ユーザー、グループ、プロビジョニング - AWS IAM Identity Center (successor to AWS Single Sign-On)

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

ユーザー、グループ、プロビジョニング

IAM Identity Center は、AWS Organizationsアカウント、Identity Center 対応のアプリケーション、および Security Assertion Markup Language (SAML) 2.0 規格をサポートするその他のビジネスアプリケーションのすべてのアクセスを管理します。

ユーザー名と E メールアドレスの一意性

IAM Identity Center で作業する場合、ユーザーは一意に識別できなければなりません。IAM Identity Center では、ユーザーの主要な識別子となるユーザー名を実装しています。ほとんどの人は、ユーザー名をユーザーの E メールアドレスと同じにしていますが、IAM Identity Center および SAML 規格では同じにする必要はありません。ただ、SAML ベースのアプリケーションの多くは、ユーザーの一意の識別子として E メールアドレスを使用しています。これは、SAML ID プロバイダーが認証時に送信するアサーションから取得します。このようなアプリケーションは、各ユーザーの E メールアドレスの一意性に依存します。このように、IAM Identity Center では、ユーザーサインインに E メールアドレス以外のものを指定することができます。IAM Identity Center では、ユーザーのすべてのユーザー名と E メールアドレスが、NULL ではない一意なものである必要があります。

グループ

グループは、定義するユーザーの論理的な組み合わせです。グループを作成し、グループにユーザーを追加できます。IAM Identity Center では、グループ (ネストされた済みの済みの済みの済みの済みの済みの済みの済みの済みの済みの済みの済みの済みの済みのグループ グループは、AWS アカウントやアプリケーションへのアクセスを割り当てる際に便利です。各ユーザーを個別に割り当てるのではなく、グループに権限を与えます。その後、グループにユーザーを追加したり削除したりすると、そのユーザーはグループに割り当てられたアカウントやアプリケーションへのアクセス権を動的に得たり、失ったりします。

ユーザーおよびグループのプロビジョニング

IAM Identity Center では、ユーザーやグループを直接作成することも、アクティブディレクトリや他の外部の ID プロバイダーに登録されているユーザーやグループを利用することもできます。IAM Identity CenterAWS を使用してユーザーとグループにアカウントのアクセス権限を割り当てる前に、IAM Identity Center はまずユーザーとグループを認識する必要があります。同様に、Identity Center 対応のアプリケーションは、IAM Identity Center が認識しているユーザーやグループと連携することができます。プロビジョニングとは、IAM Identity Center および Identity Center 対応のアプリケーションで使用できるようにするプロセスです。

IAM Identity Center のプロビジョニングは、使用する ID ソースに応じて異なります。詳細については、「ID ソースを管理する」を参照してください。