外部 ID プロバイダーの管理

IAM アイデンティティセンターでは、Security Assertion Markup Language (SAML) 2.0 および System for Cross-Domain Identity Management (SCIM) プロトコルを使用して、外部 ID プロバイダー (IdP) から既存のワークフォース ID を接続できます。これにより、ユーザーは AWS アクセスポータルにサインインできるようになります。そして、外部の IdP でホストされている、割り当てられたアカウント、ロール、アプリケーションにナビゲートすることができます。

例えば、Okta や Microsoft Entra ID などの外部 IdP を IAM アイデンティティセンターに接続できます。その後、ユーザーは既存の Oktaまたは Microsoft Entra ID認証情報を使用して AWS アクセスポータルにサインインできます。ユーザーがサインインした後に実行できる操作を制御するには、 AWS 組織内のすべてのアカウントとアプリケーションに一元的にアクセス許可を割り当てることができます。さらに、デベロッパーは既存の認証情報を使用して AWS Command Line Interface （AWS CLI) にサインインするだけで、認証情報の自動的な短期生成とローテーションのメリットを得ることができます。

Active Directory または でセルフマネージドディレクトリを使用している場合は AWS Managed Microsoft AD、「」を参照してくださいMicrosoft AD ディレクトリへの接続。

ユーザーが外部の IdP から来た場合のプロビジョニング

外部 IdP を使用する場合は、 AWS アカウント または アプリケーションに割り当てる前に、該当するすべてのユーザーとグループを IAM Identity Center にプロビジョニングする必要があります。これを行うには、ユーザーやグループに合わせて SCIM を使用して外部 ID プロバイダーのユーザーとグループを IAM アイデンティティセンターにプロビジョニングする を設定するか、手動のプロビジョニング を使用します。ユーザーのプロビジョニング方法に関係なく、IAM アイデンティティセンターは AWS Management Console、、コマンドラインインターフェイス、およびアプリケーション認証を外部 IdP にリダイレクトします。IAM アイデンティティセンターでは、IAM アイデンティティセンターセンターで作成したポリシーに基づいて、それらのリソースへのアクセス権を付与します。プロビジョニングの詳細については、「ユーザーおよびグループのプロビジョニング」を参照してください。