ユーザー、グループ、プロビジョニング

IAM アイデンティティセンターでユーザーとグループを使用する場合は、次の点に注意してください。

ユーザー名と E メールアドレスの一意性

IAM アイデンティティセンターのユーザーは一意に識別できる必要があります。IAM Identity Center では、ユーザーの主要な識別子となるユーザー名を実装しています。ほとんどの人は、ユーザー名をユーザーの E メールアドレスと同じにしていますが、IAM アイデンティティセンターと SAML 2.0 標準ではこれは必要ありません。ただ、SAML 2.0 ベースのアプリケーションの多くは、ユーザーの一意の識別子として E メールアドレスを使用しています。これらのアプリケーションは、SAML 2.0 ID プロバイダーが認証中に送信するアサーションからこの情報を取得します。このようなアプリケーションは、各ユーザーの E メールアドレスの一意性に依存します。この理由により、IAM アイデンティティセンターでは、ユーザーのサインインに E メールアドレス以外のものを指定することができます。IAM Identity Center では、ユーザーのすべてのユーザー名と E メールアドレスが、NULL ではない一意なものである必要があります。

グループ

グループは、定義するユーザーの論理的な組み合わせです。グループを作成し、グループにユーザーを追加できます。IAM Identity Center は、グループ (ネストされたグループ) へのグループの追加をサポートしていません。グループは、AWS アカウント やアプリケーションへのアクセスを割り当てる際に便利です。各ユーザーを個別に割り当てるのではなく、グループに権限を与えます。その後、グループにユーザーを追加したり削除したりすると、そのユーザーはグループに割り当てられたアカウントやアプリケーションへのアクセス権を動的に得たり、失ったりします。

ユーザーおよびグループのプロビジョニング

プロビジョニングは、ユーザーおよびグループの情報を IAM アイデンティティセンターおよび AWS マネージドアプリケーションまたはカスタマーマネージドアプリケーションで使用できるようにするプロセスです。IAM アイデンティティセンターでは、ユーザーやグループを直接作成することも、Active Directory や外部の ID プロバイダーに登録されているユーザーやグループを利用することもできます。IAM アイデンティティセンターを使用して AWS アカウント 内のユーザーとグループのアクセス許可を割り当てる前に、IAM アイデンティティセンターはまずユーザーとグループを認識する必要があります。同様に、AWS マネージドアプリケーションとカスタマーマネージドアプリケーションは、IAM アイデンティティセンターが認識しているユーザーやグループと連携することができます。

IAM Identity Center のプロビジョニングは、使用する ID ソースに応じて異なります。詳細については、「ID ソースを管理する」を参照してください。