Active Directory を使用する際の考慮事項ユーザーがアクティブディレクトリから来たときのプロビジョニング

Microsoft AD ディレクトリへの接続

AWS IAM Identity Center を使用すると、Active Directory (AD) の自己管理ディレクトリに接続することも、AWS Directory Service を使用して AWS Managed Microsoft AD 内のディレクトリに接続することもできます。この Microsoft AD ディレクトリでは、管理者が IAM Identity Center コンソールを使用してシングルサインオンアクセスを割り当てるときに、プル元の ID プールを定義します。会社のディレクトリを IAM アイデンティティセンターに接続すると、AD ユーザーまたはグループに AWS アカウント、アプリケーション、またはその両方へのアクセス権を付与することができます。

AWS Directory Service により、AWS クラウドでホストされているスタンドアロンの AWS Managed Microsoft AD ディレクトリを設定して実行できます。また、AWS Directory Service を使用して、AWS リソースを既存のセルフマネージド AD に接続することも可能です。セルフマネージド AD と連動するように AWS Directory Service を設定するには、まず信頼関係を構築して、認証をクラウドに拡張する必要があります。

IAM Identity Center は、AWS Directory Service が提供する接続を使用して、ソース AD インスタンスへのパススルー認証を実行します。AWS Managed Microsoft AD を ID ソースとして使用する場合、IAM Identity Center は AWS Managed Microsoft AD のユーザーや AD トラストで接続されたドメインのユーザーに対して機能します。4 つ以上のドメインにユーザーを配置したい場合、ユーザーは IAM Identity Center へのサインインを実行する際に、ユーザー名として DOMAIN\user 構文を使用する必要があります。

メモ

前提条件の手順として、AWS Directory Service の AWS Managed Microsoft AD にある AD コネクタまたはディレクトリが AWS Organizations 管理アカウント内に存在することを確認してください。詳細については、「IAM Identity Center の ID ソースを確認する」を参照してください。
IAM Identity Center は、SAMBA4 ベースの Simple AD を接続先ディレクトリとしてサポートしていません。

Active Directory を使用する際の考慮事項

Active Directory を ID ソースとして使用する場合、設定は次の前提条件を満たす必要があります。

AWS Managed Microsoft AD を使用している場合は、AWS Managed Microsoft AD ディレクトリが設定されている場所と同じ AWS リージョンで IAM Identity Center を有効にする必要があります。IAM Identity Center では、割り当てデータに関するディレクトリと同じリージョンに保存されます。IAM Identity Center を管理するには、IAM Identity Center が設定されているリージョンに切り替える必要がある場合があります。また、AWS のアクセスポータルでは、ディレクトリと同じアクセス URL が使用されます。
管理アカウントにある Active Directory を使用してください。

既存の AD コネクタまたは AWS Managed Microsoft AD ディレクトリが AWS Directory Service に設定されており、AWS Organizations 管理アカウント内に存在する必要があります。一度に接続できる AD Connector ディレクトリは 1 つか、ディレクトリは AWS Managed Microsoft AD 1 つだけです。複数のドメインやフォレストをサポートする必要がある場合は、AWS Managed Microsoft AD を使用してください。詳細については、以下を参照してください。
- AWS Managed Microsoft AD のディレクトリを IAM Identity Center に接続する
- Active Directory の自己管理型ディレクトリを IAM Identity Center に接続する
委任された管理者アカウントにある Active Directory を使用してください。

IAM Identity Center 委任管理者を有効にし、IAM ID センターのアイデンティティソースとして Active Directory を使用する予定の場合は、AWS Managed Microsoft AD委任された管理者アカウントにあるディレクトリに設定された既存の AD Connector AWS またはディレクトリを使用できます。

IAM Identity Center ID ソースを他のソースから Active Directory に変更するか、Active Directory から他のソースに変更する場合、そのディレクトリは IAM Identity Center 委任管理者メンバーアカウント (存在する場合) に存在する (所有されている) 必要があります。それ以外の場合は、管理アカウントに含まれている必要があります。

ユーザーがアクティブディレクトリから来たときのプロビジョニング

IAM Identity Center は、AWS Directory Service によって提供された接続を使用して、Active Directory のソースディレクトリにあるユーザー、グループ、メンバーシップ情報を IAM ID センターアイデンティティストアに同期します。ユーザー認証は Active Directory のソースディレクトリから直接行われるため、パスワード情報は IAM アイデンティティセンターに同期されません。この ID データは、アプリケーションによって使用され、LDAP アクティビティを Active Directory のソースディレクトリに戻すことなく、アプリ内検索、承認、コラボレーションシナリオを容易にします。

上記のプロビジョニングの詳細については、「ユーザーおよびグループのプロビジョニング」を参照してください。

トピック

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

パスワードの要件

Active Directory に接続してユーザーを指定する