SCIM で SAMLと を設定する Google Workspace および IAM Identity Center - AWS IAM Identity Center
考慮事項ステップ 1: Google Workspace: SAMLアプリケーションを設定するステップ 2: IAM アイデンティティセンターと Google Workspace: IAM Identity Center アイデンティティソースとセットアップを変更する Google Workspace SAML ID プロバイダーとしてステップ 3: Google Workspace: アプリを有効にするステップ 4: IAM アイデンティティセンター: IAMアイデンティティセンターの自動プロビジョニングを設定するステップ 5: Google Workspace: 自動プロビジョニングを設定するアクセスコントロールの属性を渡す - オプションへのアクセスを割り当てる AWS アカウント次のステップトラブルシューティング

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

SCIM で SAMLと を設定する Google Workspace および IAM Identity Center

組織が を使用している場合 Google Workspace からユーザーを統合できます。Google Workspace を IAM Identity Center に追加して、 AWS リソースへのアクセスを許可します。Identity Center ID ソースをデフォルトの IAM Identity IAM Center ID ソースから に変更することで、この統合を実現できます。Google Workspace.

からのユーザー情報 Google Workspace は、クロスドメイン IAM ID 管理 (SCIM) 2.0 プロトコルの System for Cross-Domain Identity Management を使用して Identity Center に同期されます。詳細については、「外部 ID プロバイダーで SAML および SCIM ID フェデレーションを使用する」を参照してください。

この接続は で設定します。Google Workspace IAM Identity Center と IAM Identity Center ベアラートークンにSCIMエンドポイントを使用する。同期を設定するときは、 SCIM でユーザー属性のマッピングを作成します。Google Workspace IAM Identity Center の名前付き属性への 。このマッピングは、IAMIdentity Center と の間で想定されるユーザー属性と一致します。Google Workspace。 これを行うには、 をセットアップする必要があります。Google Workspace IAM ID プロバイダーおよび IAM Identity Center ID プロバイダーとして。

目的

このチュートリアルのステップは、 間のSAML接続を確立する手順に役立ちます。Google Workspace および AWS。後で、 からユーザーを同期します。Google Workspace SCIM の使用 すべてが正しく設定されていることを確認するには、設定ステップを完了した後、 としてサインインします。Google Workspace AWS リソースへのアクセスをユーザーおよび検証します。このチュートリアルは、小さな Google Workspace ディレクトリテスト環境。グループや組織単位などのディレクトリ構造はこのチュートリアルには含まれていません。このチュートリアルを完了すると、ユーザーは を使用して AWS アクセスポータルにアクセスできます。Google Workspace 認証情報。

注記

の無料トライアルにサインアップするには Google Workspace にアクセスする Google Workspace 上の Google's ウェブサイト。

IAM Identity Center をまだ有効にしていない場合は、「」を参照してくださいの有効化 AWS IAM Identity Center

考慮事項

  • 間でSCIMプロビジョニングを設定する前に Google Workspace と IAM Identity Center については、まず「」を確認することをお勧めします自動プロビジョニングを使用する際の注意事項

  • SCIM からの自動同期 Google Workspace は現在、ユーザープロビジョニングに限定されています。現在、自動グループプロビジョニングはサポートされていません。グループは、 AWS CLI Identity Store の create-group コマンドまたは AWS Identity and Access Management (IAM) API を使用して手動で作成できますCreateGroup。または、ssosync を使用して同期することもできます。Google Workspace ユーザーとグループを IAM Identity Center に入力します。

  • 毎 Google Workspace ユーザーは、ユーザー名表示名の値を指定する必要があります。

  • 各 Google Workspace ユーザーには、E メールアドレスや電話番号など、データ属性ごとに 1 つの値しかありません。複数の値を持つユーザーは同期に失敗します。属性に複数の値を持つユーザーがいる場合は、IAMアイデンティティセンターでユーザーのプロビジョニングを試みる前に、重複する属性を削除します。例えば、同期できる電話番号属性は 1 つだけです。デフォルトの電話番号属性は「勤務先の電話」なので、ユーザーの電話番号が自宅の電話でも携帯電話でも、「勤務先の電話」属性を使用してユーザーの電話番号を保存します。

  • ユーザーが IAM Identity Center で無効になっているが、 でアクティブな場合、属性は引き続き同期されます。Google Workspace.

  • Identity Center ディレクトリに同じユーザー名とパスワードを持つ既存のユーザーがいる場合、そのユーザーは SCIMから を使用して上書きおよび同期されます。Google Workspace.

  • ID ソースを変更する場合は、追加の考慮事項があります。詳細については、「IAM Identity Center から外部 IdP への変更」を参照してください。

ステップ 1: Google Workspace: SAMLアプリケーションを設定する

  1. にサインインする Google スーパー管理者権限を持つアカウントを使用した管理者コンソール

  2. の左側のナビゲーションパネル Google 管理者コンソールで、アプリを選択し、ウェブアプリとモバイルアプリを選択します。

  3. [アプリの追加] ドロップダウンリストで、[アプリの検索] を選択します。

  4. 検索ボックスに「Amazon Web Services」と入力し、リストから Amazon Web Services (SAML) アプリを選択します。

  5. リポジトリの [] Google ID プロバイダーの詳細 - Amazon Web Services ページでは、次のいずれかを実行できます。

    1. IdP メタデータをダウンロードします。

    2. SSO URL、エンティティ IDURL、および証明書情報をコピーします。

    ステップ 2 では、 XML ファイルまたはURL情報のいずれかが必要です。

  6. の次のステップに進む前に Google 管理者コンソールで、このページを開いたままにして IAM Identity Center コンソールに移動します。

ステップ 2: IAM アイデンティティセンターと Google Workspace: IAM Identity Center アイデンティティソースとセットアップを変更する Google Workspace SAML ID プロバイダーとして

  1. 管理者権限を持つロールを使用して IAM Identity Center コンソールにサインインします。

  2. 左側のナビゲーションペインの [設定] を選択します。

  3. [設定] ページで [アクション] タブを選択し、[ID ソースを変更] を選択します。

    • IAM Identity Center を有効にしていない場合は、の有効化 AWS IAM Identity Center「」で詳細を確認してください。Identity IAM Center を初めて有効にしてアクセスすると、ダッシュボードが表示され、ID ソースの選択を選択できます。

  4. [ID ソースを選択] ページで [外部 ID プロバイダー] を選択したら、[次へ] を選択します。

  5. [外部 ID プロバイダーの設定] ページが開きます。このページと を完了するには Google Workspace ステップ 1 の ページでは、以下を完了する必要があります。

    1. Identity IAM Center コンソールの Identity Provider metadata セクションで、次のいずれかを実行する必要があります。

      1. をアップロードする Google SAML IAM Identity Center コンソールの IdP SAMLメタデータとしての メタデータ

      2. をコピーして貼り付ける Google SSO URL IdP サインインURLフィールドに Google URL IdP 発行者フィールドに発行URL者を入力し、 Google IdP 証明書としての証明書。 IdP

  6. を指定した後 Google アイデンティティIAMセンターコンソールのアイデンティティプロバイダーメタデータセクションの メタデータで、IAMアイデンティティアサーションコンシューマーサービス (ACS) URLIAMアイデンティティセンター発行者 URLをコピーします。これらを URLsで指定する必要があります。Google 次のステップの管理者コンソール。

  7. IAM Identity Center コンソールでページを開いたままにして、Google 管理者コンソール。[Amazon Web Services - サービスプロバイダーの詳細] ページが開いているはずです。[Continue] (続行) をクリックします。

  8. サービスプロバイダーの詳細ページで、 ACSURLエンティティ ID の値を入力します。これらの値は前のステップでコピーしたので、IAMIdentity Center コンソールで確認できます。

    • IAM Identity Center Assertion Consumer Service (ACS) URLACSURLフィールドに貼り付ける

    • IAM アイデンティティセンター発行者URLエンティティ ID フィールドに貼り付けます。

  9. [サービスプロバイダーの詳細] ページで、[名前 ID] のフィールドに次のように入力します。

    • 名前 ID 形式 で、 を選択します。 EMAIL

    • [名前 ID] で、[基本情報] > [プライマリ E メールアドレス] を選択します。

  10. [Continue](続行) を選択します。

  11. 属性マッピングページの属性で を選択しADDMAPPING、 でこれらのフィールドを設定します。 Google ディレクトリ属性

    • https://aws.amazon.com/SAML/Attributes/RoleSessionName アプリ属性で、 から基本情報、プライマリ E メールのフィールドを選択します。 Google Directory 属性

    • https://aws.amazon.com/SAML/Attributes/Role アプリ属性で、任意の Google Directory 属性。A Google ディレクトリ属性は Department にすることができます。

  12. [終了] を選択します

  13. IAM Identity Center コンソールに戻り、へを選択します。確認と確認ページで情報を確認し、表示されたスペースACCEPTに を入力します。[IDソースの変更] を選択します。

これで、 で Amazon Web Services アプリを有効にする準備ができました。Google Workspace これにより、ユーザーは IAM Identity Center にプロビジョニングされます。

ステップ 3: Google Workspace: アプリを有効にする

  1. に戻る Google 管理コンソールと AWS IAM Identity Center アプリケーション。アプリ、ウェブ、モバイルアプリにあります。

  2. [ユーザーアクセス] の横にある [ユーザーアクセス] パネルで、下矢印を選択して [ユーザーアクセス] を展開し、[サービスのステータス] パネルを表示します。

  3. サービスステータスパネルで、すべてのユーザーに対してオンを選択し、 を選択しますSAVE

注記

最小特権の原則を維持するために、このチュートリアルを完了したら、OFFすべてのユーザーに対してサービスステータスを に変更することをお勧めします。 AWS にアクセスする必要のあるユーザーのみに対して、このサービスを有効にしてください。以下を使用できます..。Google Workspace 特定のユーザーのサブセットへのアクセス権をユーザーに付与する グループまたは組織単位。

ステップ 4: IAM アイデンティティセンター: IAMアイデンティティセンターの自動プロビジョニングを設定する

  1. IAM Identity Center コンソールに戻ります。

  2. [設定] ページで、[自動プロビジョニング] 情報ボックスを探し、[有効化] を選択します。これにより、IAMIdentity Center の自動プロビジョニングがすぐに有効になり、必要なSCIMエンドポイントとアクセストークンの情報が表示されます。

  3. [インバウンド自動プロビジョニング] ダイアログボックスで、以下のオプションの値をそれぞれコピーします。このチュートリアルのステップ 5 では、これらの値を入力して、 で自動プロビジョニングを設定します。Google Workspace.

    1. SCIM エンドポイント - https://scim.us-east-2.amazonaws.com/11111111111-2222-3333-4444-555555555555/scim/v2 など

    2. [アクセストークン] - [トークンを表示] を選択して値をコピーします。

    警告

    これは、SCIMエンドポイントとアクセストークンを取得できる唯一の時間です。先に進む前に、これらの値をコピーしておいてください。

  4. [閉じる] を選択します。

    Identity IAM Center コンソールでプロビジョニングを設定したので、次のステップでは、 で自動プロビジョニングを設定します。Google Workspace.

ステップ 5: Google Workspace: 自動プロビジョニングを設定する

  1. に戻る Google 管理者コンソールと AWS IAM Identity Center アプリケーション。アプリ、ウェブアプリ、モバイルアプリにあります。 [自動プロビジョニング] セクションで、[自動プロビジョニングの設定] を選択します。

  2. 前の手順では、IAMIdentity Center コンソールでアクセストークン値をコピーしました。その値を [アクセストークン] フィールドに貼り付け、[続行] を選択します。また、前の手順では、IAMIdentity Center コンソールでSCIMエンドポイント値をコピーしました。その値を Endpoint URL フィールドに貼り付け、続行を選択します。

  3. 必須の IAM Identity Center 属性 (* でマークされたもの) がすべて にマッピングされていることを確認します。Google Cloud Directory 属性。そうでない場合は、下矢印を選択して適切な属性にマップします。[Continue](続行) を選択します。

  4. プロビジョニングスコープセクションでは、Google Workspace Amazon Web Services アプリへのアクセスを提供する ディレクトリ。このステップをスキップして [続行] を選択します。

  5. [プロビジョニング解除] セクションでは、ユーザーのアクセス権取り消しにつながるさまざまなイベントへの対応方法を選択できます。状況ごとに、プロビジョニング解除を開始するまでの時間を指定できます。

    • 24 時間以内

    • 1 日後

    • 7 日後

    • 30 日後

    それぞれの状況には、アカウントのアクセスを一時停止するタイミングとアカウントを削除するタイミングがあります。

    ヒント

    ユーザーのアカウントを削除するまでの時間は、必ずユーザーのアカウントを停止するよりも長く設定してください。

  6. [完了] を選択します。Amazon Web Services アプリページに戻ります。

  7. [自動プロビジョニング] セクションで、トグルスイッチを操作して [非アクティブ] から [アクティブ] に変更します。

    注記

    IAM Identity Center がユーザーに対してオンになっていない場合、アクティベーションスライダーは無効になります。[ユーザーアクセス] を選択し、アプリをオンにしてスライダーを有効にします。

  8. 確認ダイアログボックスで [オンにする] をクリックします。

  9. ユーザーが IAM Identity Center に正常に同期されていることを確認するには、IAMIdentity Center コンソールに戻り、selectUsers を選択します。ユーザーページには、 のユーザーが一覧表示されます。Google Workspace によって作成された ディレクトリSCIM。ユーザーがまだリストに表示されていない場合は、プロビジョニングがまだ進行中である可能性があります。プロビジョニングには最長で 24 時間かかることがありますが、ほとんどの場合、数分以内に完了します。ブラウザウィンドウは数分おきに更新してください。

    ユーザーを選択し、その詳細を確認します。情報は、Google Workspace ディレクトリ。

お疲れ様でした。

間のSAML接続が正常にセットアップされました。Google Workspace と AWS および は、自動プロビジョニングが機能していることを確認しました。これらのユーザーを IAM Identity Center のアカウントとアプリケーションに割り当てることができるようになりました。このチュートリアルでは、次のステップで、管理アカウントに管理者権限を付与して、いずれかのユーザーを IAM Identity Center 管理者として指定します。

アクセスコントロールの属性を渡す - オプション

オプションで IAM Identity Center アクセスコントロールの属性の機能を使用して、 Name 属性を に設定した Attribute要素を渡すことができますhttps://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey}。この要素を使用すると、SAMLアサーションでセッションタグとして属性を渡すことができます。セッションタグの詳細については、「 ユーザーガイド」の「 でのセッションタグの受け AWS STS渡し」を参照してください。 IAM

属性をセッションタグとして渡すには、タグの値を指定する AttributeValue 要素を含めます。例えば、タグのキーバリューのペア CostCenter = blue を渡すには、次のような属性を使用します。

<saml:AttributeStatement>
<saml:Attribute Name="https://aws.amazon.com/SAML/Attributes/AccessControl:CostCenter">
<saml:AttributeValue>blue
</saml:AttributeValue>
</saml:Attribute>
</saml:AttributeStatement>

複数の属性を追加する必要がある場合は、各タグに個別の Attribute 要素を含めます。

へのアクセスを割り当てる AWS アカウント

以下の手順は、 へのアクセス AWS アカウント のみを許可するためにのみ必要です。これらのステップは、 AWS アプリケーションへのアクセスを許可するためには必要ありません。

ステップ 1: IAM Identity Center: Grant Google Workspace ユーザーによる アカウントへのアクセス

  1. IAM Identity Center コンソールに戻ります。IAM Identity Center ナビゲーションペインのマルチアカウントアクセス許可で、 を選択しますAWS アカウント

  2. AWS アカウント ページの [組織構造] には、組織のルートと、その下にあるアカウントが階層内で表示されます。管理アカウントのチェックボックスをオンにし、[ユーザーまたはグループを割り当て] を選択します。

  3. [ユーザーとグループを割り当てる] のワークフローが表示されます。これは、3 つのステップから構成されています。

    1. [ステップ 1: ユーザーとグループの選択] では、管理者の職務を実行するユーザーを選択します。次いで、[次へ] を選択します。

    2. [ステップ 2: アクセス許可セットの選択] では、[許可セットを作成] を選択します。新しいタブが開き、アクセス許可セットを作成するための 3 つのサブステップが順を追って表示されます。

      1. [ステップ 1: 許可セットタイプを選択] では、以下を完了します。

        • [許可セットのタイプ] で、[事前定義された許可セット] を選択します。

        • 事前定義されたアクセス許可セットのポリシーで、 を選択しますAdministratorAccess

        [Next (次へ)] を選択します。

      2. [ステップ 2: 許可セットの詳細を指定] では、デフォルト設定のままで、[次へ] を選択します。

        デフォルト設定では、セッション期間を 1 時間に設定した という名前AdministratorAccessのアクセス許可セットが作成されます。

      3. ステップ 3: 確認して作成するには、アクセス許可セットタイプが AWS 管理ポリシー を使用していることを確認しますAdministratorAccess。[Create] (作成) を選択します。[アクセス許可セット] ページに、アクセス許可セットが作成されたことを知らせる通知が表示されます。この時点で、ウェブブラウザでこのタブを閉じてもかまいません。

      4. [ユーザーとグループを割り当てる] ブラウザタブでは、[ステップ 2: 許可セットを選択] でアクセス許可セットの作成ワークフローを開始した状態のままになっています。

      5. [アクセス許可セット] 領域で、[更新] ボタンを選択します。作成したAdministratorAccessアクセス許可セットがリストに表示されます。そのアクセス許可セットのチェックボックスを選択したら、[次へ] を選択します。

    3. [ステップ 3: 確認と送信] では、選択したユーザーとアクセス許可セットを確認し、[送信] を選択します。

      ページが更新され、 AWS アカウント が設定されているというメッセージが表示されます。プロセスが完了するまで待ちます。

      AWS アカウント ページに戻ります。通知メッセージは、 AWS アカウント が再プロビジョニングされ、更新されたアクセス許可セットが適用されたことを通知します。ユーザーがサインインすると、AdministratorAccessロールを選択するオプションが表示されます。

      注記

      SCIM からの自動同期 Google Workspace はユーザーのプロビジョニングのみをサポートします。現在、自動グループプロビジョニングはサポートされていません。のグループを作成することはできません。Google Workspace を使用する ユーザー AWS Management Console。ユーザーをプロビジョニングした後、 AWS CLI Identity Store の create-group コマンドまたは IAM API を使用してグループを作成できますCreateGroup

ステップ 2: Google Workspace: 確認 Google Workspace ユーザーが AWS リソースにアクセスする

  1. にサインインする Google テストユーザーアカウントを使用する。にユーザーを追加する方法を学ぶには Google Workspace、「」を参照してください。 Google Workspace ドキュメント

  2. を選択する Google apps ランチャー (ワッフル) アイコン。

  3. カスタムのアプリリストの一番下までスクロールします。Google Workspace アプリケーションが配置されている。Amazon Web Services アプリが表示されます。

  4. Amazon Web Services アプリを選択します。 AWS アクセスポータルにサインインすると、 AWS アカウント アイコンが表示されます。そのアイコンを展開すると、 AWS アカウント ユーザーがアクセスできる のリストが表示されます。このチュートリアルでは 1 つのアカウントしか使用していなかったため、アイコンを展開しても 1 つのアカウントしか表示されません。

  5. アカウントを選択すると、そのユーザーが利用可能なアクセス許可セットが表示されます。このチュートリアルでは、アクセスAdministratorAccess許可セットを作成しました。

  6. アクセス許可セットの横には、その許可セットで利用できるアクセスの種類を示すリンクがあります。アクセス許可セットを作成したときに、管理コンソールとプログラムによるアクセスの両方を有効にするように指定したので、これら 2 つのオプションが表示されます。[管理コンソール] を選択して AWS Management Consoleを開きます。

  7. ユーザーはコンソールにサインインしています。

次のステップ

これで、Google Workspace IAM Identity Center の ID プロバイダーおよびプロビジョニングされたユーザーとして、次のことができます。

  • AWS CLI Identity Store の create-group コマンドまたは IAMAPICreateGroupを使用して、ユーザーのグループを作成します。

    グループは、 AWS アカウント および アプリケーションへのアクセスを割り当てる場合に便利です。各ユーザーを個別に割り当てるのではなく、グループに権限を与えます。その後、グループにユーザーを追加したり削除したりすると、そのユーザーはグループに割り当てられたアカウントやアプリケーションへのアクセス権を動的に得たり、失ったりします。

  • 職務に基づいてアクセス許可を設定します。「アクセス許可セットの作成」を参照してください。

    アクセス権限セットは、ユーザーおよびグループが持つこの AWS アカウントアカウントに対するアクセスのレベルを定義します。アクセス許可セットは IAM Identity Center に保存され、1 つ以上の にプロビジョニングできます AWS アカウント。複数のアクセス権限セットを 1 人のユーザーに割り当てることができます。

注記

IAM Identity Center 管理者として、古い IdP 証明書を新しい証明書に置き換える必要がある場合があります。例えば、IdP 証明書の有効期限が近づいている場合は、証明書を交換する必要があります。古い証明書を新しい証明書に置き換えるプロセスは、証明書のローテーションと呼ばれています。のSAML証明書の管理方法を必ず確認してください。Google Workspace.

トラブルシューティング

を使用した一般的なSCIMSAMLトラブルシューティング Google Workspace、以下のセクションを参照してください。

以下のリソースは、作業中のトラブルシューティングに役立ちます AWS。

  • AWS re:Post - 問題のトラブルシューティングに役立つ他の リソースを検索FAQsしてリンクします。

  • AWS サポート - テクニカルサポートを受ける