して、ネストされたグループを含む Active Directory 内のグループに割り当てると、 にアクセスできるユーザーの範囲が拡大する可能性があります。 AWS アカウント アプリケーションへの または 。この場合、割り当ては、ネストされたグループ内のユーザーを含むすべてのユーザーに適用されます。たとえば、グループ A にアクセス権を割り当て、グループ B がグループ A のメンバーである場合、グループ B のメンバーもこのアクセスを継承します。

ユーザーオブジェクトが初めて同期される前にユーザーが IAM Identity Center にアクセスする場合、そのユーザーの ID ストアオブジェクトは、 (JIT) プロビジョニングを使用して just-in-timeオンデマンドで作成されます。JIT プロビジョニングによって作成されたユーザーは、 またはグループベースの IAM Identity Center の使用権限を直接割り当てていない限り、同期されません。JITプロビジョニングされたユーザーのグループメンバーシップは、同期後まで使用できません。

へのアクセスをユーザーに割り当てる手順については、 AWS アカウント「へのシングルサインオンアクセス AWS アカウント」を参照してください。

更新

IAM Identity Center アイデンティティストアのアイデンティティデータは、Active Directory のソースディレクトリから定期的にデータを読み取ることで最新の状態を維持します。Active Directory で変更されたアイデンティティデータは、通常、 AWS ID ストアは 4 時間以内。同期されるデータの量によっては、この処理に時間がかかる場合があります。

ユーザーおよびグループオブジェクトとそのメンバーシップはIAM、Active Directory のソースディレクトリ内の対応するオブジェクトにマッピングするために Identity Center で作成または更新されます。ユーザー属性の場合、IAMIdentity Center コンソールの「アクセスコントロールの属性の管理」セクションにリストされている属性のサブセットのみが Identity Center IAM で更新されます。さらに、ユーザー属性は、各ユーザー認証イベントで更新されます。

削除

ユーザーとグループは、対応するユーザーまたはグループオブジェクトが Active Directory のソースディレクトリから削除されると、IAMIdentity Center ID ストアから削除されます。