PingFederate - AWS IAM Identity Center
前提条件追加の考慮事項ステップ 1: IAM Identity Center でプロビジョニングを有効にするステップ 2: PingFederate でプロビジョニングを設定する(オプション) ステップ 3: IAM Identity Center でのアクセスコントロールのために でユーザー属性を設定する(オプション) アクセスコントロールの属性を渡す

PingFederate

IAM Identity Center は、Ping Identity (以下、Ping) の PingFederate 製品から IAM Identity Center へのユーザーおよびグループ情報の自動プロビジョニング (同期化) をサポートしています。このプロビジョニングでは、クロスドメインアイデンティティ管理システム (SCIM) v2.0 プロトコルを使用します。詳細については、「外部 ID プロバイダーで SAML および SCIM ID フェデレーションを使用する」を参照してください。

この接続を PingFederate で設定するには、IAM Identity Center SCIM エンドポイントとアクセストークンを使用します。SCIM 同期を設定すると、PingFederate のユーザー属性と IAM Identity Center の名前付き属性のマッピングが作成されます。これにより、IAM Identity Center と PingFederate の間で、期待される属性が一致します。

このガイドは、PingFederate バージョン 10.2 に基づいています。他のバージョンでは、手順が異なる場合があります。他のバージョンの Ping の IAM Identity Center へのプロビジョニングの設定方法の詳細については、PingFederate にお問い合わせください。

次のステップでは、SCIM プロトコルを使用して、PingFederate から IAM Identity Center へのユーザーとグループの自動プロビジョニングを有効にする方法を説明します。

注記

SCIM のデプロイを開始する前に、まず 自動プロビジョニングを使用する際の注意事項 を確認することをお勧めします。そして、次のセクションで残りの注意事項を確認します。

前提条件

開始する前に、以下の準備が必要です。

  • 動作中の PingFederate サーバー。既存の PingFederate サーバーをお持ちでない場合は、Ping Identity のウェブサイトから無料トライアルまたはデベロッパーアカウントを取得できるかもしれません。無料トライアルには、ライセンスやソフトウェアのダウンロード、関連するドキュメントが含まれています。

  • PingFederate サーバーにインストールされている PingFederate IAM Identity Center ソフトウェアのコピー。このソフトウェアの入手方法については、Ping Identity ウェブサイトの「IAM Identity Center Connector」を参照してください。

  • IAM Identity Center 対応アカウント (無料)。詳細については、「IAM Identity Center の有効化」を参照してください。

  • PingFederate インスタンスから IAM Identity Center への SAML 接続。この接続を設定する手順については、PingFederate のドキュメントを参照してください。つまり推奨される方法は、IAM Identity Center コネクターを使用して PingFederate で「ブラウザ SSO」を構成し、両端のメタデータの「ダウンロード」および「インポート」機能を使用して、PingFederate と IAM Identity Center の間で SAML メタデータを交換します。

追加の考慮事項

以下は、IAM Identity Center によるプロビジョニングの実装方法に影響を与える可能性がある PingFederate に関する重要な注意事項です。

  • PingFederate で設定したデータストアのユーザーから属性 (電話番号など) を削除しても、IAM Identity Center に対応するユーザーからはその属性は削除されません。これは、PingFederate’s のプロビジョナーの実装における既知の制限です。ユーザーの属性が異なる (空でない) 値に変更された場合、その変更は IAM Identity Center に同期されます。

ステップ 1: IAM Identity Center でプロビジョニングを有効にする

この最初のステップでは、IAM Identity Center コンソールを使用して、自動プロビジョニングを有効にします。

IAM Identity Center で自動プロビジョニングを有効にするには

  1. 前提条件が整ったら、IAM Identity Center コンソールを開きます。

  2. 左側のナビゲーションペインの [設定] を選択します。

  3. [設定] ページで、[自動プロビジョニング] 情報ボックスを探し、[有効化] を選択します。これにより、すぐに IAM Identity Center の自動プロビジョニングが有効になり、必要なエンドポイントとアクセストークンの情報が表示されます。

  4. [インバウンド自動プロビジョニング] ダイアログボックスで、以下のオプションの値をそれぞれコピーします。これらは、後で IdP でプロビジョニングを設定する際に貼り付ける必要があります。

    1. [SCIM エンドポイント] - 例えば https://scim.us-east-2.amazonaws.com/11111111111-2222-3333-4444-555555555555/scim/v2

    2. [アクセストークン] - [トークンを表示] を選択して値をコピーします。

    警告

    SCIM エンドポイントとアクセストークンを取得できるタイミングは、この時のみです。先に進む前に、これらの値をコピーしておいてください。このチュートリアルの後半で、お使いの IdP 上でこれらの値を入力して自動プロビジョニングを設定します。

  5. [閉じる] を選択します。

IAM Identity Center コンソールでプロビジョニングを設定した後、PingFederate 管理コンソールを使用して残りのタスクを完了する必要があります。

ステップ 2: PingFederate でプロビジョニングを設定する

PingFederate 管理コンソールで以下の手順を使用して、IAM Identity Center と IAM Identity Center コネクター間の統合を有効にします。この手順では、IAM Identity Center コネクターソフトウェアが既にインストールされていることを前提としています。まだ実行していない場合は、「前提条件」を参照してから、この手順を実行して SCIM プロビジョニングを設定してください。

重要

PingFederate サーバーが以前にアウトバウンド SCIM プロビジョニング用に設定されていない場合は、プロビジョニングを有効にするために設定ファイルの変更が必要になることがあります。詳細については、Ping ドキュメントを参照してください。つまり、pingfederate-<version>/pingfederate/bin/run.properties ファイル内の pf.provisioner.mode 設定を OFF (デフォルト) 以外の値に変更して、現在稼働中のサーバーがあれば再起動する必要があります。例えば、PingFederate を使った高可用性の構成でない場合は STANDALONE を使用することができます。

PingFederate でプロビジョニングを設定するには

  1. PingFederate 管理コンソールにサインオンします。

  2. ページ上部の [Applications] (アプリケーション) を選択し、[SP Connections] (SP 接続) をクリックします。

  3. IAM Identity Center との SAML 接続を形成するために前回作成したアプリケーションを検索して、接続名をクリックします。

  4. ページの上部にある暗いナビゲーションの見出しから [Connection Type] (接続タイプ) を選択します。前回の SAML の設定で、Browser SSO が既に選択されているはずです。選択されていない場合は、先にその手順を完了させてから次に進みます。

  5. [アウトバウンドプロビジョニング] チェックボックスを選択して、タイプとして [IAM Identity Center クラウドコネクター] を選択して、[保存] をクリックします。[IAM Identity Center Cloud Connector] がオプションとして表示されない場合は、IAM Identity Center がインストールされていることを確認して、PingFederate サーバーを再起動します。

  6. [Outbound Provisioning] (アウトバウンドプロビジョニング) ページが表示されるまで、繰り返し [Next] (次へ) をしクリックします。ページが表示されたら、[Configure Provisioning] (プロビジョニングの設定) ボタンをクリックします。

  7. 前の手順で、IAM Identity Center から [SCIM エンドポイント] の値をコピーしました。その値を PingFederate コンソールの [SCIM URL] フィールドに貼り付けます。また、前の手順で、IAM Identity Center の [アクセストークン] の値をコピーしました。その値を PingFederate コンソールの [アクセストークン] フィールドに貼り付けます。[Save] (保存) をクリックします。

  8. [Channel Configuration (Configure Channels)] (チャンネル設定 (チャンネルの設定)) ページで [Create] (作成) をクリックします。

  9. 新しいプロビジョニングチャネルのチャネル名 (AWSIAMIdentityCenterchannel など) を入力し、[Next] (次へ) をクリックします。

  10. [ソース] ページでは、IAM Identity Center への接続に使用する [アクティブデータストア] を選択し、[次へ] をクリックします。

    注記

    データソースを設定していない場合は、すぐに設定する必要があります。Ping でのデータソースの選択と設定方法については、PingFederate 製品のドキュメントを参照してください。

  11. [Source Settings] (ソースの設定) ページで、すべての値がインストールに対して正しいことを確認して、[Next] (次へ) をクリックします。

  12. [Source Location] (ソースの場所) ページで、データソースに適した設定を入力して、[Next] (次へ) をクリックします。例えば、アクティブディレクトリを LDAP ディレクトリとして使用する場合などです。

    1. AD フォレストのベース DN を入力します (例: DC=myforest,DC=mydomain,DC=com)。

    2. [ユーザー] > [グループ DN] を選択して、IAM Identity Center にプロビジョニングしたいすべてのユーザーを含む単一のグループを指定します。単一のグループが存在しない場合は、AD にグループを作成してからこの設定に戻って、対応する DN を入力します。

    3. サブグループを検索するかどうか (ネスト検索) と、必要な LDAP フィルターを指定します。

    4. [グループ] > [グループ DN] を選択して、IAM Identity Center にプロビジョニングしたいすべてのグループを含む単一のグループを指定します。通常、これは [Users] (ユーザー) セクションで指定したのと同じ DN である可能性があります。必要に応じて ネスト検索フィルターの値を入力します。

  13. [Attribute Mapping] (属性マッピング) ページで以下の項目を確認し、[Next] (次へ) をクリックします。

    1. [userName] フィールドは、E メールとしてフォーマットされた属性にマッピングされている必要があります (user@domain.com)。また、ユーザーが Ping にログインする際に使用する値と一致していなければなりません。この値は、フェデレーション認証の際に SAML nameId クレームに入力され、IAM Identity Center でのユーザーとのマッチングに使用されます。例えば、アクティブディレクトリを使用している場合、userNameUserPrincipalName を指定することができます。

    2. サフィックスに * が付いているその他のフィールドは、ユーザーの NULL 以外の属性にマップする必要があります。

  14. [Activation & Summary] (アクティベーションとサマリー) ページで、[Channel Status] (チャネルステータス) を Active (アクティブ) に設定すると、保存するとすぐに同期が開始されます。

  15. ページ上の設定値がすべて正しいことを確認して、[Done] (完了) をクリックします。

  16. [Manage Channels] (チャネルの管理) ページで [Save] (保存) をクリックします。

  17. この時点で、プロビジョニングが開始します。アクティビティは、provisioner.log ファイルで確認できます。デフォルトでは PingFederate サーバーの pingfederate-<version>/pingfederate/log ディレクトリに保存されています。

  18. ユーザーおよびグループが IAM Identity Center にすべて正常に同期されたことを確認するには、 IAM Identity Center コンソールに戻り、[Users] (ユーザー) を選択します。PingFederate から同期されたユーザーは、[ユーザー] ページに表示されます。また、同期したグループは [Groups] (グループ) ページで確認できます。

(オプション) ステップ 3: IAM Identity Center でのアクセスコントロールのために でユーザー属性を設定する

これは、AWS リソースへのアクセスを管理するために IAM Identity Center の属性設定を選択した場合の PingFederate のオプション手順です。PingFederate で定義した属性は、SAML アサーションで IAM Identity Center に渡されます。その後、IAM Identity Center でアクセス権限セットを作成し、PingFederate から渡された属性に基づいてアクセスを管理します。

この手順を始める前に、最初に アクセスコントロールの属性 機能を有効にしておく必要があります。これを行う方法については、「アクセスコントロールのための属性の有効化と設定」を参照してください。

IAM Identity Center でのアクセスコントロールに使用される PingFederate の属性の有効化と設定

  1. PingFederate 管理コンソールにサインオンします。

  2. ページ上部の [Applications] (アプリケーション) を選択し、[SP Connections] (SP 接続) をクリックします。

  3. IAM Identity Center との SAML 接続を形成するために前回作成したアプリケーションを検索して、接続名をクリックします。

  4. ページの上部にある暗いナビゲーションの見出しから [Browser SSO] (ブラウザ SSO) を選択します。次に [Configure Browser SSO] (ブラウザ SSO の設定) をクリックします。

  5. [Configure Browser SSO] (ブラウザ SSO の設定) ページで、[Assertion Creation] (アサーションの作成) を選択し、[Configure Assertion Creation] (アサーション作成の設定) をクリックします。

  6. [Configure Assertion Creation] (アサーション作成の設定) ページで、[Attribute Contract] (属性契約) を選択します。

  7. [Attribute Contract] (属性の契約) ページの [Extend the Contract] (契約の拡張) セクションで、以下の手順で新しい属性を追加します。

    1. テキストボックスには https://aws.amazon.com/SAML/Attributes/AccessControl:AttributeName を入力し、AttributeName は IAM Identity Center で想定している属性名に置き換えます。例えば、https://aws.amazon.com/SAML/Attributes/AccessControl:Department と指定します。

    2. [属性名の形式] では、[urn:oasis:names:tc:SAML:2.0:attrname-format:uri] を選択します。

    3. [Add] (追加) を選択して、次に [Next] (次へ) を選択します。

  8. [Authentication Source Mapping] (認証ソースマッピング) ページで、アプリケーションに設定されているアダプタインスタンスを選択します。

  9. [Attribute Contract Fulfillment] (属性契約の履行) ページで、[Attribute Contract] (属性契約) https://aws.amazon.com/SAML/Attributes/AccessControl:Department[Source] (ソース) (data store (データストア)) と [Value] (値) (data store attribute (データストア属性)) を選択します。

    注記

    データソースを設定していない場合は、すぐに設定する必要があります。Ping でのデータソースの選択と設定方法については、PingFederate 製品のドキュメントを参照してください。

  10. [Activation & Summary] (アクティベーションとサマリー) ページが表示されるまで、繰り返し [Next] (次へ) をクリックします。ページが表示されたら、[Save] (保存) をクリックします。

(オプション) アクセスコントロールの属性を渡す

IAM Identity Center の アクセスコントロールの属性 機能をオプションで使用して、Name 属性を https://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey} に設定した Attribute 要素を渡すことができます。この要素を使用すると、SAML アサーションでセッションタグとして属性を渡すことができます。セッションタグの詳細については、「IAM ユーザーガイド」の「AWS STS でのタグ付けの規則 」 を参照してください。

属性をセッションタグとして渡すには、タグの値を指定する AttributeValue 要素を含めます。例えば、タグのキーバリューのペア CostCenter = blue を渡すには、次のような属性を使用します。

<saml:AttributeStatement>
<saml:Attribute Name="https://aws.amazon.com/SAML/Attributes/AccessControl:CostCenter">
<saml:AttributeValue>blue
</saml:AttributeValue>
</saml:Attribute>
</saml:AttributeStatement>

複数の属性を追加する必要がある場合は、各タグに個別の Attribute 要素を含めます。