翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# Quick でのフェデレーティッドユーザーの E メール同期の設定
| |
| --- |
| 適用対象: Enterprise Edition |
| |
| --- |
| 対象者: システム管理者と Amazon Quick 管理者 |
**注記**
IAM ID フェデレーションは、ID プロバイダーグループと Amazon Quick の同期をサポートしていません。
Amazon Quick Enterprise Edition では、管理者として、ID プロバイダー (IdP) を介して Quick に直接プロビジョニングするときに、新しいユーザーが個人の E メールアドレスを使用することを制限できます。Quick は、アカウントに新しいユーザーをプロビジョニングするときに、IdP を介して渡される事前設定された E メールアドレスを使用します。例えば、IdP を介してユーザーが Amazon Quick アカウントにプロビジョニングされたときに、企業に割り当てられた E メールアドレスのみが使用されるようにすることができます。
**注記**
ユーザーが IdP を介して Amazon Quick に直接フェデレーションしていることを確認します。IdP AWS マネジメントコンソール を介して にフェデレーションし、Amazon Quick をクリックするとエラーが発生し、Amazon Quick にアクセスできなくなります。
Amazon Quick でフェデレーティッドユーザーの E メール同期を設定すると、Amazon Quick アカウントに初めてログインするユーザーに E メールアドレスが事前に割り当てられます。これらのアドレスは、ユーザーのアカウントの登録に使用されます。この方法では、ユーザーはメールアドレスを入力することで手動でバイパスすることができる。また、管理者が指定したメールアドレスと異なるメールアドレスを使用することはできません。
Amazon Quick は、SAML または OpenID Connect (OIDC) 認証をサポートする IdP を介したプロビジョニングをサポートしています。IdP 経由でのプロビジョニング時における新規ユーザー用の E メールアドレスを設定するには、新規ユーザーが `AssumeRoleWithSAML` または `AssumeRoleWithWebIdentity` で使用する IAM ロールの信頼関係を更新します。その後、新規ユーザーの IdP に SAML 属性または OIDC トークンを追加します。最後に、Amazon Quick でフェデレーティッドユーザーの E メール同期を有効にします。
以下の手順では、これらのステップが詳しく説明されています。
## ステップ 1: AssumeRoleWithSAML または AssumeRoleWithWebIdentity で IAM ロールの信頼関係を更新する
IdP 経由で Amazon Quick にプロビジョニングするときに使用する E メールアドレスを設定できます。これを行うには、`AssumeRoleWithSAML` または `AssumeRoleWithWebIdentity` で使用する IAM ロールの信頼関係に `sts:TagSession` アクションを追加します。そうすることで、ユーザーがロールを引き受けるときに `principal` タグを渡すことができます。
以下は、IdP が Okta である更新済みの IAM ロールの例です。この例を使用するには、サービスプロバイダー用の Amazon リソースネーム (ARN) で `Federated` ARN を更新します。赤の項目は、 AWS および IdP サービス固有の情報に置き換えることができます。
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Federated": "arn:aws:iam::account-id:saml-provider/Okta"
},
"Action": "sts:AssumeRoleWithSAML",
"Condition": {
"StringEquals": {
"SAML:aud": "https://signin.aws.amazon.com/saml"
}
}
},
{
"Effect": "Allow",
"Principal": {
"Federated": "arn:aws:iam::account-id:saml-provider/Okta"
},
"Action": "sts:TagSession",
"Condition": {
"StringLike": {
"aws:RequestTag/Email": "*"
}
}
}
]
}
```
## ステップ 2: IdP の IAM プリンシパルタグに SAML 属性または OIDC トークンを追加する
上記の説明どおりに IAM ロールの信頼関係を更新したら、IdP の IAM `Principal` タグに SAML 属性または OIDC トークンを追加します。
以下は、SAML 属性と OIDC トークンの例です。これらの例を使用するには、E メールアドレスを、ユーザーの E メールアドレスをポイントする IdP 内の変数に置き換えてください。赤色で強調表示されている項目は、独自の情報に置き換えることができます。
+ **SAML 属性**: 以下は、SAML 属性の例です。
```
john.doe@example.com
```
**注記**
IdP として Okta を使用している場合は、SAML をするために Okta ユーザーアカウントで機能フラグをオンにするようにしてください。詳細については、[Okta ブログの「Okta と AWS Partner to Simplify Access Via Session Tags](https://www.okta.com/blog/2019/11/okta-and-aws-partner-to-simplify-access-via-session-tags/)」を参照してください。
+ **OIDC トークン**: 以下は、OIDC トークンの例です。
```
"https://aws.amazon.com/tags": {"principal_tags": {"Email": ["john.doe@example.com"]
```
## ステップ 3: Amazon Quick でフェデレーティッドユーザーの E メール同期を有効にする
上記の説明どおり、IAM ロールの信頼関係を更新して、IdP の IAM `Principal` タグに SAML 属性または OIDC トークンを追加します。次に、次の手順で説明されているように、Amazon Quick でフェデレーティッドユーザーの E メール同期を有効にします。
**フェデレーティッドユーザーに対する E メール同期を有効にする**
1. Amazon Quick の任意のページから、右上のユーザー名を選択し、**Amazon Quick の管理**を選択します。
1. 左側のメニューで **[Single sign-on (IAM フェデレーション)]** をクリックします。
1. **[サービスプロバイダ主導の IAM フェデレーション]** ページで、**[連携ユーザーの電子メール同期]** で **[オン]** を選択します。
フェデレーティッドユーザーの E メール同期がオンの場合、Amazon Quick は、アカウントに新しいユーザーをプロビジョニングするときに、ステップ 1 と 2 で設定した E メールアドレスを使用します。ユーザーが独自の E メールアドレスを入力することはできません。
フェデレーティッドユーザーの E メール同期がオフの場合、Amazon Quick は、アカウントに新しいユーザーをプロビジョニングするときに、E メールアドレスを手動で入力するようユーザーに求めます。ユーザーは、任意の E メールアドレスを使用できます。