で SAMLと SCIM を設定する Okta および IAM Identity Center - AWS IAM Identity Center

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

で SAMLと SCIM を設定する Okta および IAM Identity Center

からユーザーおよびグループの情報を自動的にプロビジョニングまたは同期できます。Okta System for Cross-domain IAM Identity Management () 2.0 プロトコル を使用して Identity Center に を入力します。 SCIMでこの接続を設定するには Oktaでは、IAMIdentity Center のSCIMエンドポイントと、Identity Center IAM によって自動的に作成されるベアラートークンを使用します。同期を設定するときは、 SCIM でユーザー属性のマッピングを作成します。Okta IAM Identity Center の名前付き属性への 。このマッピングは、IAMIdentity Center と の間で想定されるユーザー属性と一致します。Okta アカウント。

Okta は、 を介して IAM Identity Center に接続すると、次のプロビジョニング機能をサポートしますSCIM。

  • ユーザーの作成 – の IAM Identity Center アプリケーションに割り当てられたユーザー Okta は IAM Identity Center でプロビジョニングされます。

  • ユーザー属性の更新 — の IAM Identity Center アプリケーションに割り当てられたユーザーの属性の変更 Okta は IAM Identity Center で更新されます。

  • ユーザーを非アクティブ化する – の IAM Identity Center アプリケーションから割り当てを解除されたユーザー Okta IAM Identity Center では が無効になっています。

  • グループプッシュ — のグループ (およびそのメンバー) Okta は IAM Identity Center と同期されます。

    注記

    両方の管理オーバーヘッドを最小限に抑えるには Okta および IAM Identity Center では、個々のユーザーではなくグループを割り当ててプッシュすることをお勧めします。

目的

このチュートリアルでは、 とSAMLの接続の設定について説明します。Okta IAM Identity Center。後で、 からユーザーを同期します。Okta、 を使用SCIM。このシナリオでは、 ですべてのユーザーとグループを管理します。Okta。 ユーザーが 経由でサインインする Okta ポータル。すべてが正しく設定されていることを確認するには、設定ステップを完了すると、 としてサインインします。Okta ユーザーと へのアクセスの確認 AWS リソースの使用料金を見積もることができます。

注記

にサインアップできます Okta を持つ アカウント (無料トライアル) Okta's IAM Identity Center アプリケーションがインストールされました。有料 Okta 製品については、Okta ライセンスは、ライフサイクル管理、またはアウトバウンドプロビジョニングを有効にする同様の機能をサポートしています。これらの機能は、 SCIMから を設定するために必要になる場合があります。Okta を IAM Identity Center に。

IAM Identity Center をまだ有効にしていない場合は、「」を参照してください有効化 AWS IAM Identity Center

  • の間でSCIMプロビジョニングを設定する前に Okta と IAM Identity Center では、まず を確認することをお勧めします自動プロビジョニングを使用する際の注意事項

  • 毎 Okta ユーザーは、ユーザー名、表示名の値を指定する必要があります。

  • 各 Okta ユーザーには、E メールアドレスや電話番号など、データ属性ごとに 1 つの値しかありません。複数の値を持つユーザーは同期に失敗します。属性に複数の値を持つユーザーがいる場合は、IAMIdentity Center でユーザーのプロビジョニングを試みる前に、重複する属性を削除します。例えば、同期できる電話番号属性は 1 つだけです。デフォルトの電話番号属性は「勤務先の電話」なので、ユーザーの電話番号が自宅の電話でも携帯電話でも、「勤務先の電話」属性を使用してユーザーの電話番号を保存します。

  • を使用する場合 Okta IAM Identity Center では、IAMIdentity Center は通常、 のアプリケーションとして設定されます。Okta。 これにより、IAMIdentity Center の複数のインスタンスを複数のアプリケーションとして設定し、複数の へのアクセスをサポートできます。 AWS の単一のインスタンス内の組織 Okta.

  • エンタイトルメントとロール属性はサポートされておらず、IAMIdentity Center と同期することもできません。

  • 同じ を使用する Okta 割り当てとグループプッシュの両方の グループは現在サポートされていません。間で一貫したグループメンバーシップを維持するには Okta と IAM Identity Center で、別のグループを作成し、グループを IAM Identity Center にプッシュするように設定します。

  1. にサインインする Okta admin dashboard、アプリケーション を展開し、アプリケーション を選択します。

  2. [Applications] (アプリケーション) ページで、[Browse App Catalog] (アプリケーションカタログを参照) を選択します。

  3. 検索ボックスに「」と入力します。 AWS IAM Identity Centerで、アプリを選択して IAM Identity Center アプリを追加します。

  4. [サインオン] タブを選択します。

  5. SAML 「証明書の署名」で「アクション」を選択し、IdP メタデータの表示」を選択します。 XML ファイルのドキュメントツリーを示す新しいブラウザタブが開きます。XML から <md:EntityDescriptor>へのすべての </md:EntityDescriptor>を選択し、テキストファイルにコピーします。

  6. metadata.xml としてテキストファイルを保存します。

を離れる Okta admin dashboard を開くと、後のステップでこのコンソールを引き続き使用します。

  1. 管理者権限を持つユーザーとして IAM Identity Center コンソールを開きます。

  2. 左側のナビゲーションペインの [Settings] (設定) を選択します。

  3. [設定] ページで [アクション] タブを選択し、[ID ソースを変更] を選択します。

  4. [ID ソースの選択][外部 ID プロバイダー] を選択し、[次へ] を選択します。

  5. [外部 ID プロバイダーの設定] で、次の操作を行います。

    1. 「サービスプロバイダーメタデータ」で、「メタデータファイルのダウンロード」を選択して IAM Identity Center メタデータファイルをダウンロードし、システムに保存します。IAM Identity Center SAMLメタデータファイルを に提供します。Okta このチュートリアルの後半。

      簡単にアクセスできるように、以下の項目をテキストファイルにコピーします。

      • IAM Identity Center アサーションコンシューマーサービス (ACS) URL

      • IAM Identity Center 発行者 URL

      これらの値は、このチュートリアルの後半で必要になります。

    2. ID プロバイダーメタデータ IdP SAMLメタデータ で、ファイルを選択 を選択し、前のステップで作成したmetadata.xmlファイルを選択します。

    3. [Next (次へ)] を選択します。

  6. 免責事項を読み、続行する準備ができたら、「」と入力しますACCEPT

  7. [Change identity source] (ID ソースの変更) を選択します。

    を離れる AWS コンソールが開き、次のステップでこのコンソールを引き続き使用します。

  8. に戻る Okta admin dashboard で サインオン タブを選択します。 AWS IAM Identity Center アプリで、編集 を選択します。

  9. [詳細なサインオン設定] で、次のように入力します。

    • ACS にはURLIAMIdentity Center Assertion Consumer Service (ACS) URLにコピーした値を入力します。

    • 発行者 にはURLIAMIdentity Center 発行URL者にコピーした値を入力します。

    • アプリケーションユーザー名の形式 で、メニューからオプションのいずれかを選択します。

      選択した値がユーザーごとに一意であることを確認します。このチュートリアルでは、[Okta ユーザー名] を選択します。

  10. [Save] を選択します。

これで、 からユーザーをプロビジョニングする準備ができました。Okta を IAM Identity Center に。を離れる Okta admin dashboard を開き、IAMIdentity Center コンソールに戻って次のステップに進みます。

  1. 設定ページの IAM Identity Center コンソールで、自動プロビジョニング情報ボックスを見つけ、 を有効にするを選択します。これにより、IAMIdentity Center での自動プロビジョニングが可能になり、必要なSCIMエンドポイントとアクセストークンの情報が表示されます。

  2. [インバウンド自動プロビジョニング] ダイアログボックスで、以下のオプションの値をそれぞれコピーします。

    1. SCIM endpoint - 例えば、https://scim.us-east-2.amazonaws.com/11111111111-2222-3333-4444-555555555555/scim/v2

    2. [アクセストークン] - [トークンを表示] を選択して値をコピーします。

    警告

    これは、SCIMエンドポイントとアクセストークンを取得できる唯一の時間です。先に進む前に、必ずこれらの値をコピーしてください。これらの値を入力して、 で自動プロビジョニングを設定します。Okta このチュートリアルの後半。

  3. [閉じる] を選択します。

  4. に戻る Okta admin dashboard Identity Center IAM アプリに移動します。

  5. IAM Identity Center アプリページでプロビジョニングタブを選択し、設定 の左側のナビゲーションで統合 を選択します。

  6. 編集 を選択し、API統合を有効にする の横にあるチェックボックスを選択して自動プロビジョニングを有効にします。

  7. 構成する Okta からのSCIMプロビジョニング値を含む AWS IAM Identity Center このステップの前半でコピーした :

    1. Base URL フィールドにエンドポイントSCIM値を入力します。

    2. API トークン フィールドに、アクセストークンの値を入力します。

  8. API 認証情報のテスト を選択して、入力した認証情報が有効であることを確認します。

    メッセージ AWS IAM Identity Center が正常に検証されました。 が表示されます。

  9. [Save] を選択します。「設定」セクションに移動し、「統合」が選択されました。

  10. 「設定」で、「アプリケーションへ」を選択し、有効にするアプリへのプロビジョニング機能ごとに「有効化」チェックボックスを選択します。このチュートリアルでは、すべてのオプションを選択します。

  11. [Save] を選択します。

これで、 からユーザーを同期する準備が整いました。Okta IAM Identity Center を使用する。

デフォルトでは、 にグループやユーザーが割り当てられていません。Okta IAM Identity Center アプリ。プロビジョニンググループは、グループのメンバーであるユーザーをプロビジョニングします。グループとユーザーを と同期するには、次のステップを実行します。 AWS IAM Identity Center.

  1. Okta IAM Identity Center アプリのページで、割り当てタブを選択します。IAM Identity Center アプリには、ユーザーとグループの両方を割り当てることができます。

    1. ユーザーを割り当てるには:

      • [割り当て] ページで、[割り当てる] を選択し、[人に割り当てる] を選択します。

      • [ Okta IAM Identity Center アプリへのアクセス権を付与する ユーザー。[Assign] (割り当て)、[Save and Go Back] (保存して戻る)、[Done] (完了) の順に選択します。

      これにより、IAMIdentity Center へのユーザーのプロビジョニングプロセスが開始されます。

    2. グループを割り当てるには:

      • [割り当て] ページで、[割り当てる] を選択し、[グループに割り当てる] を選択します。

      • [ Okta IAM Identity Center アプリへのアクセスを許可する グループ。[Assign] (割り当て)、[Save and Go Back] (保存して戻る)、[Done] (完了) の順に選択します。

      これにより、グループ内のユーザーを IAM Identity Center にプロビジョニングするプロセスが開始されます。

      注記

      グループに追加の属性がすべてのユーザーレコードに含まれていない場合は、その属性を指定する必要がある場合があります。グループに指定された属性は、個々の属性値よりも優先されます。

  2. [Push Groups] (プッシュグループ) タブを選択します。[ Okta IAM Identity Center と同期する グループ。[Save] を選択します。

    グループとそのメンバーが IAM Identity Center にプッシュされると、グループのステータスはアクティブに変わります。

  3. [割り当て] タブに戻ります。

  4. 個々の を追加するには Okta Identity Center IAM への ユーザーの場合は、次のステップに従います。

    1. [Assignments] (割り当て) ページで、[Assign] (割り当て) を選択し、[Assign to People] (人に割り当てる) を選択します。

    2. [ Okta IAM Identity Center アプリへのアクセス権を付与する ユーザー。[Assign] (割り当て)、[Save and Go Back] (保存して戻る)、[Done] (完了) の順に選択します。

      これにより、個々のユーザーを IAM Identity Center にプロビジョニングするプロセスが開始されます。

      注記

      ユーザーとグループを に割り当てることもできます。 AWS IAM Identity Center アプリ、 のアプリケーションページから Okta admin dashboard。 これを行うには、設定アイコンを選択し、ユーザーに割り当てるまたはグループに割り当てるを選択して、ユーザーまたはグループを指定します。

  5. IAM Identity Center コンソールに戻ります。左側のナビゲーションでユーザー を選択すると、 によって入力されたユーザーリストが表示されます。Okta ユーザー。

お疲れ様でした。

間のSAML接続が正常にセットアップされました Okta また、 AWS と は、自動プロビジョニングが機能していることを検証しました。これらのユーザーを IAM Identity Center のアカウントとアプリケーションに割り当てることができるようになりました。このチュートリアルでは、次のステップで、管理アカウントに管理者権限を付与して、ユーザーの 1 人を IAM Identity Center 管理者として指定します。

  1. IAM Identity Center ナビゲーションペインのマルチアカウントアクセス許可 で、 AWS アカウント.

  2. リポジトリの []AWS アカウント 「組織構造」ページには、組織ルートと、階層内のアカウントが表示されます。管理アカウントのチェックボックスをオンにし、[ユーザーまたはグループを割り当て] を選択します。

  3. [ユーザーとグループを割り当てる] のワークフローが表示されます。これは、3 つのステップから構成されています。

    1. ステップ 1: ユーザーとグループ を選択するには、管理者ジョブ機能を実行するユーザーを選択します。次いで、[次へ] を選択します。

    2. ステップ 2: アクセス許可セット を選択する で、アクセス許可セットの作成 を選択して新しいタブを開き、アクセス許可セットの作成に関連する 3 つのサブステップを順を追って説明します。

      1. [ステップ 1: 許可セットタイプを選択] では、以下を完了します。

        • [許可セットのタイプ] で、[事前定義された許可セット] を選択します。

        • 事前定義されたアクセス許可セット のポリシーで、 を選択しますAdministratorAccess

        [Next (次へ)] を選択します。

      2. [ステップ 2: 許可セットの詳細を指定] では、デフォルト設定のままで、[次へ] を選択します。

        デフォルト設定では、 という名前のアクセス許可セットが作成されます。AdministratorAccess セッション時間を 1 時間に設定した 。

      3. ステップ 3: を確認して作成する でアクセス許可セットタイプが を使用していることを確認します。 AWS マネージドポリシー AdministratorAccess。[Create] (作成) を選択します。アクセス許可セットページには、アクセス許可セットが作成されたことを示す通知が表示されます。この時点で、ウェブブラウザでこのタブを閉じてもかまいません。

      [ユーザーとグループを割り当てる] ブラウザタブでは、[ステップ 2: 許可セットを選択] でアクセス許可セットの作成ワークフローを開始した状態のままになっています。

      [アクセス許可セット] 領域で、[更新] ボタンを選択します。- AdministratorAccess 作成した アクセス許可セットがリストに表示されます。そのアクセス許可セットのチェックボックスを選択したら、[次へ] を選択します。

    3. ステップ 3: を確認して送信するには、選択したユーザーとアクセス許可セットを確認してから、送信を選択します。

      ページが更新され、 AWS アカウント は設定中です。プロセスが完了するまで待ちます。

      に戻ります。 AWS アカウント ページ。通知メッセージは、 AWS アカウント が再プロビジョニングされ、更新されたアクセス許可セットが適用されました。ユーザーがサインインすると、AdministratorAccess ロール。

  1. テストアカウントを使用して にサインインする Okta dashboard.

  2. マイアプリ で、AWS IAM Identity Center アイコン。

  3. が表示されます。 AWS アカウント アイコン。そのアイコンを展開して のリストを表示します。 AWS アカウント ユーザーがアクセスできる 。このチュートリアルでは 1 つのアカウントしか使用していなかったため、アイコンを展開しても 1 つのアカウントしか表示されません。

  4. アカウントを選択すると、そのユーザーが利用可能なアクセス許可セットが表示されます。このチュートリアルでは、アクセスAdministratorAccess許可セットを作成しました。

  5. アクセス許可セットの横には、その許可セットで利用できるアクセスの種類を示すリンクがあります。アクセス許可セットを作成したときに、両方の へのアクセスを指定しました。 AWS Management Console およびプログラムによるアクセス。マネジメントコンソールを選択して を開きます。 AWS Management Console.

  6. ユーザーが にサインインしている AWS Management Console.

オプションで IAM Identity Center アクセスコントロールの属性の機能を使用して、 Name 属性を に設定した Attribute要素を渡すことができますhttps://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey}。この要素を使用すると、SAMLアサーションで属性をセッションタグとして渡すことができます。セッションタグの詳細については、「 でのセッションタグの受け渡し」を参照してください。 AWS STS「」(IAM ユーザーガイド) を参照してください。

属性をセッションタグとして渡すには、タグの値を指定する AttributeValue 要素を含めます。例えば、タグのキーバリューのペア CostCenter = blue を渡すには、次のような属性を使用します。

<saml:AttributeStatement>
<saml:Attribute Name="https://aws.amazon.com/SAML/Attributes/AccessControl:CostCenter">
<saml:AttributeValue>blue
</saml:AttributeValue>
</saml:Attribute>
</saml:AttributeStatement>

複数の属性を追加する必要がある場合は、各タグに個別の Attribute 要素を含めます。

これで、Okta IAM Identity Center の ID プロバイダーおよびプロビジョニングされたユーザーとして、次のことができます。