ユーザー、グループ、プロビジョニング - AWSシングルサインオン

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

ユーザー、グループ、プロビジョニング

AWSSSO は、すべてのAWS Organizationsアカウント#アカウント#AWSSSO 統合アプリケーション、およびSecurity Assertion Markup Language (SAML) 2.0 をサポートするその他のビジネスアプリケーション。

ユーザー名と電子メールアドレスの一意性

で作業する場合AWSSSO を使用する場合、ユーザーは一意に識別可能である必要があります。AWSSSO は、ユーザーのプライマリ識別子であるユーザー名を実装します。ほとんどの人は、ユーザー名をユーザーの電子メールアドレスと同じに設定していますが、AWSSSO と SAML 標準ではこれを必要としません。ただし、SAML ベースのアプリケーションの大部分が、ユーザーの一意の識別子として電子メールアドレスを使用しています。SAML ID プロバイダーが認証中に送信するアサーションからこれを取得します。このようなアプリケーションは、各ユーザーの電子メールアドレスの一意性に依存します。そのように、AWSSSO では、ユーザーサインインの電子メールアドレス以外のものを指定できます。AWSSSO では、ユーザーのすべてのユーザー名と電子メールアドレスが NULL 以外で一意である必要があります。

Groups

グループは、ユーザーが定義するユーザーの論理的な組み合わせです。グループを作成し、グループにユーザーを追加できます。AWSSSO では、グループ (ネストされたグループ) へのグループの追加はサポートされていません。グループは、アクセスを割り当てるときに便利ですAWSアカウントとアプリケーション。各ユーザーを個別に割り当てるのではなく、グループに対してアクセス許可を与えることができます。後で、グループに対してユーザーを追加または削除すると、そのユーザーはそのグループに割り当てたアカウントやアプリケーションへのアクセスを動的に取得したり失ったりします。

ユーザーおよびグループのプロビジョニング

ユーザーとグループを作成するには、AWSSSO を使用するか、Active Directory または外部 ID プロバイダーにあるユーザーやグループを操作します。のためにAWSSSO を使用して、ユーザーおよびグループに権限を割り当てます。AWSSSO アカウントAWSSSO は、まずユーザとグループを認識する必要があります。同様に、AWSSSO 統合アプリケーションは、AWSSSO は認識しています。プロビジョニングとは、ユーザーおよびグループの情報をAWSSSO とAWSSSO 統合アプリケーション

でのプロビジョニングAWSSSO は、使用するアイデンティティ・ソースによって異なります。詳細については、「アイデンティティ・ソースを管理する」を参照してください。