SCIM で SAMLと を設定する Okta および IAM Identity Center - AWS IAM Identity Center
考慮事項ステップ 1: Okta: からSAMLメタデータを取得する Okta アカウントステップ 2: IAM Identity Center: を設定する Okta IAM Identity Center の ID ソースとしてのステップ 3: IAM Identity Center と Okta: プロビジョニング Okta ユーザーステップ 4: Okta: からのユーザーの同期 Okta IAM Identity Center を使用するアクセスコントロールの属性を渡す - オプションへのアクセスを割り当てる AWS アカウント次のステップトラブルシューティング

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

SCIM で SAMLと を設定する Okta および IAM Identity Center

からユーザーおよびグループの情報を自動的にプロビジョニングまたは同期できます。Okta System for Cross-domain IAM Identity Management () 2.0 プロトコルを使用して、 を Identity Center に追加します。 SCIM詳細については、「外部 SCIM ID プロバイダーでの SAMLおよび ID フェデレーションの使用」を参照してください。

でこの接続を設定するには Oktaでは、IAMIdentity Center のSCIMエンドポイントと、IAMIdentity Center によって自動的に作成されるベアラートークンを使用します。同期を設定するときは、 SCIM でユーザー属性のマッピングを作成します。Okta IAM Identity Center の名前付き属性への 。このマッピングは、IAMIdentity Center と Okta アカウント。

Okta は、 を介して IAM Identity Center に接続すると、次のプロビジョニング機能をサポートしますSCIM。

  • ユーザーの作成 – の IAM Identity Center アプリケーションに割り当てられたユーザー Okta は IAM Identity Center でプロビジョニングされます。

  • ユーザー属性の更新 – の IAM Identity Center アプリケーションに割り当てられたユーザーの属性変更 Okta は IAM Identity Center で更新されます。

  • ユーザーを無効にする – の IAM Identity Center アプリケーションから割り当てられていないユーザー Okta IAM Identity Center では が無効になっています。

  • グループプッシュ – のグループ (およびそのメンバー) Okta は IAM Identity Center と同期されます。

    注記

    両方の管理オーバーヘッドを最小限に抑えるには Okta および IAM Identity Center では、個々のユーザーではなくグループを割り当ててプッシュすることをお勧めします。

目的

このチュートリアルでは、 とSAMLの接続の設定について説明します。Okta IAM Identity Center。後で、 からユーザーを同期します。Oktaを使用する SCIM。このシナリオでは、 ですべてのユーザーとグループを管理します。Okta。 ユーザーが からサインインする Okta ポータル。すべてが正しく設定されていることを確認するには、設定ステップを完了した後、 としてサインインします。Okta ユーザー と が AWS リソースへのアクセスを確認します。

注記

にサインアップできます Okta を持つ アカウント (無料トライアル) Okta's IAM Identity Center アプリケーションがインストールされている。有料 Okta 製品の場合は、Okta ライセンスは、アウトバウンドプロビジョニングを有効にするライフサイクル管理または同様の機能をサポートしています。これらの機能は、 SCIMから を設定するために必要になる場合があります。Okta を IAM Identity Center に。

IAM Identity Center をまだ有効にしていない場合は、「」を参照してくださいの有効化 AWS IAM Identity Center

考慮事項

  • 間でSCIMプロビジョニングを設定する前に Okta と IAM Identity Center については、まず を確認することをお勧めします自動プロビジョニングを使用する際の注意事項

  • すべて Okta ユーザーには、ユーザー名表示名の値を指定する必要があります。

  • 各 Okta ユーザーには、E メールアドレスや電話番号など、データ属性ごとに 1 つの値しかありません。複数の値を持つユーザーは同期に失敗します。属性に複数の値を持つユーザーがいる場合は、IAMIdentity Center でユーザーのプロビジョニングを試みる前に、重複する属性を削除します。例えば、同期できる電話番号属性は 1 つだけです。デフォルトの電話番号属性は「勤務先の電話」なので、ユーザーの電話番号が自宅の電話でも携帯電話でも、「勤務先の電話」属性を使用してユーザーの電話番号を保存します。

  • を使用する場合 Okta IAM Identity Center では、IAMIdentity Center は通常、 のアプリケーションとして設定されます。Okta。 これにより、IAMIdentity Center の複数のインスタンスを複数のアプリケーションとして設定し、 の 1 つのインスタンス内で複数の AWS Organizations へのアクセスをサポートできます。Okta.

  • 使用権限とロール属性はサポートされておらず、 IAM Identity Center と同期することもできません。

  • 同じ を使用する Okta 割り当てとグループプッシュの両方の グループは現在サポートされていません。間で一貫したグループメンバーシップを維持するには Okta と IAM Identity Center で、別のグループを作成し、IAMIdentity Center にグループをプッシュするように設定します。

ステップ 1: Okta: からSAMLメタデータを取得する Okta アカウント

  1. にサインインする Okta admin dashboard、アプリケーションを展開し、アプリケーションを選択します。

  2. [Applications] (アプリケーション) ページで、[Browse App Catalog] (アプリケーションカタログを参照) を選択します。

  3. 検索ボックスに「」と入力し AWS IAM Identity Center、アプリを選択して IAM Identity Center アプリを追加します。

  4. [サインオン] タブを選択します。

  5. SAML 「証明書の署名」で「アクション」を選択し、「IdP メタデータの表示」を選択します。 IdP XML ファイルのドキュメントツリーを示す新しいブラウザタブが開きます。XML から <md:EntityDescriptor>へのすべての を選択し</md:EntityDescriptor>、テキストファイルにコピーします。

  6. metadata.xml としてテキストファイルを保存します。

を離れる Okta admin dashboard を開くと、後のステップでこのコンソールを引き続き使用します。

ステップ 2: IAM Identity Center: を設定する Okta IAM Identity Center の ID ソースとしての

  1. 管理者権限を持つユーザーとして IAM Identity Center コンソールを開きます。

  2. 左側のナビゲーションペインの [設定] を選択します。

  3. [設定] ページで [アクション] タブを選択し、[ID ソースを変更] を選択します。

  4. [ID ソースの選択][外部 ID プロバイダー] を選択し、[次へ] を選択します。

  5. [外部 ID プロバイダーの設定] で、次の操作を行います。

    1. サービスプロバイダーメタデータで、メタデータファイルのダウンロードを選択して IAM Identity Center メタデータファイルをダウンロードし、システムに保存します。IAM Identity Center SAMLメタデータファイルを に提供します。Okta このチュートリアルの後半。

      簡単にアクセスできるように、以下の項目をテキストファイルにコピーします。

      • IAM アイデンティティセンターアサーションコンシューマーサービス (ACS) URL

      • IAM Identity Center 発行者 URL

      これらの値は、このチュートリアルの後半で必要になります。

    2. ID プロバイダーメタデータの IdP SAMLメタデータで、ファイルを選択を選択し、前のステップで作成したmetadata.xmlファイルを選択します。

    3. [Next (次へ)] を選択します。

  6. 免責事項を読み、次に進む準備ができたら、ACCEPT と入力してください。

  7. [IDソースの変更] を選択します。

    AWS コンソールを開いたままにして、次のステップでこのコンソールを引き続き使用します。

  8. に戻る Okta admin dashboard アプリのサインオンタブを選択し AWS IAM Identity Center 、編集を選択します。

  9. [詳細なサインオン設定] で、次のように入力します。

    • にはACSURLIAMIdentity Center Assertion Consumer Service (ACS) URLにコピーした値を入力します。

    • 発行者 にはURLIAMIdentity Center 発行URL者にコピーした値を入力します。

    • [アプリケーションのユーザー名形式] で、メニューからいずれかのオプションを選択します。

      選択する値が各ユーザーに固有となることを確認します。このチュートリアルでは、[Okta ユーザー名] を選択します。

  10. [Save] を選択します。

これで、 からユーザーをプロビジョニングする準備ができました。Okta を IAM Identity Center に。を離れる Okta admin dashboard を開き、IAMIdentity Center コンソールに戻り、次のステップに進みます。

ステップ 3: IAM Identity Center と Okta: プロビジョニング Okta ユーザー

  1. 設定ページの IAM Identity Center コンソールで、自動プロビジョニング情報ボックスを見つけ、有効化を選択します。これにより、IAMIdentity Center での自動プロビジョニングが可能になり、必要なSCIMエンドポイントとアクセストークンの情報が表示されます。

  2. [インバウンド自動プロビジョニング] ダイアログボックスで、以下のオプションの値をそれぞれコピーします。

    1. SCIM endpoint - https://scim.us-east-2.amazonaws.com/11111111111-2222-3333-4444-555555555555/scim/v2 など

    2. [アクセストークン] - [トークンを表示] を選択して値をコピーします。

    警告

    これは、SCIMエンドポイントとアクセストークンを取得できる唯一の時間です。先に進む前に、これらの値をコピーしておいてください。これらの値を入力して、 で自動プロビジョニングを設定します。Okta このチュートリアルの後半。

  3. [閉じる] を選択します。

  4. に戻る Okta admin dashboard Identity Center IAM アプリに移動します。

  5. IAM Identity Center アプリページでプロビジョニングタブを選択し、左側のナビゲーションの設定統合を選択します。

  6. 編集 を選択し、API統合を有効にする の横にあるチェックボックスを選択して、自動プロビジョニングを有効にします。

  7. 構成する Okta このステップの前半でコピー AWS IAM Identity Center した からのSCIMプロビジョニング値を使用して、 を実行します。

    1. Base URL フィールドに、SCIMエンドポイント値を入力します。

    2. API トークン フィールドに、アクセストークンの値を入力します。

  8. API 認証情報のテストを選択して、入力した認証情報が有効であることを確認します。

    [AWS IAM Identity Center は正常に検証されました] というメッセージが表示されます。

  9. [Save] を選択します。引き続き [統合] が選択されている状態で、[設定] セクションに移動します。

  10. [設定] の下で [アプリへ] を選択し、[アプリへのプロビジョニング] の有効にしたい各項目について [有効にする] チェックボックスをオンにします。このチュートリアルでは、すべてのオプションを選択します。

  11. [Save] を選択します。

これで、 からユーザーを同期する準備ができました。Okta IAM Identity Center を使用する。

ステップ 4: Okta: からのユーザーの同期 Okta IAM Identity Center を使用する

デフォルトでは、 にはグループまたはユーザーが割り当てられません。Okta IAM Identity Center アプリ。プロビジョニンググループは、グループのメンバーであるユーザーをプロビジョニングします。グループとユーザーを と同期するには、次のステップを実行します AWS IAM Identity Center。

  1. Okta IAM Identity Center アプリページで、割り当てタブを選択します。IAM Identity Center アプリには、ユーザーとグループの両方を割り当てることができます。

    1. ユーザーを割り当てるには:

      • [割り当て] ページで、[割り当てる] を選択し、[人に割り当てる] を選択します。

      • [ Okta IAM Identity Center アプリへのアクセスを許可する ユーザー。[Assign] (割り当て)、[Save and Go Back] (保存して戻る)、[Done] (完了) の順に選択します。

      これにより、IAMIdentity Center へのユーザーのプロビジョニングプロセスが開始されます。

    2. グループを割り当てるには:

      • [割り当て] ページで、[割り当てる] を選択し、[グループに割り当てる] を選択します。

      • [ Okta IAM Identity Center アプリへのアクセスを許可する グループ。[Assign] (割り当て)、[Save and Go Back] (保存して戻る)、[Done] (完了) の順に選択します。

      これにより、グループ内のユーザーを IAM Identity Center にプロビジョニングするプロセスが開始されます。

      注記

      グループに追加の属性がすべてのユーザーレコードに含まれていない場合は、その属性を指定する必要がある場合があります。グループに指定された属性は、個々の属性値よりも優先されます。

  2. [Push Groups] (プッシュグループ) タブを選択します。[ Okta IAM Identity Center と同期する グループ。[Save] を選択します。

    グループとそのメンバーが IAM Identity Center にプッシュされると、グループのステータスがアクティブに変わります。

  3. [割り当て] タブに戻ります。

  4. 個々の を追加するには Okta IAM Identity Center の ユーザーの場合は、次のステップを使用します。

    1. [Assignments] (割り当て) ページで、[Assign] (割り当て) を選択し、[Assign to People] (人に割り当てる) を選択します。

    2. [ Okta IAM Identity Center アプリへのアクセスを許可する ユーザー。[Assign] (割り当て)、[Save and Go Back] (保存して戻る)、[Done] (完了) の順に選択します。

      これにより、個々のユーザーを IAM Identity Center にプロビジョニングするプロセスが開始されます。

      注記

      AWS IAM Identity Center のアプリケーションページから、ユーザーとグループをアプリケーションに割り当てることもできます。Okta admin dashboard。 これを行うには、設定アイコンを選択し、ユーザーに割り当てるまたはグループに割り当てるを選択して、ユーザーまたはグループを指定します。

  5. IAM Identity Center コンソールに戻ります。左側のナビゲーションでユーザーを選択すると、Okta ユーザー。

お疲れ様でした。

間のSAML接続が正常にセットアップされました Okta と AWS および は、自動プロビジョニングが機能していることを検証済みです。これらのユーザーを IAM Identity Center のアカウントとアプリケーションに割り当てることができるようになりました。このチュートリアルでは、次のステップで、管理アカウントに管理者権限を付与して、いずれかのユーザーを IAM Identity Center 管理者として指定します。

アクセスコントロールの属性を渡す - オプション

オプションで IAM Identity Center アクセスコントロールの属性の機能を使用して、 Name 属性を に設定した Attribute要素を渡すことができますhttps://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey}。この要素を使用すると、SAMLアサーションでセッションタグとして属性を渡すことができます。セッションタグの詳細については、「 IAMユーザーガイド」の「 でのセッションタグの受け AWS STS渡し」を参照してください。

属性をセッションタグとして渡すには、タグの値を指定する AttributeValue 要素を含めます。例えば、タグのキーバリューのペア CostCenter = blue を渡すには、次のような属性を使用します。

<saml:AttributeStatement>
<saml:Attribute Name="https://aws.amazon.com/SAML/Attributes/AccessControl:CostCenter">
<saml:AttributeValue>blue
</saml:AttributeValue>
</saml:Attribute>
</saml:AttributeStatement>

複数の属性を追加する必要がある場合は、各タグに個別の Attribute 要素を含めます。

へのアクセスを割り当てる AWS アカウント

以下の手順は、 へのアクセスのみを許可するためにのみ必要です AWS アカウント 。これらのステップは、 AWS アプリケーションへのアクセスを許可するためには必要ありません。

ステップ 1: IAM Identity Center: Grant Okta ユーザーによる アカウントへのアクセス

  1. IAM Identity Center ナビゲーションペインのマルチアカウントアクセス許可で、 を選択しますAWS アカウント

  2. AWS アカウント ページの [組織構造] には、組織のルートと、その下にあるアカウントが階層内で表示されます。管理アカウントのチェックボックスをオンにし、[ユーザーまたはグループを割り当て] を選択します。

  3. [ユーザーとグループを割り当てる] のワークフローが表示されます。これは、3 つのステップから構成されています。

    1. [ステップ 1: ユーザーとグループの選択] では、管理者の職務を実行するユーザーを選択します。次いで、[次へ] を選択します。

    2. [ステップ 2: 許可セットの選択] で、[許可セットを作成する] を選択します。新しいタブが開き、許可セットを作成するための 3 つの手順が順に表示されます。

      1. [ステップ 1: 許可セットタイプを選択] では、以下を完了します。

        • [許可セットのタイプ] で、[事前定義された許可セット] を選択します。

        • 事前定義されたアクセス許可セットのポリシーで、 を選択しますAdministratorAccess

        [Next (次へ)] を選択します。

      2. [ステップ 2: 許可セットの詳細を指定] では、デフォルト設定のままで、[次へ] を選択します。

        デフォルト設定では、セッション時間を 1 時間に設定した という名前AdministratorAccessのアクセス許可セットが作成されます。

      3. ステップ 3: 確認して作成するには、アクセス許可セットタイプが AWS 管理ポリシー を使用していることを確認しますAdministratorAccess。[Create] (作成) を選択します。[許可セット] ページに、許可セットが作成されたことを知らせる通知が表示されます。この時点で、ウェブブラウザでこのタブを閉じてもかまいません。

      [ユーザーとグループを割り当てる] ブラウザタブでは、[ステップ 2: 許可セットを選択] でアクセス許可セットの作成ワークフローを開始した状態のままになっています。

      [アクセス許可セット] 領域で、[更新] ボタンを選択します。作成したAdministratorAccessアクセス許可セットがリストに表示されます。そのアクセス許可セットのチェックボックスを選択したら、[次へ] を選択します。

    3. [ステップ 3: 確認と送信] では、選択されているユーザと許可セットを確認して、[送信] を選択します。

      ページが更新され、 AWS アカウント が設定されているというメッセージが表示されます。プロセスが完了するまで待ちます。

      AWS アカウント ページに戻ります。通知メッセージは、 AWS アカウント が再プロビジョニングされ、更新されたアクセス許可セットが適用されたことを通知します。ユーザーがサインインすると、AdministratorAccessロールを選択するオプションがあります。

ステップ 2: Okta: 確認 Okta ユーザーが リソースにアクセスする AWS

  1. テストアカウントを使用して にサインインする Okta dashboard.

  2. アプリで、AWS IAM Identity Center アイコン。

  3. AWS アカウント アイコンが表示されます。そのアイコンを展開すると、 AWS アカウント ユーザーがアクセスできる のリストが表示されます。このチュートリアルでは 1 つのアカウントしか使用していなかったため、アイコンを展開しても 1 つのアカウントしか表示されません。

  4. アカウントを選択すると、そのユーザーが利用可能なアクセス許可セットが表示されます。このチュートリアルでは、アクセスAdministratorAccess許可セットを作成しました。

  5. アクセス許可セットの横には、その許可セットで利用できるアクセスの種類を示すリンクがあります。アクセス許可セットを作成したときに、 へのアクセス AWS Management Console とプログラムによるアクセスの両方を指定しました。[管理コンソール] を選択して AWS Management Consoleを開きます。

  6. ユーザーは、 AWS Management Consoleにサインインされます。

次のステップ

これで、Okta IAM Identity Center の ID プロバイダーおよびプロビジョニングされたユーザーとして、次のことができます。

トラブルシューティング

を使用した一般的なSCIMSAMLトラブルシューティング Okta、以下のセクションを参照してください。

IAM Identity Center から削除されたユーザーとグループの再プロビジョニング

  • で次のエラーメッセージが表示されることがあります。Okta でユーザーまたはグループを変更しようとする場合のコンソール Okta は、一度同期され、IAMIdentity Center から削除されました。

    • ユーザーからアプリケーションJane Doeへの自動プロファイルプッシュ AWS IAM Identity Center に失敗しました: のプロファイル更新をプッシュしようとしたときにエラーが発生しましたjane_doe@example.com: ユーザーが返されませんでした xxxxx-xxxxxx-xxxxx-xxxxxxx

    • リンクされたグループが にありません AWS IAM Identity Center。Change the linked group to resume pushing group memberships.

  • で次のエラーメッセージが表示されることもあります。Okta同期および削除された IAM Identity Center ユーザーまたはグループの のシステムログ:

    • Okta エラー: Eventfailed application.provision.user.push_profile : ユーザーに返されたユーザーがありません xxxxx-xxxxxx-xxxxx-xxxxxxx

    • Okta エラー: application.provision.group_push.mapping.update.or.delete.failed.with.error : リンクされたグループが欠落しています AWS IAM Identity Center。Change the linked group to resume pushing group memberships.

警告

ユーザーとグループは から削除する必要があります Okta 同期している場合は IAM Identity Center ではなく Okta および を使用する IAM Identity CenterSCIM。

削除された IAM Identity Center ユーザーのトラブルシューティング

削除された IAM Identity Center ユーザーでこの問題に対処するには、そのユーザーを から削除する必要があります。Okta。 必要に応じて、これらのユーザーも で再作成する必要があります。Okta。 ユーザーが で再作成されたとき Oktaでは、 を通じて IAM Identity Center にも再プロビジョニングされますSCIM。ユーザーの削除の詳細については、「」を参照してください。 Okta ドキュメント

注記

を削除する必要がある場合 Okta ユーザーが IAM Identity Center にアクセスできるようにするには、まずグループプッシュから削除し、次に で割り当てグループを削除する必要があります。Okta。 これにより、ユーザーは IAM Identity Center の関連付けられたグループメンバーシップから削除されます。グループプッシュのトラブルシューティングの詳細については、「」を参照してください。 Okta ドキュメント

削除された IAM Identity Center グループのトラブルシューティング

削除された IAM Identity Center グループでこの問題に対処するには、そのグループを Okta から削除する必要があります。その後、必要に応じてグループプッシュを使用してそれらのグループを Okta で再作成してください。ユーザーが Okta で再作成されると、 を通じて IAM Identity Center にも再プロビジョニングされますSCIM。グループの削除の詳細については、Okta のドキュメントを参照してください。

の自動プロビジョニングエラー Okta

で次のエラーメッセージが表示された場合 Okta:

ユーザーの Jane Doe からアプリへの自動プロビジョニング AWS IAM Identity Center に失敗しました: 一致するユーザーが見つかりません

」を参照してください。Okta ドキュメントを参照してください。

追加リソース

以下のリソースは、作業中のトラブルシューティングに役立ちます AWS。

  • AWS re:Post - 問題のトラブルシューティングに役立つ他のリソースを検索FAQsしてリンクします。

  • AWS Support - テクニカルサポートを受ける