翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
IAM Identity Center とは何ですか?
AWS IAM Identity Center AWS のサービス AWS リソースへのヒューマンユーザーアクセスを管理する場合に推奨されます。workforce identities としても知られるワークフォースユーザーに複数の AWS アカウント およびアプリケーションへの一貫したアクセス許可を 1 か所から割り当てることができます。IAM ID センターは追加料金なしで提供されます。
IAM Identity Center を使用すると、従業員ユーザーを作成または接続し、すべてのユーザーやアプリケーションにわたるアクセスを一元管理できます。 AWS アカウント 「マルチアカウント権限」を使用してワークフォースユーザーに AWS アカウントへのアクセス権を割り当てることができます。アプリケーション割り当てを使用して、 AWS 管理対象アプリケーションと顧客管理型アプリケーションへのアクセス権をユーザーに割り当てることができます。
注記
AWS Single Sign-On というサービス名は廃止されましたが、このガイドでは、ユーザーが 1 回サインインして複数のアプリケーションや Web サイトにアクセスできるようにする認証スキームを説明するために、シングルサインオンという用語が今でも使用されています。
IAM アイデンティティセンター機能
IAM アイデンティティセンターには、次のコア機能と特徴が含まれています。
- ワークフォース ID の管理
-
AWS でワークロードを構築または操作するヒューマンユーザーは、ワークフォースユーザーまたはワークフォース ID とも呼ばれます。ワークフォースユーザーとは、 AWS アカウント 組織内や社内のビジネスアプリケーションでアクセスを許可する従業員または契約社員です。これらの個人は、社内システムや顧客向けシステムを構築する開発者でも、社内のデータベースシステムやアプリケーションのユーザーでもかまいません。IAM Identity Center でワークフォースユーザーとグループを作成したり、自社の ID ソースにある既存のユーザーやグループに接続して同期したりして、すべてのアプリケーションで使用することができます AWS アカウント 。詳細については、「ID ソースを管理する」を参照してください。
- IAM アイデンティティセンターのインスタンスの管理
-
IAM アイデンティティセンターは、組織インスタンスとアカウントインスタンスの 2 種類のインスタンスをサポートします。組織インスタンスはベストプラクティスです。 AWS アカウント アクセスを管理できるのはこのインスタンスだけであり、アプリケーションを本番環境で使用する場合すべてに推奨されます。 AWS Organizations 組織インスタンスは管理アカウントにデプロイされ、 AWS 環境全体のユーザーアクセスを一元的に管理できます。
アカウントインスタンスは、 AWS アカウント 有効化されたインスタンスにバインドされます。IAM Identity Center のアカウントインスタンスは、 AWS 特定の管理対象アプリケーションの個別のデプロイメントをサポートする場合にのみ使用してください。詳細については、「IAM アイデンティティセンターの組織インスタンスとアカウントインスタンスの管理」を参照してください。
- 複数へのアクセスを管理します。 AWS アカウント
-
マルチアカウント権限を使用すると、各アカウントを手動で設定しなくても、 AWS アカウント 複数のアカウントにわたる権限を一度に計画して一元的に実装できます。一般的な職務に基づいてアクセス許可を作成したり、セキュリティニーズを満たすカスタム権限を定義したりすることができます。その後、それらの権限をワークフォースユーザーに割り当て、特定のアカウントに対するアクセスを制御できます。
このオプション機能は組織インスタンスでのみ使用できます。お使いの環境でアカウントごとの IAM ロール管理を使用している場合は、両方のシステムを共存させることができます。マルチアカウントアクセス許可を試してみたい場合は、このシステムを限定的に実装することから始め、時間の経過とともに、より多くの環境を移行してこのシステムを使用できます。
- アプリケーションへのアクセスの管理
-
IAM アイデンティティセンターを使用すると、アプリケーションのアクセス管理を簡素化できます。IAM アイデンティティセンターを利用すると、IAM アイデンティティセンターのワークフォースユーザーにアプリケーションへのシングルサインオンのアクセス許可を付与できます。
- AWS 管理対象アプリケーション
-
AWS には Amazon Redshift、Amazon Managed Grafana や Amazon Monitron などの IAM アイデンティティセンターと統合されるアプリケーションが含まれています。これらのアプリケーションでは IAM アイデンティティセンターを使用して、認証、ディレクトリサービス、信頼できる ID の伝播を行うことができます。ユーザーは一貫したシングルサインオンのエクスペリエンスの恩恵を受けます。また、アプリケーションはユーザー、グループ、およびグループメンバーシップに関する共通のビューを共有するため、ユーザーはアプリケーションリソースを他のユーザーと共有する際にも一貫したエクスペリエンスを得ることができます。 AWS マネージドアプリケーションを IAM Identity Center と連携するように設定して、関連するアプリケーションコンソール内から直接、または API を介して行うことができます。
- カスタマーマネージドアプリケーション
-
IAM アイデンティティセンターのワークフォースユーザーに、SAML 2.0 による ID フェデレーションをサポートするアプリケーションへのシングルサインオンのアクセス許可を付与できます。Salesforce や Microsoft 365 など、一般的に使用されている SAML 2.0 アプリケーションの多くは IAM アイデンティティセンターと連携し、IAM アイデンティティセンターのコンソールのアプリケーションカタログで利用できます。これはオプション機能で、このようなアプリケーションを使用して IAM アイデンティティセンターでユーザーとグループを作成する場合や、ID ソースとして Microsoft Active Directory ドメインサービスを使用する場合に役立ちます。
- アプリケーション間での信頼されたアイデンティティのプロパゲーション
-
信頼できる ID の伝達により、サービス内のデータへのアクセスを必要とするクエリツールやビジネスインテリジェンス (BI) アプリケーションのユーザーに、効率的なシングルサインオン操作が可能になります。 AWS データアクセス管理はユーザーの ID に基づいているため、管理者はユーザーの既存のユーザーやグループのメンバーシップに基づいてアクセスを許可できます。 AWS サービスやその他のイベントへのユーザーアクセスは、 CloudTrail サービス固有のログとイベントに記録されるため、監査人はユーザーがどのようなアクションをとり、どのリソースにアクセスしたかを把握できます。
- AWS ユーザはポータルにアクセスできます。
-
AWS アクセスポータルは、 AWS アカウント ユーザーが割り当てられたものやアプリケーションすべてにシームレスにアクセスできるようにするシンプルな Web ポータルです。
IAM Identity Center の名称変更
2022 年 7 月 26 日、 AWS シングルサインオンはに名称が変更されました。 AWS IAM Identity Center既存のお客様向けに、名前変更に伴って本ガイド全体で更新された、より一般的な用語の変更の一部を以下の表にまとめました。
旧用語 | 現在の用語 |
---|---|
AWS SSO ユーザーまたは SSO ユーザー | ワークフォースユーザーまたはユーザー |
AWS SSO ユーザーポータルまたはユーザーポータル | AWS アクセスポータル |
AWS SSO 統合アプリケーション | AWS マネージドアプリケーション |
AWS SSO ディレクトリ | Identity Center ディレクトリ |
AWS SSO ストアまたは AWS SSO アイデンティティストア | IAM Identity Center の使用する Identity Store |
次の表は、この名前変更に伴って発生したユーザー、開発者、API リファレンスガイドの該当する名前変更を示しています。
レガシーガイド | 現在のガイド |
---|---|
AWS シングルサインオンユーザーガイド | IAM Identity Center ユーザーガイド |
AWS シングル・サインオン (SCIM) 実装開発者ガイド | IAM Identity Center SCIM 実装開発者ガイド |
AWS シングル・サインオン API リファレンス・ガイド | IAM Identity Center API リファレンス |
AWS シングルサインオン ID ストア API リファレンスガイド | Identity Center API リファレンス |
AWS シングルサインオン OIDC API リファレンスガイド | IAM Identity Center OIDC API リファレンス |
AWS シングル・サインオン・ポータル API リファレンス・ガイド | IAM Identity Center ポータル API リファレンス |
レガシー名前空間は変わりません。
sso
および identitystore
API 名前空間、および以下の関連名前空間は、下位互換性を保つため変更されていません。
-
CLI コマンド
-
AWSSSO
とAWSIdentitySync
プレフィックスを含む管理ポリシー -
sso
とidentitystore
を含むサービスエンドポイント -
AWS::SSO
プレフィックスを含む AWS CloudFormation リソース -
AWSServiceRoleForSSO
を含むサービスにリンクされたロール -
sso
とsinglesignon
を含むコンソール URL -
singlesignon
を含むドキュメンテーション URL