Microsoft Entra ID および IAM アイデンティティセンターによる SAML と SCIM の設定 - AWS IAM Identity Center

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Microsoft Entra ID および IAM アイデンティティセンターによる SAML と SCIM の設定

AWS IAM Identity Center は、Security Assertion Markup Language (SAML) 2.0 との統合、およびクロスドメインアイデンティティ管理 (SCIM) 2.0 プロトコルを使用した Microsoft Entra ID (旧称 Azure Active Directoryまたは Azure AD) から IAM Identity Center へのユーザーおよびグループ情報の自動プロビジョニング (同期) をサポートしています。 SCIM プロファイル

目的

このチュートリアルでは、テストラボをセットアップし、Microsoft Entra ID と IAM アイデンティティセンター間の SAML 接続と SCIM プロビジョニングを設定します。最初の準備ステップでは、両方向の SAML 接続をテストするのに使用する Microsoft Entra ID と IAM アイデンティティセンターの両方にテストユーザー (Nikki Wolf) を作成します。後で SCIM の手順の一環として、別のテストユーザー (Richard Roe) を作成して、Microsoft Entra ID の新しい属性が想定どおりに IAM アイデンティティセンターと同期されていることを確認します。

このチュートリアルを開始する前に、まず以下を設定する必要があります。

以下は、SCIM v2 プロトコルを使用して、本番環境内で IAM アイデンティティセンターを使用した自動プロビジョニングを実装するための計画に影響を与える場合がある Microsoft Entra ID に関する重要な考慮事項です。

自動プロビジョニング

SCIM のデプロイを開始する前に、まず 自動プロビジョニングを使用する際の注意事項 を確認することをお勧めします。

アクセスコントロールの属性

アクセスコントロールの属性は、ID ソース内の誰が AWS リソースにアクセスできるかを決定するアクセス許可ポリシーで使用されます。Microsoft Entra ID のユーザーから属性を削除しても、IAM Identity Center の対応するユーザーからはその属性は削除されません。これは、Microsoft Entra ID の既知の制限事項です。ユーザーの属性が異なる (空でない) 値に変更された場合、その変更は IAM Identity Center に同期されます。

ネストされたグループ

Microsoft Entra ID ユーザープロビジョニングサービスは、ネストされたグループのユーザーを読み取ったりプロビジョニングしたりすることはできません。明示的に割り当てられたグループの直接のメンバであるユーザーのみが、読み取りとプロビジョニングを行うことができます。Microsoft Entra ID は、間接的に割り当てられたユーザまたはグループ(直接割り当てられたグループのメンバであるユーザまたはグループ)のグループ・メンバシップを再帰的に解凍することはありません。詳細については、「Microsoft ドキュメント」の「割り当てベースのスコープ」を参照してください。または、IAM Identity Center ID AD Sync を使用して、Active Directoryグループを IAM Identity Center と統合することもできます。

動的グループ

Microsoft Entra ID ユーザープロビジョニングサービスは、「動的グループ」のユーザーを読み取ってプロビジョニングできます。動的グループを使用する場合のユーザーとグループの構造と IAM Identity Center での表示方法を示す例については、以下を参照してください。これらのユーザーとグループは SCIM 経由で Microsoft Entra ID から IAM Identity Center にプロビジョニングされました。

たとえば、動的グループの Microsoft Entra ID 構造が以下のような場合:

  1. メンバー ua1、ua2 を持つグループ A

  2. メンバー ub1 を持つグループ B

  3. メンバー uc1 を持つグループ C

  4. グループ K (グループ A、B、C のメンバーを含むルールを持つ)

  5. グループ L (グループ B と C のメンバーを含むルールを持つ)

ユーザとグループ情報が Microsoft Entra ID から SCIM を介して IAM Identity Center にプロビジョニングされた後、構造は以下のようになります。

  1. メンバー ua1、ua2 を持つグループ A

  2. メンバー ub1 を持つグループ B

  3. メンバー uc1 を持つグループ C

  4. メンバー ua1、ua2、ub1、uc1 を含むグループ K

  5. メンバー ub1、uc1 を持つグループ L

動的グループを使用して自動プロビジョニングを設定する場合、次の考慮事項に留意してください。

  • 動的グループにはネストされたグループを含めることができます。ただし、Microsoft Entra ID プロビジョニングサービスはネストされたグループをフラット化しません。たとえば、Microsoft Entra ID 動的グループの構造が以下のような場合:

    • グループ A はグループ B の親です。

    • グループ A には ua1 がメンバーとしています。

    • グループ B には ub1 がメンバーとしています。

グループ A を含む動的グループには、グループ A の直接のメンバー (つまり ua1) のみが含まれます。グループ B のメンバーは再帰的に含まれません。

  • 動的グループには他の動的グループを含めることはできません。詳細については、Microsoft ドキュメントの「プレビューに関する制限」を参照してください。

このステップでは、 AWS IAM Identity Center エンタープライズアプリケーションをインストールして構成し、新しく作成した Microsoft Entra ID テストユーザーにアクセス権を割り当てる方法について説明します。

Step 1.1 >

ステップ 1.1: で AWS IAM Identity Center エンタープライズアプリケーションをセットアップする Microsoft Entra ID

この手順では、 AWS IAM Identity Center エンタープライズアプリケーションを にインストールしますMicrosoft Entra ID。との SAML 接続を設定するには、後でこのアプリケーションが必要になります AWS。

  1. クラウドアプリケーション管理者以上の権限で、Microsoft Entra 管理センターにサインインします。

  2. [ID] > [アプリケーション] > [エンタープライズアプリケーション] に移動し、[新しいアプリケーション] を選択します。

  3. [Microsoft Entra ギャラリーの参照] ページで、検索ボックスに AWS IAM Identity Center を入力します。

  4. 結果AWS IAM Identity Centerから を選択します。

  5. [作成] を選択します。

Step 1.2 >

ステップ 1.2: Microsoft Entra ID でテストユーザーを作成する

Nikki Wolf は、この手順で作成する Microsoft Entra ID テストユーザーの名前です。

  1. Microsoft Entra 管理センターコンソールで、[ID] > [ユーザー] > [すべてのユーザー] に移動します。

  2. [新しいユーザー] を選択し、画面上部の [新しいユーザーの作成] を選択します。

  3. [ユーザープリンシパル名]NikkiWolf と入力し、目的のドメインと拡張子を選択します。例えば、NikkiWolf@example.org などです。

  4. [表示名]NikkiWolf と入力します。

  5. [パスワード] に、強力なパスワードを入力するか、目のアイコンを選択して自動生成されたパスワードを表示し、表示された値をコピーするか書き留めてください。

  6. [プロパティ] を選択し、[名]Nikki と入力します。[姓] に、Wolf と入力します。

  7. [レビューと作成] を選択したら、[作成] を選択します。

Step 1.3

ステップ 1.3: に権限を割り当てる前に Nikki のエクスペリエンスをテストする AWS IAM Identity Center

この手順では、Nikki が Microsoft マイアカウントポータルに正常にサインインできることを確認します。

  1. 同じブラウザで新しいタブを開き、マイアカウントポータルのサインインページに移動し、Nikki の完全な E メールアドレスを入力します。例えば、NikkiWolf@example.org などです。

  2. プロンプトが表示されたら、Nikki のパスワードを入力し、[サインイン] を選択します。これが自動生成されたパスワードの場合は、パスワードを変更するように求められます。

  3. [アクションが必要] ページで [後で確認する] を選択すると、追加のセキュリティメソッドの入力を求めるプロンプトは表示されなくなります。

  4. マイアカウントページの左側のナビゲーションペインで、マイアプリ を選択します。現時点では、アドイン以外のアプリが表示されていないことに注意してください。後のステップでここに表示される AWS IAM Identity Center アプリを追加します。

Step 1.4

ステップ 1.4: Microsoft Entra ID で Nikki に権限を割り当てる

Nikki が [マイアカウントポータル] に正常にアクセスできることを確認したので、次の手順に従って Nikki のユーザーを AWS IAM Identity Center アプリに割り当てます。

  1. Microsoft Entra 管理センターコンソールで、[ID] > [アプリケーション] > [エンタープライズアプリケーション] に移動し、リストから AWS IAM Identity Center を選択します。

  2. 左側で [ユーザーとグループ] を選択します。

  3. [Add user/group] (ユーザーとグループを追加) を選択します。グループを割り当てることができないというメッセージは無視してかまいません。このチュートリアルでは、割り当てにグループを使用しません。

  4. [割り当てを追加] ページの [ユーザー] で、[何も選択されていません] を選択します。

  5. を選択しNikkiWolfを選択 を選択します。

  6. 「割り当ての追加」ページで「割り当て NikkiWolf 」を選択します。AWS IAM Identity Centerアプリに割り当てられているユーザーのリストに が表示されます。

このステップでは、IAM Identity Center を使用して (許可セットにより) アクセス許可を設定する方法、対応する Nikki Wolf ユーザを手動で作成する方法、および AWSのリソースを管理するために必要な権限をそのユーザに割り当てる方法について説明します。

Step 2.1 >

ステップ 2.1: で RegionalAdmin アクセス許可セットを作成する IAM Identity Center

このアクセス許可セットは、 内の AWS アカウントページからリージョンを管理するために必要なアカウントアクセス許可を Nikki に付与するために使用されます AWS Management Console。Nikki のアカウントのその他の情報を閲覧または管理するその他の権限は、デフォルトではすべて拒否されています。

  1. IAM Identity Center コンソール を開きます。

  2. [マルチアカウント権限] で、[権限セット] を選択します。

  3. [Create permission set] (アクセス権限セットの作成) を選択します。

  4. [許可セットタイプを選択] ページで [カスタム許可セット] を選択し、[次へ] を選択します。

  5. [インラインポリシー] を選択して展開し、次の手順を使用してアクセス許可セットのポリシーを作成します。

    1. [新しいステートメントを追加] を選択してポリシーステートメントを作成します。

    2. 編集ステートメント で、リストからアカウントを選択し、次のチェックボックスをオンにします。

      • ListRegions

      • GetRegionOptStatus

      • DisableRegion

      • EnableRegion

    3. [リソースの追加] の横にある [追加] を選択します。

    4. [リソースを追加] ページの [リソースタイプ] で、[すべてのリソース] を選択し、[リソースを追加] を選択します。ポリシーが次のようになっていることを確認します。

      {
    "Statement": [
        {
            "Sid": "Statement1",
            "Effect": "Allow",
            "Action": [
                "account:ListRegions",
                "account:DisableRegion",
                "account:EnableRegion",
                "account:GetRegionOptStatus"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

  6. [次へ] をクリックします。

  7. [許可セットの詳細を指定] ページの [許可セット名]RegionalAdmin と入力し、[次へ] を選択します。

  8. [確認して作成] ページで、[作成] をクリックします。アクセス許可セットのリストに RegionalAdminが表示されます。

Step 2.2 >

ステップ 2.2: で対応する NikkiWolf ユーザーを作成する IAM Identity Center

SAML プロトコルには IdP (Microsoft Entra ID) をクエリして IAM アイデンティティセンターで自動的にユーザーを作成するメカニズムがないため、次の手順に従って、Microsoft Entra ID の Nikki Wolfs ユーザーのコア属性をミラーリングするユーザーを IAM アイデンティティセンターに手動で作成します。

  1. IAM Identity Center コンソールを開きます。

  2. [ユーザー] を選択し、[ユーザーを追加] を選択して、次の情報を入力します。

    1. [ユーザー名][メールアドレス] の両方に、Microsoft Entra ID ユーザーを作成したときに使用したのと同じ NikkiWolf@yourcompanydomain.extension を入力します。例えば、NikkiWolf@example.org などです。

    2. [メールアドレスの確認] — 前のステップで使用したメールアドレスを再入力します。

    3. [名]Nikki と入力します。

    4. [姓]Wolf と入力します。

    5. [表示名]Nikki Wolf と入力します。

  3. [次へ] を 2 回選択後、[ユーザーの追加] を選択します。

  4. [Close] を選択します。

Step 2.3

ステップ 2.3: でアクセス RegionalAdmin 許可セットに Nikki を割り当てる IAM Identity Center

ここでは、Nikki AWS アカウント がリージョンを管理する を見つけ、 AWS アクセスポータルに正常にアクセスするために必要なアクセス許可を割り当てます。

  1. IAM Identity Center コンソール を開きます。

  2. [マルチアカウント権限] で、[AWS アカウント] を選択します。

  3. リージョンを管理するためのアクセス権限を Nikki に付与するアカウント名 (サンドボックス など) の横にあるチェックボックスを選択し、ユーザーとグループの割り当て を選択します。

  4. [ユーザーとグループを割り当てる] ページで [ユーザー] タブを選択し、Nikki の横にあるボックスを探してオンにし、[次へ] を選択します。

このステップでは、IAM Identity Center の外部 IdP 設定Microsoft Entra IDとともに の AWS IAM Identity Center エンタープライズアプリケーションを使用して SAML 接続を設定します。

Step 3.1 >

ステップ 3.1: IAM アイデンティティセンターから必要なサービスプロバイダーのメタデータを収集する

このステップでは、IAM アイデンティティセンターコンソール内から [ID ソースを変更] ウィザードを起動し、メタデータファイルと、次のステップで Microsoft Entra ID との接続を設定するときに入力する必要のある AWS 固有のサインイン URL を取得します。

  1. [IAM Identity Center コンソール][設定] を選択します。

  2. [設定] ページで [ID ソース] タブを選択し、[アクション] > [ID ソースを変更] を選択します。

  3. [ID ソースを選択] ページで [外部 ID プロバイダー] を選択したら、[次へ] を選択します。

  4. 「外部 ID プロバイダーの設定」ページの「サービスプロバイダーメタデータ」で、「メタデータファイルのダウンロード」を選択して XML ファイルをダウンロードします。

  5. 同じセクションで、[AWS アクセスポータルのサインイン URL] 値を見つけてコピーします。この値は、次のステップで求められたときに入力します。

  6. このページを開いたまま、次のステップ (Step 3.2) に進み、 で AWS IAM Identity Center エンタープライズアプリケーションを設定しますMicrosoft Entra ID。後でこのページに戻り、プロセスを完了します。

Step 3.2 >

ステップ 3.2: で AWS IAM Identity Center エンタープライズアプリケーションを設定する Microsoft Entra ID

この手順では、前のステップで取得したメタデータファイルの値とサインオン URL を使用して、Microsoft 側の SAML 接続の半分を確立します。

  1. Microsoft Entra 管理センターコンソールで、[ID] > [アプリケーション] > [エンタープライズアプリケーション] に移動し、[AWS IAM Identity Center] を選択します。

  2. 左側の 2 を選択します。シングルサインオン をセットアップします

  3. 「SAML で Single Sign-On を設定する」ページで、「SAML 」を選択します。次に、メタデータファイルのアップロード を選択し、フォルダアイコンを選択し、前のステップでダウンロードしたサービスプロバイダーメタデータファイルを選択し、追加 を選択します。

  4. 基本 SAML 設定ページで、識別子 URL 値と応答 URL 値の両方 AWS が、 で始まる のエンドポイントを指していることを確認しますhttps://<REGION>.signin.aws.amazon.com/platform/saml/

  5. [サインオン URL (オプション)] に、前のステップでコピーした AWS アクセスポータルのサインイン URL の値 (Step 3.1) を貼り付け、[保存] を選択したら、[X] を選択してウィンドウを閉じます。

  6. でシングルサインオンをテストするように求められたら AWS IAM Identity Center、後でテストする を選択します。この検証は、後のステップで行います。

  7. [SAML によるシングルサインオンの設定] ページの [SAML 証明書] セクションで、[フェデレーションメタデータ XML] の横にある [ダウンロード] を選択し、メタデータファイルをシステムに保存します。次のステップでプロンプトが表示されたら、このファイルをアップロードする必要があります。

Step 3.3 >

ステップ 3.3: AWS IAM Identity Centerで Microsoft Entra ID の外部 IdP を設定する

ここで、IAM アイデンティティセンターコンソールの [ID ソースを変更] ウィザードに戻り、 AWSの SAML 接続の後半を完了します。

  1. IAM アイデンティティセンターコンソールで、Step 3.1 で開いたままにしたブラウザセッションに戻ります。

  2. [外部 ID プロバイダーの設定] ページの [ID プロバイダーのメタデータ] セクションの [IdP SAML メタデータ] で、[ファイルを選択] ボタンを選択し、前のステップで Microsoft Entra ID からダウンロードした ID プロバイダーのメタデータファイルを選択して、[開く] を選択します。

  3. [次へ] をクリックします。

  4. 免責事項を読み、次に進む準備ができたら、ACCEPT と入力してください。

  5. [ID ソースを変更] を選択して変更を適用します。

Step 3.4 >

ステップ 3.4: Nikki が AWS アクセスポータルにリダイレクトされることをテストする

この手順では、Nikki の認証情報を使用して Microsoft の [マイアカウントポータル] にサインインして SAML 接続をテストします。認証されたら、Nikki を AWS アクセスポータルにリダイレクトする AWS IAM Identity Center アプリケーションを選択します。

  1. マイアカウントポータルのサインインページに移動し、Nikki の完全なメールアドレスを入力します。例えば、NikkiWolf@example.org と入力します。

  2. プロンプトが表示されたら、Nikki のパスワードを入力し、[サインイン] を選択します。

  3. マイアカウントページの左側のナビゲーションペインで、マイアプリ を選択します。

  4. [マイアプリ] ページで、AWS IAM Identity Center という名前のアプリを選択します。これにより、追加の認証を求めるプロンプトが表示されます。

  5. Microsoft のサインインページで、 NikkiWolf 認証情報を選択します。認証を 2 回目に求められた場合は、 NikkiWolf 認証情報を再度選択します。これにより、 AWS アクセスポータルに自動的にリダイレクトされます。

    ヒント

    正常にリダイレクトされない場合は、[Step 3.2] に入力した AWS アクセスポータルのサインイン URL の値がコピー元 Step 3.1 の値と一致することを確認してください。

  6. [AWS アカウント] のアイコン が表示されていることを確認します。

    ヒント

    ページが空でAWS アカウントアイコンが表示されない場合は、Nikki がRegionalAdminアクセス許可セットに正常に割り当てられたことを確認します (「」を参照Step 2.3)。

Step 3.5

ステップ 3.5: Nikki が AWS アカウントを管理するためのアクセスレベルをテストする

このステップでは、Nikki が AWS アカウントのリージョン設定を管理するためのアクセスレベルを確認します。Nikki には、[アカウント] ページからリージョンを管理するための十分な管理者権限のみを持つことが期待されています。

  1. AWS アクセスポータルで、AWS アカウントアイコンを選択してアカウントのリスト を展開します。アイコンを選択すると、アクセス許可セットを定義したアカウントに関連付けられているアカウント名、アカウント ID、メールアドレスが表示されます。

  2. アクセス許可セットを適用したアカウント名 (Sandbox など) を選択します (Step 2.3 をご覧ください)。これにより、Nikki が自分のアカウントを管理するために選択できるアクセス許可セットのリストが展開されます。

  3. アクセスRegionalAdmin許可セットで定義したロールを引き受けるには、 RegionalAdminマネジメントコンソールを選択します。これにより、 AWS Management Console ホームページにリダイレクトされます。

  4. コンソールの右上で、アカウント名を選択してから [アカウント] を選択します。これにより、[アカウント] ページに移動します。このページの他のすべてのセクションには、これらの設定を表示または変更するのに必要なアクセス許可がないことを示すメッセージが表示されます。

  5. [アカウント] ページで、 [AWS リージョン] までスクロールダウンします。テーブルで使用可能なリージョンのチェックボックスをオンにします。Nikki には、自分のアカウントのリージョンのリストを意図したとおりに [有効化] または [無効化] するために必要なアクセス許可が付与されています。

よくできました!

ステップ 1~3 は、SAML 接続の実装とテストを正常に実行するのに役立ちました。チュートリアルを完了するには、ステップ 4 に進んで自動プロビジョニングを実装することをお勧めします。

このステップでは、SCIM v2.0 プロトコルを使用して Microsoft Entra ID から IAM アイデンティティセンターへのユーザー情報の自動プロビジョニング (同期) を設定します。この接続を Microsoft Entra ID IAM Identity Center 用の SCIM エンドポイントと IAM Identity Center で自動作成されたベアラートークンを使用して設定します。

SCIM 同期を設定すると、Microsoft Entra ID のユーザー属性と IAM Identity Center の名前付き属性のマッピングが作成されます。これにより、IAM Identity Center と Microsoft Entra ID の間で、期待される属性が一致します。

次のステップでは、Microsoft Entra ID の IAM アイデンティティセンターアプリを使って、主に Microsoft Entra ID に設置されたユーザーの IAM アイデンティティセンターへの自動プロビジョニングを有効にする方法を説明します。

Step 4.1 >

ステップ 4.1: Microsoft Entra ID で 2 人目のテストユーザーを作成する

テスト用に、Microsoft Entra ID で新しいユーザー (Richard Roe) を作成します。後で SCIM 同期を設定したら、このユーザーとすべての関連属性が IAM アイデンティティセンターと正常に同期されたことをテストします。

  1. Microsoft Entra 管理センターコンソールで、[ID] > [ユーザー] > [すべてのユーザー] に移動します。

  2. [新しいユーザー] を選択し、画面上部の [新しいユーザーの作成] を選択します。

  3. [ユーザープリンシパル名]RichRoe と入力し、目的のドメインと拡張子を選択します。例えば、RichRoe@example.org などです。

  4. [表示名]RichRoe と入力します。

  5. [パスワード] に、強力なパスワードを入力するか、目のアイコンを選択して自動生成されたパスワードを表示し、表示された値をコピーするか書き留めてください。

  6. [プロパティ] を選択し、以下の値を指定します。

    • [名] - Richard と入力します。

    • [姓] - Roe と入力します。

    • [役職名] - Marketing Lead と入力します。

    • [部門] - Sales と入力します。

    • [従業員 ID] - 12345 と入力します。

  7. [レビューと作成] を選択したら、[作成] を選択します。

Step 4.2 >

ステップ 4.2: IAM アイデンティティセンターで自動プロビジョニングを有効にする

この手順では、IAM アイデンティティセンターコンソールを使用して、ユーザーとグループの Microsoft Entra ID から IAM アイデンティティセンターへの自動プロビジョニングを有効にします。

  1. [IAM アイデンティティセンターコンソール] で、左のナビゲーションペインの [設定] を選択します。

  2. [設定] ページの [ID ソース] タブで、[プロビジョニング方法][手動] に設定されていることに注目してください。

  3. [自動プロビジョニング] 情報ボックスを見つけ、[有効にする] を選択します。これにより、すぐに IAM Identity Center の自動プロビジョニングが有効になり、必要なエンドポイントとアクセストークンの情報が表示されます。

  4. [Inbound automatic provisioning] (インバウンド自動プロビジョニング) ダイアログボックスで、以下のオプションの値をそれぞれコピーします。これらは、次のステップで Microsoft Entra ID でプロビジョニングを設定する際に貼り付ける必要があります。

    1. [SCIM エンドポイント] - 例えば https://scim.us-east-2.amazonaws.com/11111111111-2222-3333-4444-555555555555/scim/v2/

    2. [アクセストークン] - [トークンを表示] を選択して値をコピーします。

  5. [閉じる] を選びます。

  6. [ID ソース] タブで、[プロビジョニング方法][SCIM] に設定されていることに注目してください。

Step 4.3 >

ステップ 4.3: Microsoft Entra ID の自動プロビジョニングを設定する

RichRoe テストユーザーを配置し、IAM Identity Center で SCIM を有効にしたので、 で SCIM 同期設定の構成に進むことができますMicrosoft Entra ID。

  1. Microsoft Entra 管理センターコンソールで、[ID] > [アプリケーション] > [エンタープライズアプリケーション] に移動し、[AWS IAM Identity Center] を選択します。

  2. [プロビジョニング] を選択し、[管理][プロビジョニング] をもう一度選択します。

  3. [プロビジョニングモード][自動] を選択します。

  4. [管理者認証情報][テナント URL] に、Step 4.1 で先ほどコピーした [SCIM エンドポイント] URL 値を貼り付けます。[シークレットトークン]アクセストークンの値を貼り付けます。

  5. 接続のテストを選択します。テストした認証情報が正常に認証され、プロビジョニングが可能になったことを示すメッセージが表示されます。

  6. [保存] を選択します。

  7. [管理][ユーザーとグループ] を選択し、[ユーザー/グループの追加] を選択します。

  8. [割り当てを追加] ページの [ユーザー] で、[何も選択されていません] を選択します。

  9. を選択しRichRoeを選択 を選択します。

  10. [Add Assignment] (割り当てを追加) ページで、[Assign] (割り当て) を選択します。

  11. [概要] を選択したら、[プロビジョニングの開始] を選択します。

Step 4.4

ステップ 4.4: 同期が行われたことを確認する

このセクションでは、Richard のユーザーが正常にプロビジョニングされ、すべての属性が IAM アイデンティティセンターに表示されていることを確認します。

  1. IAM アイデンティティセンターコンソール[ユーザー] をクリックします。

  2. ユーザーページに、RichRoeユーザーが表示されます。[作成者] 列の値が [SCIM] に設定されていることに注意してください。

  3. プロファイル RichRoeで を選択し、次の属性が からコピーされたことを確認しますMicrosoft Entra ID。

    • [名] - Richard

    • [姓] - Roe

    • [部門] - Sales

    • 役職 - Marketing Lead

    • [従業員番号] - 12345

    これで Richard のユーザーが IAM アイデンティティセンターで作成されたので、そのユーザーを任意のアクセス許可セットに割り当てて、 AWS リソースに対する Richard のアクセスレベルを制御できます。例えば、以前に使用したRegionalAdminアクセス許可セットRichRoeに を割り当てて、リージョンを管理するアクセス許可を Nikki に付与し (「」を参照Step 2.3)、 を使用してアクセスレベルをテストできますStep 3.5

お疲れ様でした。

Microsoft と の間の SAML 接続を正常にセットアップ AWS し、自動プロビジョニングがすべてを同期させるために機能していることを検証しました。これで、学習した内容を応用して、本番環境をよりスムーズに設定できます。

Microsoft Entra ID ユーザーが IAM アイデンティティセンターと同期しないという問題が発生している場合は、IAM アイデンティティセンターに新しいユーザーを追加する際に IAM アイデンティティセンターがフラグを立てた構文の問題が原因である可能性があります。これは、'Export' などの失敗したイベントに関する Microsoft Entra ID 監査ログで確認できます。このイベントの Status Reason (ステータス理由) には、次のように記述されます。

{"schema":["urn:ietf:params:scim:api:messages:2.0:Error"],"detail":"Request is unparsable, syntactically incorrect, or violates schema.","status":"400"}

失敗したイベント AWS CloudTrail を確認することもできます。これは、次のフィルター CloudTrail を使用して のイベント履歴コンソールで検索することで実行できます。

"eventName":"CreateUser"

CloudTrail イベントのエラーには、次の内容が表示されます。

"errorCode": "ValidationException",
        "errorMessage": "Currently list attributes only allow single item“

最終的に、この例外は、Microsoft Entra ID から渡された値の中に予想よりも多い値が含まれていたことを示しています。ここでの解決策は、Microsoft Entra ID のユーザー属性を調べ、重複した値がないことを確認することです。重複した値の一般的な例の一つは、携帯電話仕事FAX などの連絡先に複数の値が存在することです。別々の値ではありますが、これらはすべて 1 つの親属性 phoneNumbers として IAM Identity Center に渡されます。

一般的な SCIM のトラブルシューティングについては、「IAM Identity Center の問題のトラブルシューティング」をご覧ください。

SAML と SCIM を正常に設定したので、属性ベースのアクセス制御 (ABAC) を任意で設定することができます。ABAC は、属性に基づいて権限を定義する認証戦略です。

Microsoft Entra ID では、次の 2 つの方法のいずれかを使用して、IAM アイデンティティセンターで使用するために ABAC を構成できます。

Configure user attributes in Microsoft Entra ID for access control in IAM Identity Center

IAM Identity Center でのアクセスコントロールMicrosoft Entra IDのために でユーザー属性を設定する

以下の手順では、IAM Identity Center が AWS リソースへのアクセスを管理するためにどの属性を使用するMicrosoft Entra IDかを決定します。定義されると、Microsoft Entra ID は SAML アサーションを通じてこれらの属性を IAM Identity Center に送信します。その後、IAM Identity Center で アクセス権限セットを作成します。 を行い、Microsoft Entra ID から渡された属性に基づいてアクセスを管理する必要があります。

この手順を始める前に、まず アクセスコントロールの属性 機能を有効にしておく必要があります。これを行う方法については、「アクセスコントロールのための属性の有効化と設定」を参照してください。

  1. Microsoft Entra 管理センターコンソールで、[ID] > [アプリケーション] > [エンタープライズアプリケーション] に移動し、[AWS IAM Identity Center] を選択します。

  2. [Single Sign-On] (Single Sign-On) を選択します。

  3. [属性とクレーム] セクションで、[編集] を選択します。

  4. [属性とクレーム] ページで、以下を実行します。

    1. [Add new claim] (新しいクレームを追加する) を選択します。

    2. [Name] (名前) に AccessControl:AttributeName を入力します。を IAM Identity Center で想定している属性の名前AttributeNameに置き換えます。例えば AccessControl:Department です。

    3. Namespacehttps://aws.amazon.com/SAML/Attributes. と入力します。

    4. 出典 で、属性を選択します。

    5. [ソースの属性] で、ドロップダウンリストを使用して、[Microsoft Entra ID ユーザー属性] を選択します。例えば user.department です。

  5. SAML アサーションで IAM Identity Center に送信する必要のある各属性について、前のステップを繰り返します。

  6. [保存] を選択します。

Configure ABAC using IAM Identity Center

IAM Identity Center を使用して ABAC を設定する

この方法では、IAM Identity Center の アクセスコントロールの属性 機能を使って、Name 属性を https://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey} に設定した Attribute 要素を渡します。この要素を使用すると、SAML アサーションで属性をセッションタグとして渡すことができます。セッションタグの詳細については、「IAM ユーザーガイド」の「 AWS STSでのタグ付けの規則 」 を参照してください。

属性をセッションタグとして渡すには、タグの値を指定する AttributeValue 要素を含めます。例えば、タグのキーバリューのペア Department=billing を渡すには、次の属性を使用します。

<saml:AttributeStatement>
<saml:Attribute Name="https://aws.amazon.com/SAML/Attributes/AccessControl:Department">
<saml:AttributeValue>billing
</saml:AttributeValue>
</saml:Attribute>
</saml:AttributeStatement>

複数の属性を追加する必要がある場合は、各タグに個別の Attribute 要素を含めます。