IAM Identity Center の構成可能な AD 同期 - AWS IAM Identity Center
前提条件と考慮事項設定可能な AD 同期の仕組み同期範囲を設定および管理する

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

IAM Identity Center の構成可能な AD 同期

IAM Identity Center の設定可能な Active Directory (AD) 同期を使用すると、IAM Identity Center に自動的に同期される Microsoft Active Directory の ID を明示的に設定し、同期プロセスを制御できます。

以下のトピックでは、設定可能な AD Sync を設定および管理するための情報を提供します。

前提条件と考慮事項

設定可能な AD Sync を使用する前に、以下の前提条件と考慮事項に注意してください。

  • Active Directory 内のユーザーとグループを指定して同期する

    IAM Identity Center を使用して新しいユーザーとグループに AWS マネージドアプリケーションまたはカスタマーマネージドアプリケーションへのアクセス権 AWS アカウント を割り当てる前に、同期する Active Directory のユーザーとグループを指定してから IAM Identity Center に同期する必要があります。

    • AD 同期 — IAM Identity Center コンソールまたは関連する割り当て API アクションを使用して新しいユーザーやグループに割り当てを行うと、IAM Identity Center は指定されたユーザーまたはグループをドメインコントローラーで直接検索して割り当てを完了し、ユーザーまたはグループのメタデータを IAM Identity Center に定期的に同期します。

    • 設定可能な AD 同期 — IAM Identity Center はドメインコントローラーでユーザーやグループを直接検索しません。代わりに、同期するユーザーとグループのリストを最初に指定する必要があります。IAM Identity Center に既に同期されているユーザーとグループがあるか、設定可能な AD Sync を使用して初めて同期する新しいユーザーとグループがあるかに応じて、このリスト (同期スコープとも呼ばれる) を以下のいずれかの方法で設定できます。

      • 既存のユーザーとグループ:すでに IAM Identity Center と同期されているユーザーとグループがある場合、設定可能な AD Sync の同期スコープには、それらのユーザーとグループのリストがあらかじめ入力されています。新しいユーザーまたはグループを割り当てるには、それらを同期スコープに具体的に追加する必要があります。詳細については、「ユーザーとグループを同期スコープに追加します」を参照してください。

      • 新しいユーザーとグループ: 新しいユーザーやグループに AWS アカウント およびアプリケーションへのアクセス権を割り当てる場合は、IAM Identity Center を使用して割り当てを行う前に、設定可能な AD Sync で同期スコープに追加するユーザーとグループを指定する必要があります。詳細については、「ユーザーとグループを同期スコープに追加します」を参照してください。

  • Active Directory 内のネストされたグループへの割り当てを行う

    他のグループのメンバーであるグループは、ネストされたグループ (または子グループ) と呼ばれます。ネストされたグループを含む Active Directory のグループに割り当てる場合、割り当てが適用される方法は、AD 同期を使用するか、設定可能な AD 同期を使用するかによって異なります。

    • AD 同期 – ネストされたグループを含む Active Directory 内のグループに割り当てると、グループの直接のメンバーのみがアカウントにアクセスできます。たとえば、グループ A にアクセス権を割り当て、グループ B がグループ A のメンバーである場合、グループ A の直属メンバーのみがアカウントにアクセスできます。グループ B のメンバーはアクセス権を引き継ぎません。

    • 設定可能な AD 同期 — 設定可能な AD 同期を使用して、ネストされたグループを含む Active Directory 内のグループに割り当てると、アプリケーションへのアクセス AWS アカウント またはアプリケーションへのアクセスを持つユーザーのスコープが増大する可能性があります。この場合、割り当ては、ネストされたグループのユーザーを含むすべてのユーザーに適用されます。たとえば、グループ A にアクセス権を割り当て、グループ B がグループ A のメンバーである場合、グループ B のメンバーもこのアクセスを継承します。

  • 自動化されたワークフローの更新

    IAM Identity Center ID ストア API アクションと IAM Identity Center 割り当て API アクションを使用して新しいユーザーとグループにアカウントとアプリケーションへのアクセスを割り当て、IAM Identity Center と同期する自動化ワークフローがある場合は、設定可能な AD 同期によって期待どおりに機能するように、2022 年 4 月 15 日までにそれらのワークフローを調整する必要があります。設定可能な AD Sync により、ユーザーとグループの割り当てとプロビジョニングが行われる順序、およびクエリの実行方法が変わります。

    • AD Sync — 割り当てのプロセスが最初に行われます。ユーザーとグループには、アプリケーションへのアクセス AWS アカウント とアプリケーションへのアクセスを割り当てます。ユーザーとグループにアクセス権が割り当てられると、自動的にプロビジョニング (IAM Identity Center に同期) されます。つまり、自動化されたワークフローでは、Active Directory に新しいユーザーを追加すると、自動化されたワークフローが ID ストア ListUser API アクションを使用して Active Directory にユーザーを照会し、IAM ID センターの割り当て API アクションを使用してユーザーアクセスを割り当てることができます。ユーザーには割り当てがあるため、そのユーザーは IAM Identity Center に自動的にプロビジョニングされます。

    • 設定可能な AD 同期 — プロビジョニングが最初に実行され、自動的には実行されません。代わりに、まずユーザーとグループを同期スコープに追加して、ID ストアに明示的に追加する必要があります。設定可能な AD Sync の同期設定を自動化するための推奨手順については、同期設定を自動化して、設定可能な AD 同期を実現します。 を参照してください。

設定可能な AD 同期の仕組み

IAM Identity Center は、以下のプロセスで ID ストアの AD ベースの ID データをリフレッシュします。

作成

Active Directory の自己管理型ディレクトリ、または によって管理される AWS Managed Microsoft AD ディレクトリ AWS Directory Service を IAM Identity Center に接続すると、IAM Identity Center ID ストアに同期する Active Directory ユーザーとグループを明示的に設定できます。選択した ID は、3 時間ごとに IAM Identity Center の ID ストアに同期されます。ディレクトリのサイズによっては、同期処理に時間がかかる場合があります。

他のグループのメンバーであるグループ (ネストされたグループまたは子グループ) も ID ストアに書き込まれます。ネストされたグループを含む Active Directory のグループに割り当てる場合、割り当てが適用される方法は、AD 同期を使用するか、設定可能な AD 同期を使用するかによって異なります。詳細については、「Making assignments to nested groups in Active Directory」を参照してください。

新しいユーザーまたはグループが IAM Identity Center アイデンティティストアと同期された後にのみ、アクセス権を割り当てることができます。

更新

IAM Identity Center ID ストアの ID データは、Active Directory のソース ディレクトリから定期的にデータを読み込むことで、常にリフレッシュされた状態を保たれます。IAM Identity Center は、デフォルトで同期サイクルの 1 時間ごとに Active Directory からのデータを同期します。Active Directory のサイズに基づいて、データが IAM Identity Center に同期されるまでに 30 分から 2 時間かかる場合があります。

同期スコープにあるユーザーとグループのオブジェクトとそのメンバーシップは、IAM Identity Center で作成または更新され、Active Directory のソースディレクトリの対応するオブジェクトにマッピングされます。ユーザー属性については、IAM Identity Center コンソールの「アクセス制御用の属性」セクションにリストされている属性のサブセットのみが IAM Identity Center で更新されます。Active Directory で行った属性更新が IAM Identity Center に反映されるまで、1 つの同期サイクルが必要になる場合があります。

IAM Identity Center ID ストアに同期するユーザーとグループのサブセットを更新することもできます。このサブセットに新しいユーザーまたはグループを追加するか、削除するかを選択できます。追加した ID は、次回の定期同期時に同期されます。サブセットから削除した ID は、IAM Identity Center ID ストアで更新されなくなります。28 日以上同期されていないユーザーは、IAM Identity Center ID ストアで無効になります。対応するユーザーオブジェクトは、同期スコープにまだ含まれている別のグループに属していない限り、次回の同期サイクル時に IAM Identity Center ID ストアで自動的に無効になります。

削除

対応するユーザーまたはグループオブジェクトが Active Directory のソース ディレクトリから削除されると、ユーザーとグループは IAM Identity Center ID ストアから削除されます。または、IAM Identity Center コンソールを使用して IAM Identity Center ID ストアからユーザーオブジェクトを明示的に削除することもできます。IAM Identity Center コンソールを使用する場合は、次回の同期サイクル中に IAM Identity Center に再同期されないように、同期スコープからユーザーを削除する必要もあります。

同期をいつでも一時停止と再開することもできます。28 日以上同期を一時停止すると、すべてのユーザーが無効になります。

同期範囲を設定および管理する

同期スコープは、次のいずれかの方法で設定できます。

  • ガイド付きセットアップ: Active Directory から IAM Identity Center にユーザーとグループを初めて同期する場合は、ガイド付きセットアップ の手順に従って同期スコープを設定します。ガイド付きセットアップを完了したら、このセクションの他の手順に従っていつでも同期スコープを変更できます。

  • IAM Identity Center と同期されているユーザーとグループがすでにある場合や、ガイド付きセットアップに従いたくない場合は、[同期を管理] を選択します。ガイド付きセットアップ手順をスキップし、必要に応じてこのセクションの他の手順に従って同期スコープを設定および管理してください。

ガイド付きセットアップ

  1. IAM Identity Center コンソール を開きます。

    注記

    次のステップに進む前に、IAM Identity Center コンソールで AWS Managed Microsoft AD ディレクトリ AWS リージョン がある のいずれかを使用していることを確認してください。

  2. [設定] を選択します。

  3. ページ上部の通知メッセージで、[ガイド付きセットアップを開始] を選択します。

  4. ステップ 1 — オプション: 属性マッピングの設定」で、デフォルトのユーザーおよびグループ属性マッピングを確認します。変更が不要な場合は、[次へ] を選択します。変更が必要な場合は、変更を行い、[変更の保存] を選択します。

  5. ステップ 2 — オプション: 同期範囲の設定」で、「ユーザー」タブを選択します。次に、同期スコープに追加するユーザーの正確なユーザー名を入力し、[追加] を選択します。次に、[グループ] タブを選択します。同期スコープに追加するグループの正確なグループ名を入力し、[追加] を選択します。[次へ] を選択します。後でユーザーとグループを同期スコープに追加する場合は、変更せずに [次へ] を選択します。

  6. ステップ 3: 設定を確認して保存する」で、「ステップ 1: 属性マッピング」で属性マッピングを確認し、「ステップ 2: 同期スコープ」でユーザーとグループを確認します。[設定の保存] を選択します。これにより、「同期を管理」ページが表示されます。

ユーザーとグループを同期スコープに追加します

ユーザーを追加するには

  1. IAM Identity Center コンソール を開きます。

  2. [設定] を選択します。

  3. 設定」ページで「ID ソース」タブを選択し、「アクション」を選択し、「同期を管理」を選択します。

  4. [同期の管理] ページで、[ユーザー] タブを選択し、[ユーザーとグループの追加] を選択します。

  5. [ユーザー] タブの [ユーザー] に正確なユーザー名を入力し、[追加] を選択します。

  6. [追加したユーザーとグループ] で、追加するユーザーを確認します。

  7. [送信] を選択します。

  8. ナビゲーションペインで [Users (ユーザー)] を選択します。

  9. ユーザー」ページでは、指定したユーザーがリストに表示されるまでに時間がかかる場合があります。ステータスを更新するには、[更新] アイコンをクリックします。

グループを追加するには

  1. IAM Identity Center コンソール を開きます。

  2. [設定] を選択します。

  3. 設定」ページで「ID ソース」タブを選択し、「アクション」を選択し、「同期を管理」を選択します。

  4. 同期の管理」ページで「グループ」タブを選択し、「ユーザーとグループの追加」を選択します。

  5. [グループ] タブを選択します。[グループ] で、正確なグループ名を入力し、[追加] を選択します。

  6. [追加したユーザーとグループ] で、追加するグループを確認します。

  7. [送信] を選択します。

  8. ナビゲーションペインで、[グループ] を選択します。

  9. グループ」ページでは、指定したグループがリストに表示されるまでに時間がかかる場合があります。更新アイコンを選択して、グループのリストを更新します。

同期スコープからユーザーとグループを削除します。

同期スコープからユーザーとグループを削除するとどうなるかについての詳細は、設定可能な AD 同期の仕組み を参照してください。

ユーザーを削除するには

  1. IAM Identity Center コンソール を開きます。

  2. [設定] を選択します。

  3. 設定」ページで「ID ソース」タブを選択し、「アクション」を選択し、「同期を管理」を選択します。

  4. [ユーザー] タブを選択します。

  5. [同期範囲のユーザー] で、削除するユーザーの横にあるチェックボックスをオンにします。すべてのユーザーを削除するには、「ユーザー名」の横にあるチェックボックスを選択します。

  6. [削除] を選択します。

グループを削除するには

  1. IAM Identity Center コンソール を開きます。

  2. [設定] を選択します。

  3. 設定」ページで「ID ソース」タブを選択し、「アクション」を選択し、「同期を管理」を選択します。

  4. [グループ] タブを選択します。

  5. [同期範囲のグループ] で、削除するユーザーの横にあるチェックボックスをオンにします。すべてのグループを削除するには、[グループ名] の横にあるチェックボックスをオンにします。

  6. [削除] を選択します。

同期の一時停止と再開

同期を一時停止すると、今後のすべての同期サイクルが一時停止され、Active Directory 内のユーザーとグループに加えた変更が IAM Identity Center に反映されなくなります。同期を再開すると、同期サイクルでは次に予定されている同期からこれらの変更が反映されます。

同期を一時停止するには

  1. IAM Identity Center コンソール を開きます。

  2. [設定] を選択します。

  3. 設定」ページで「ID ソース」タブを選択し、「アクション」を選択し、「同期を管理」を選択します。

  4. [同期の管理] で [同期を一時停止] を選択します。

同期を再開するには

  1. IAM Identity Center コンソール を開きます。

  2. [設定] を選択します。

  3. 設定」ページで「ID ソース」タブを選択し、「アクション」を選択し、「同期を管理」を選択します。

  4. [同期の管理] で [同期を再開] を選択します。

    注記

    [同期を再開] ではなく [同期を一時停止] が表示される場合は、Active Directory から IAM Identity Center への同期はすでに再開されています。

同期の属性マッピングを設定する

利用可能な属性の詳細については、「AWS Managed Microsoft AD  ディレクトリの属性マッピング」を参照してください。

IAM Identity Center でディレクトリへの属性マッピングを設定するには

  1. IAM Identity Center コンソール を開きます。

  2. [設定] を選択します。

  3. 設定」ページで「ID ソース」タブを選択し、「アクション」を選択し、「同期を管理」を選択します。

  4. 同期の管理」で、「属性マッピングを表示」を選択します。

  5. Active Directory ユーザー属性」で、IAM Identity Center ID ストア属性Active Directory のユーザー属性を設定します。例えば、IAM Identity Center ID ストア属性 email を Active Directory のユーザーディレクトリ属性 ${objectguid} にマップすることができます。

    注記

    グループ属性」では、IAM Identity Center の ID ストア属性Active Directory グループの属性 は変更できません。

  6. [変更の保存] を選択します。これにより、「同期の管理」ページに戻ります。

同期設定を自動化して、設定可能な AD 同期を実現します。

設定可能な AD 同期で自動化されたワークフローが期待どおりに機能するようにするには、次の手順を実行して同期設定を自動化することをお勧めします。

設定可能な AD Sync の同期設定を自動化するには

  1. Active Directory で、IAM Identity Center に同期したいすべてのユーザーとグループを含む 親同期グループを作成します。例えば、グループ IAMIdentityCenterAllUsersAndGroups に名前を付けることができます。

  2. IAM Identity Center で、親同期グループを設定可能な同期リストに追加します。IAM Identity Center は、親同期グループに含まれるすべてのユーザー、グループ、サブグループ、およびすべてのグループのメンバーを同期します。

  3. Microsoft が提供する Active Directory ユーザーおよびグループ管理 API アクションを使用して、親同期グループにユーザーとグループを追加または削除します。