ID ソースの変更に関する注意事項

割り当ての削除、ユーザーとグループの削除 — ID ソースを Active Directory に変更すると、ユーザーとグループが Identity Center ディレクトリから削除されます。この変更により、割り当ても削除されます。この場合、Active Directory に変更した後に、Active Directory のユーザーとグループを Identity Center ディレクトリに同期してから、それらの割り当てを再適用する必要があります。

Active Directory を使用しない場合は、Identity Center のディレクトリにユーザーとグループを作成し、割り当てを行う必要があります。

ID が削除されても割り当ては削除されない — Identity Center ディレクトリで ID が削除されると、IAM Identity Center でも対応する割り当てが削除されます。ただし、Active Directory では、ID が削除されると (Active Directory または同期された ID で）、対応する割り当ては削除されません。

API のアウトバウンド同期なし — Active Directory をアイデンティティソースとして使用する場合、「作成、更新、および削除」API は注意して使用することをお勧めします。IAM Identity Center はアウトバウンド同期をサポートしていないため、これらの API を使用してユーザーまたはグループに加えた変更によってアイデンティティソースが自動的に更新されることはありません。

アクセスポータル URL が変更される – IAM Identity Center と Active Directory の間で ID ソースを変更すると、 AWS アクセスポータルの URL も変更されます。

既存のユーザーセッションの有効期限切れには最大 2 時間かかる場合があります。ユーザーとグループが Identity Center ディレクトリから削除されると、アクティブなセッションを持つユーザーは、 AWS アクセスポータルと統合 AWS アプリケーションに最大 2 時間引き続きアクセスできます。認証セッションの期間とユーザー動作については、「」を参照してくださいIAM Identity Center での認証。

割り当てとメンバーシップは正しいアサーションで機能します。新しい IdP が正しいアサーション (SAML nameIDs。これらのアサーションは、IAM Identity Center のユーザー名とグループと一致する必要があります。

アウトバウンド同期なし – IAM Identity Center はアウトバウンド同期をサポートしていないため、IAM Identity Center で行ったユーザーとグループの変更で外部 IdP が自動的に更新されることはありません。

SCIM プロビジョニング — SCIM プロビジョニングを使用している場合、ID プロバイダーが IAM Identity Center に変更を送信した後、ID プロバイダーのユーザーとグループへの変更は IAM Identity Center にのみ反映されます。自動プロビジョニングを使用する際の注意事項 を参照してください。

ロールバック — ID ソースは、いつでも IAM Identity Center を使用して に戻すことができます。IAM Identity Center から外部 IdP への変更 を参照してください。

既存のユーザーセッションは、セッション期間の有効期限が切れると取り消されます – ID ソースを外部 ID プロバイダーに変更すると、アクティブなユーザーセッションは、コンソールで設定された最大セッション期間の残りの間も保持されます。例えば、 AWS アクセスポータルのセッション期間が 8 時間に設定されていて、4 時間目に ID ソースを変更した場合、アクティブなユーザーセッションはさらに 4 時間保持されます。ユーザーセッションを取り消すには、「」を参照してくださいのアクティブなユーザーセッションを削除する AWS アクセスポータルと AWS 統合アプリケーション。

IAM Identity Center コンソール、Identity Store APIs2 時間 AWS アクセスポータルと統合 AWS アプリケーションに引き続きアクセスできます。

IAM Identity Center センターではすべての割り当てが保持されます。

パスワードリセットを強制する — IAM Identity Center でパスワードを持っていたユーザーは、以前のパスワードでサインインを続けることができます。外部 IdP にいて、IAM Identity Center にいなかったユーザーに対して、パスワードリセットを強制する必要があります。

既存のユーザーセッションは、セッション期間の有効期限が切れると取り消されます – ID ソースを IAM Identity Center に変更すると、アクティブなユーザーセッションは、コンソールで設定された最大セッション期間の残りの期間保持されます。例えば、 AWS アクセスポータルのセッション期間が 8 時間で、4 時間目に ID ソースを変更した場合、アクティブなユーザーセッションはさらに 4 時間実行されます。ユーザーセッションを取り消すには、「」を参照してくださいのアクティブなユーザーセッションを削除する AWS アクセスポータルと AWS 統合アプリケーション。

IAM Identity Center コンソール、Identity Store APIs2 時間 AWS アクセスポータルと統合 AWS アプリケーションに引き続きアクセスできます。

アサインメントとメンバーシップは正しいアサーションで機能する – IAM Identity Center はアサインメントをすべて保持します。新しい IdP が正しいアサーション (SAML nameIDs。

これらのアサーションは、ユーザーが新しい外部 IdP を介して認証する際に、IAM Identity Center のユーザー名と一致する必要があります。

SCIM プロビジョニング – SCIM を使用して IAM Identity Center にプロビジョニングする場合は、このガイドの IdP 固有の情報と IdP が提供するドキュメントを確認して、SCIM が有効になっているときに新しいプロバイダーがユーザーとグループを正しく一致させることをお勧めします。

既存のユーザーセッションは、セッション期間の有効期限が切れると取り消されます – ID ソースを別の外部 ID プロバイダーに変更すると、アクティブなユーザーセッションは、コンソールで設定された最大セッション期間の残りの期間保持されます。例えば、 AWS アクセスポータルのセッション期間が 8 時間で、4 時間目に ID ソースを変更した場合、アクティブなユーザーセッションはさらに 4 時間保持されます。ユーザーセッションを取り消すには、「」を参照してくださいのアクティブなユーザーセッションを削除する AWS アクセスポータルと AWS 統合アプリケーション。

IAM Identity Center コンソール、Identity Store APIs2 時間 AWS アクセスポータルと統合 AWS アプリケーションに引き続きアクセスできます。

ユーザー、グループ、割り当てが削除される — すべてのユーザー、グループ、および割り当てが IAM Identity Center から削除されます。外部の IdP や Active Directory のユーザーやグループの情報は影響を受けません。

ユーザーのプロビジョニング — 外部 IdP に変更した場合、ユーザーのプロビジョニングに IAM Identity Center を設定する必要があります。または、外部 IdP のユーザーやグループを手動でプロビジョニングしてから、割り当てを設定する必要があります。

アサインメントとグループの作成 — Active Directory に変更する場合は、Active Directory 内のディレクトリにあるユーザーとグループを使用してアサインメントを作成する必要があります。

既存のユーザーセッションの有効期限切れには最大 2 時間かかる場合があります。ユーザーとグループが Identity Center ディレクトリから削除されると、アクティブなセッションを持つユーザーは、 AWS アクセスポータルと統合 AWS アプリケーションに最大 2 時間引き続きアクセスできます。認証セッションの期間とユーザー動作については、「」を参照してくださいIAM Identity Center での認証。