外部 ID プロバイダーを管理する

IAM Identity Center を使用すると、Security Assertion Markup Language (IdPs) 2.0 および System for Cross-Domain Identity Management (SAML) プロトコルを使用して、外部 ID プロバイダー (SCIM) からの既存のワークフォース ID を接続できます。これにより、ユーザーは にサインインできます。 AWS 会社の認証情報を含む アクセスポータル。その後、外部 でホストされている割り当てられたアカウント、ロール、アプリケーションに移動できます IdPs。

例えば、 などの外部 IdP を接続できます。Okta または Microsoft Entra ID、IAMIdentity Center へ。その後、ユーザーは にサインインできます。 AWS 既存の を含む アクセスポータル Okta または Microsoft Entra ID 認証情報。ユーザーがサインインした後に実行できる操作を制御するには、 内のすべてのアカウントとアプリケーションに一元的にアクセス許可を割り当てることができます。 AWS 組織。さらに、デベロッパーは にサインインするだけで済みます。 AWS Command Line Interface (AWS CLI) は既存の認証情報を使用しており、認証情報の自動的な短期生成とローテーションからメリットを得られます。

Active Directory または でセルフマネージドディレクトリを使用している場合 AWS Managed Microsoft AD「に接続する Microsoft AD directory」を参照してください。

ユーザーが外部の IdP から来た場合のプロビジョニング

外部 IdP を使用する場合は、 に割り当てる前に、該当するすべてのユーザーとグループを IAM Identity Center にプロビジョニングする必要があります。 AWS アカウント または アプリケーション。これを行うには、ユーザーやグループに合わせて を使用して ID センターに外部 IAM ID プロバイダーをプロビジョニングする SCIM を設定するか、手動のプロビジョニング を使用します。ユーザーのプロビジョニング方法に関係なく、IAMIdentity Center は をリダイレクトします。 AWS Management Console、コマンドラインインターフェイス、および外部 IdP へのアプリケーション認証。IAM その後、Identity Center は、IAMIdentity Center で作成したポリシーに基づいて、これらのリソースへのアクセスを許可します。プロビジョニングの詳細については、「ユーザーおよびグループのプロビジョニング」を参照してください。