翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
IAM アイデンティティセンターを使用した認証
ユーザーはユーザー名を使用して AWS アクセスポータルにサインインします。その際、IAM Identity Center は、ユーザーの E メールアドレスに関連付けられたディレクトリに基づいて、IAM Identity Center 認証サービスにリクエストをリダイレクトします。認証されると、 AWS アカウントとサードパーティー製の SaaS (Software as a Service) アプリケーションが、追加のサインインプロンプトなしでポータルに表示されて、それらへの単一サインオンアクセスが可能になります。つまり、ユーザーは、毎日使用するさまざまな割り当てられた AWS アプリケーションの複数のアカウント認証情報を追跡する必要がなくなります。
認証セッション
IAM Identity Center によって維持される認証セッションには、ユーザーの IAM Identity Center へのサインインを表すものと、Amazon SageMaker AI Studio や Amazon Managed Grafana などの AWS マネージドアプリケーションへのユーザーのアクセスを表すものの 2 種類があります。ユーザーが IAM アイデンティティセンターにサインインするたびに、IAM アイデンティティセンターで設定した期間 (最大 90 日間) のサインインセッションが作成されます。詳細については、「AWS アクセスポータルと IAM アイデンティティセンター統合アプリケーションのセッション期間を設定する」を参照してください。ユーザーがアプリケーションにアクセスするたびに、IAM アイデンティティセンターサインインセッションを使用して、そのアプリケーションのアプリケーションセッションが取得されます。IAM Identity Center アプリケーションセッションの有効期間は 1 時間で、リフレッシュできます。ですので、IAM Identity Center アプリケーションセッションは、取得元の IAM Identity Center サインインセッションが有効である限り、1 時間ごとに自動的に更新されます。ユーザーが AWS アクセスポータルを使用してサインアウトすると、ユーザーのサインインセッションは終了します。アプリケーションがその後セッションを更新すると、アプリケーションセッションは終了します。
ユーザーが IAM アイデンティティセンターを使用して AWS Management Console または CLI にアクセスする場合、IAM アイデンティティセンターのサインインセッションを使用して、対応する IAM アイデンティティセンターのアクセス許可セットで指定されている IAM セッションを取得します (具体的には、IAM アイデンティティセンターがターゲットアカウントで管理する IAM ロールを引き受けます)。IAM セッションは、無条件に、権限セットで指定された時間だけ持続します。
注記
IAM アイデンティティセンターは、ID ソースとして機能する ID プロバイダーが開始する SAML Single Logout をサポートしていません。また、IAM アイデンティティセンターを Identity プロバイダーとして使用する SAML アプリケーションに SAML Single Logout を送信することもありません。
IAM Identity Center でユーザーを無効または削除するとすぐに、そのユーザーは新しい IAM Identity Center のサインインできなくなり、セッションが作成されません。IAM Identity Center サインインセッションは 1 時間キャッシュされます。ですので、IAM Identity Center サインインセッションがアクティブな状態でユーザーを無効にしたり削除したりしても、そのユーザーの既存の IAM Identity Center サインインセッションは、サインインセッションが最後にリフレッシュされた時間に応じて、最大 1 時間まで継続されます。この間、ユーザーは新しい IAM Identity Center アプリケーションと IAM ロールセッションを開始することができます。
IAM Identity Center サインインセッションが終了すると、ユーザーは新しい IAM Identity Center アプリケーションまたは IAM ロールセッションを開始することができなくなります。IAM アイデンティティセンターアプリケーションのセッションは、最大 1 時間までキャッシュすることができ、IAM アイデンティティセンターサインインセッションが終了した後、ユーザーはアプリケーションへのアクセスを最大 1 時間まで保持することができます。既存の IAM ロールセッションは、IAM Identity Center アクセス権限セットで設定された持続時間 (管理者が設定可能、最大 12 時間) により継続されます。
以下の表は、これらの動作をまとめたものです。
| ユーザーエクスペリエンス/システム動作 | ユーザーが無効化または削除されてからの時間 |
|---|---|
| ユーザーが IAM Identity Center にサインインできなくなり、ユーザーが新しい IAM Identity Center サインインセッションを取得できません | なし (すぐに有効) |
| ユーザーが IAM Identity Center を介して新しいアプリケーションまたは IAM ロールのセッションを開始できなくなりました | 最長 1 時間 |
| ユーザーがアプリケーションにアクセスできなくなります (すべてのアプリケーションのセッションが終了します) | 最大 2 時間 (IAM アイデンティティセンターサインインセッションの有効期限は最大 1 時間、IAM アイデンティティセンターアプリケーションセッションの有効期限は最大 1 時間)。 |
| ユーザーは IAM Identity Center AWS アカウント 経由で にアクセスできなくなります | 最大 13 時間 (IAM Identity Center サインインセッションの有効期限が最大 1 時間、管理者が設定した IAM ロールのセッションの有効期限がアクセス権限セットの IAM Identity Center セッションの有効期限設定に応じて最大 12 時間)。 |
セッションの詳細については、「AWS アカウントのセッション期間を設定する」を参照してください。
トピック
