Active Directory を ID ソースとして使用する - AWS IAM Identity Center

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Active Directory を ID ソースとして使用する

Active Directory (AD) で AWS Directory Service を使用する AWS Managed Microsoft AD ディレクトリまたは自己管理型ディレクトリのいずれかでユーザーを管理している場合は、それらのユーザーと連携するように IAM アイデンティティセンターの ID ソースを変更できます。IAM アイデンティティセンターを有効にして ID ソースを選択するときは、この ID ソースを接続することを検討することをお勧めします。デフォルトの Identity Center ディレクトリでユーザーやグループを作成する前に接続しておくと、後から ID ソースを変更する場合に必要となる追加の設定を回避できます。

Active Directory を ID ソースとして使用するには、設定は次の前提条件を満たす必要があります。

  • AWS Managed Microsoft AD を使用している場合は、AWS Managed Microsoft AD ディレクトリが設定されている場所と同じ AWS リージョン で IAM Identity Center を有効にする必要があります。IAM Identity Center では、割り当てデータに関するディレクトリと同じリージョンに保存されます。IAM Identity Center を管理するには、IAM Identity Center が設定されているリージョンに切り替える必要がある場合があります。また、AWS のアクセスポータルでは、ディレクトリと同じアクセス URL が使用されます。

  • 管理アカウントにある Active Directory を使用してください。

    既存の AD コネクタまたは AWS Managed Microsoft AD ディレクトリが AWS Directory Service に設定されており、AWS Organizations 管理アカウント内に存在する必要があります。一度に接続できる AD Connector ディレクトリは 1 つか、ディレクトリは AWS Managed Microsoft AD 1 つだけです。複数のドメインやフォレストをサポートする必要がある場合は、AWS Managed Microsoft AD を使用してください。詳細については、以下を参照してください。

  • 委任された管理者アカウントにある Active Directory を使用してください。

    IAM アイデンティティセンター委任管理者を有効にし、IAM アイデンティティセンターの ID ソースとして Active Directory を使用する予定の場合は、委任された管理者アカウントにある AWS ディレクトリに設定された既存の AD Connector または AWS Managed Microsoft AD ディレクトリを使用できます。

    IAM Identity Center ID ソースを他のソースから Active Directory に変更するか、Active Directory から他のソースに変更する場合、そのディレクトリは IAM Identity Center 委任管理者メンバーアカウント (存在する場合) に存在する (所有されている) 必要があります。それ以外の場合は、管理アカウントに含まれている必要があります。

このチュートリアルでは、Active Directory を IAM アイデンティティセンターの ID ソースとして使用するための基本設定について説明します。

すでに Active Directory を使用している場合は、以下のトピックがディレクトリを IAM アイデンティティセンターに接続する準備に役立ちます。

注記

セキュリティのベストプラクティスとして、多要素認証を有効にすることを強くお勧めします。Active Directory 内の AWS Managed Microsoft AD ディレクトリまたは自己管理型ディレクトリを接続する予定で、RADIUS MFA を AWS Directory Service と一緒に使用していない場合は、IAM Identity Center で MFA を有効にします。

AWS Managed Microsoft AD

  1. に接続する Microsoft AD directory のガイダンスを確認してください。

  2. のディレクトリ AWS Managed Microsoft AD を IAM Identity Center に接続する」の手順を実行します。

  3. 管理者権限を付与したいユーザーを IAM Identity Center と同期するように Active Directory を設定します。詳細については、「管理ユーザーを IAM Identity Center に同期する」を参照してください。

Active Directory 内の自己管理型ディレクトリ

  1. に接続する Microsoft AD directory のガイダンスを確認してください。

  2. Active Directory のセルフマネージドディレクトリを IAM Identity Center に接続する」の手順を実行します。

  3. 管理者権限を付与したいユーザーを IAM Identity Center と同期するように Active Directory を設定します。詳細については、「管理ユーザーを IAM Identity Center に同期する」を参照してください。

ディレクトリを IAM Identity Center に接続したら、管理権限を付与するユーザーを指定し、そのユーザーをディレクトリから IAM Identity Center に同期できます。

  1. IAM Identity Center コンソール を開きます。

  2. [設定] を選択します。

  3. [設定]ページで[ID ソース]タブを選択し、[アクション]を選択し、[同期を管理] を選択します。

  4. [同期の管理] ページで、[ユーザー] タブを選択し、[ユーザーとグループの追加] を選択します。

  5. [ユーザー] タブの [ユーザー] に正確なユーザー名を入力し、[追加] を選択します。

  6. [追加されたユーザーとグループ] で、次の操作を行います。

    1. 管理者権限を付与するユーザーが指定されていることを確認します。

    2. ユーザー名の左側にあるチェックボックスをオンにします。

    3. [送信] を選択します。

  7. [同期の管理] ページで、指定したユーザーが同期対象のユーザーリストに表示されます。

  8. ナビゲーションペインで [Users (ユーザー)] を選択します。

  9. [ユーザー] ページでは、指定したユーザーがリストに表示されるまでに時間がかかる場合があります。ユーザーリストを更新するには、[更新] アイコンをクリックします。

この時点では、ユーザーは管理アカウントにアクセスできません。このアカウントへの管理アクセスを設定するには、管理アクセス権限セットを作成し、そのアクセス権限セットにユーザを割り当てます。詳細については、「ジョブ関数の権限セットを作成する」を参照してください。