翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
ID ソースの変更に関する注意事項
アイデンティティソースはいつでも変更できますが、この変更が現在のデプロイにどのように影響するかを検討することをお勧めします。
あるアイデンティティソースですでにユーザーとグループを管理している場合、別のアイデンティティソースに変更すると、IAM Identity Center で設定したユーザーとグループの割り当てがすべて削除される可能性があります。この場合、IAM Identity Center の管理ユーザーを含むすべてのユーザーが、AWS アカウント およびアプリケーショ ンへのシングルサインオンアクセスを失います。
IAM Identity Center の ID ソースを変更する前に、以下の考慮事項を確認してください。ID ソースの変更を続行する場合は、詳細について アイデンティティソースを変更する を参照してください。
IAM Identity Center と Active Directory 間の切り替え
すでに Active Directory でユーザーとグループを管理している場合は、IAM Identity Center を有効にして ID ソースを選択するときに、ディレクトリの接続を検討することをお勧めします。デフォルトの Identity Center ディレクトリにユーザーやグループを作成して割り当てを行う前に、この作業を行ってください。
既に Identity Center のデフォルトディレクトリでユーザーとグループを管理している場合は、次の点を考慮してください。
-
割り当ての削除、ユーザーとグループの削除 — ID ソースを Active Directory に変更すると、ユーザーとグループが Identity Center ディレクトリから削除されます。この変更により、割り当ても削除されます。この場合、Active Directory に変更した後に、Active Directory のユーザーとグループを Identity Center ディレクトリに同期してから、それらの割り当てを再適用する必要があります。
Active Directory を使用しない場合は、Identity Center のディレクトリにユーザーとグループを作成し、割り当てを行う必要があります。
-
ID が削除されても割り当ては削除されない — Identity Center ディレクトリで ID が削除されると、IAM Identity Center でも対応する割り当てが削除されます。しかし Active Directory では、(Active Directory または同期された ID のどちらかで) ID が削除されても、対応する割り当ては削除されません。
-
API のアウトバウンド同期なし — Active Directory をアイデンティティソースとして使用する場合、「作成、更新、および削除」API は注意して使用することをお勧めします。IAM Identity Center はアウトバウンド同期をサポートしていないため、これらの API を使用してユーザーまたはグループに加えた変更によってアイデンティティソースが自動的に更新されることはありません。
-
アクセスポータル URL が変更される — IAM Identity Center と Active Directory の間で ID ソースを変更すると、AWS アクセスポータルの URL も変更されます。
-
既存のユーザーセッションが失効するまで最大 2 時間かかる場合がある – ユーザーとグループが Identity Center ディレクトリから削除されると、アクティブなセッションを持つユーザーは最大 2 時間、AWS アクセスポータルおよび統合された AWS アプリケーションに引き続きアクセスできます。認証セッションの期間とユーザー動作については、「IAM Identity Center での認証」を参照してください。
IAM Identity Center がユーザーとグループをどのようにプロビジョニングするかについては、「に接続する Microsoft AD directory」を参照してください。
IAM Identity Center から外部 IdP への変更
ID ソースを IAM Identity Center から外部 ID プロバイダー (IdP) に変更する場合は、次の点を考慮してください。
-
割り当てとメンバーシップは正しいアサーションで機能する – 新しい IdP が正しいアサーション (SAML nameID など) を送信する限り、ユーザー割り当て、グループ割り当て、グループメンバーシップは引き続き機能します。これらのアサーションは、IAM Identity Center のユーザー名およびグループと一致する必要があります。
-
アウトバウンド同期なし — IAM Identity Center はアウトバウンド同期をサポートしていないため、IAM Identity Center で行ったユーザーやグループの変更によって外部 IdP が自動的に更新されることはありません。
-
SCIM プロビジョニング – SCIM プロビジョニングを使用している場合、ID プロバイダーのユーザーおよびグループに対する変更は、ID プロバイダーがそれらの変更を IAM Identity Center に送信した後にのみ IAM Identity Center に反映されます。「自動プロビジョニングを使用する際の注意事項」を参照してください。
-
ロールバック – IAM Identity Center を使用して ID ソースをいつでも元に戻すことができます。「IAM Identity Center から外部 IdP への変更」を参照してください。
-
セッション期間の有効期限が切れると、既存のユーザーセッションを取り消し – ID ソースを外部 ID プロバイダーに変更すると、アクティブなユーザーセッションは、コンソールで設定された最大セッション期間の残りの間、継続します。例えば、AWS アクセスポータルセッションの期間が 8 時間に設定されていて、4 時間目に ID ソースを変更した場合、アクティブなユーザーセッションはさらに 4 時間継続されます。ユーザーセッションを取り消すには、「AWS アクセスポータルと AWS 統合アプリケーションのアクティブなユーザーセッションを削除する」を参照してください。
IAM Identity Center コンソールで Identity Store API または SCIM プロビジョニングを使用してユーザーが削除または無効化された場合、アクティブなセッションを持つユーザーは、AWS アクセスポータルおよび統合された AWS アプリケーションに最大 2 時間引き続きアクセスできます。
注記
ユーザーの削除後、IAM Identity Center コンソールからユーザーセッションを取り消すことはできません。
IAM Identity Center がユーザーとグループをどのようにプロビジョニングするかについては、「外部 ID プロバイダーの管理」を参照してください。
IAM Identity Center から外部 IdP への変更
ID ソースを IAM Identity Center から外部 ID プロバイダー (IdP) に変更する場合は、次の点を考慮してください。
-
IAM Identity Center センターではすべての割り当てが保持されます。
-
パスワードリセットを強制する — IAM Identity Center でパスワードを持っていたユーザーは、以前のパスワードでサインインを続けることができます。外部 IdP にいて、IAM Identity Center にいなかったユーザーに対して、パスワードリセットを強制する必要があります。
-
セッション期間の有効期限が切れると、既存のユーザーセッションが取り消される – ID ソースを IAM Identity Center に変更すると、アクティブなユーザーセッションは、コンソールで設定された最大セッション期間の残りの時間の間、継続されます。例えば、AWS アクセスポータルセッションの期間が 8 時間で、4 時間目に ID ソースを変更した場合、アクティブなユーザーセッションはさらに 4 時間継続して実行されます。ユーザーセッションを取り消すには、「AWS アクセスポータルと AWS 統合アプリケーションのアクティブなユーザーセッションを削除する」を参照してください。
IAM Identity Center コンソールで Identity Store API または SCIM プロビジョニングを使用してユーザーが削除または無効化された場合、アクティブなセッションを持つユーザーは、AWS アクセスポータルおよび統合された AWS アプリケーションに最大 2 時間引き続きアクセスできます。
注記
ユーザーの削除後、IAM Identity Center コンソールからユーザーセッションを取り消すことはできません。
IAM Identity Center がユーザーとグループをどのようにプロビジョニングするかについては、「IAM Identity Center で ID を管理する」を参照してください。
ある外部 IdP から別の外部 IdP への変更
IAM Identity Center の ID ソースとして既に外部 IdP を使用していて、別の外部 IdP に変更する場合は、次の点を考慮してください。
-
アサインメントとメンバーシップは正しいアサーションで機能する – IAM Identity Center はアサインメントをすべて保持します。新しい IdP が正しいアサーション (SAML nameID など) を送信する限り、ユーザー割り当て、グループ割り当て、グループメンバーシップは引き続き機能します。
これらのアサーションは、ユーザーが新しい外部 IdP を介して認証する際に、IAM Identity Center のユーザー名と一致する必要があります。
-
SCIM プロビジョニング – IAM Identity Center へのプロビジョニングに SCIM を使用している場合は、本ガイドの IdP 固有の情報や IdP のドキュメントを確認して、SCIM を有効にしたときに新しいプロバイダーでユーザーやグループが正しく一致するかどうかを確認するようお勧めします。
-
セッション期間の有効期限が切れると、既存のユーザーセッションが取り消される – ID ソースを別の外部 ID プロバイダーに変更すると、アクティブなユーザーセッションは、コンソールで設定された最大セッション期間の残り時間の間、継続します。例えば、AWS アクセスポータルセッションの期間が 8 時間で、4 時間目に ID ソースを変更した場合、アクティブなユーザーセッションはさらに 4 時間継続します。ユーザーセッションを取り消すには、「AWS アクセスポータルと AWS 統合アプリケーションのアクティブなユーザーセッションを削除する」を参照してください。
IAM Identity Center コンソールで Identity Store API または SCIM プロビジョニングを使用してユーザーが削除または無効化された場合、アクティブなセッションを持つユーザーは、AWS アクセスポータルおよび統合された AWS アプリケーションに最大 2 時間引き続きアクセスできます。
注記
ユーザーの削除後、IAM Identity Center コンソールからユーザーセッションを取り消すことはできません。
IAM Identity Center がユーザーとグループをどのようにプロビジョニングするかについては、「外部 ID プロバイダーの管理」を参照してください。
IAM Identity Center と Active Directory の切り替え
アイデンティティソースを外部 IdP から Active Directory に、または Active Directory から外部 IdP に変更する場合は、次の点を考慮してください。
-
ユーザー、グループ、割り当てが削除される — すべてのユーザー、グループ、および割り当てが IAM Identity Center から削除されます。外部の IdP や Active Directory のユーザーやグループの情報は影響を受けません。
-
ユーザーのプロビジョニング — 外部 IdP に変更した場合、ユーザーのプロビジョニングに IAM Identity Center を設定する必要があります。または、外部 IdP のユーザーやグループを手動でプロビジョニングしてから、割り当てを設定する必要があります。
-
アサインメントとグループの作成 — Active Directory に変更する場合は、Active Directory 内のディレクトリにあるユーザーとグループを使用してアサインメントを作成する必要があります。
-
既存のユーザーセッションが失効するまで最大 2 時間かかる – ユーザーとグループが Identity Center ディレクトリから削除されると、アクティブなセッションを持つユーザーは最大 2 時間、AWS アクセスポータルおよび統合された AWS アプリケーションに引き続きアクセスできます。認証セッションの期間とユーザー動作については、「IAM Identity Center での認証」を参照してください。
IAM Identity Center がユーザーとグループをどのようにプロビジョニングするかについては、「に接続する Microsoft AD directory」を参照してください。
