ユーザー、グループ、プロビジョニング

IAM ID センターは、すべてのユーザーへのアクセスを管理します。AWS Organizationsアカウント、Identity Center 対応アプリケーション、およびセキュリティアサーションマークアップ言語 (SAML) 2.0 標準をサポートするその他のビジネスアプリケーション。

ユーザー名と E メールアドレスの一意性

IAM Identity Center で作業する場合、ユーザーを一意に識別できる必要があります。IAM Identity Center は、ユーザーの主要な識別子となるユーザー名を実装します。ほとんどのユーザーはユーザー名をユーザーのメールアドレスと同じに設定しますが、IAM Identity Center と SAML 標準ではこれを義務付けていません。ただ、SAML ベースのアプリケーションの多くは、ユーザーの一意の識別子として E メールアドレスを使用しています。これは、SAML ID プロバイダーが認証時に送信するアサーションから取得します。このようなアプリケーションは、各ユーザーの E メールアドレスの一意性に依存します。そのため、IAM Identity Center では、ユーザーのサインインにメールアドレス以外のものを指定できます。IAM Identity Center では、ユーザーのユーザー名とメールアドレスはすべて NULL 以外で一意である必要があります。

グループ

グループは、定義するユーザーの論理的な組み合わせです。グループを作成し、そのグループにユーザーを追加できます。IAM Identity Center はグループ (ネストされたグループ) へのグループの追加をサポートしていません。グループは、アクセスを割り当てる際に便利です。AWS アカウントとアプリケーション。各ユーザーを個別に割り当てるのではなく、グループに権限を与えます。その後、グループにユーザーを追加したり削除したりすると、そのユーザーはグループに割り当てられたアカウントやアプリケーションへのアクセス権を動的に得たり、失ったりします。

ユーザーおよびグループのプロビジョニング

IAM Identity Center で直接ユーザーとグループを作成することも、Active Directory または別の外部 ID プロバイダーにあるユーザーやグループを操作することもできます。以前は、IAM Identity Center を使用してユーザーとグループにアクセス権限を割り当てることができました。AWS アカウント、IAM Identity Center はまずユーザーとグループを認識する必要があります。同様に、Identity Center 対応アプリケーションは IAM Identity Center が認識しているユーザーやグループと連携できます。プロビジョニングは、IAM Identity Center と Identity Center 対応アプリケーションでユーザーとグループの情報を使用できるようにするプロセスです。

IAM Identity Center でのプロビジョニングは、使用する ID ソースによって異なります。詳細については、「ID ソースを管理する」を参照してください。