SCIM を使用して外部 ID プロバイダーを IAM Identity Center にプロビジョニングする
IAM Identity Center は、クロスドメインアイデンティティ管理システム (SCIM) v2.0 プロトコルを使用して、ID プロバイダー (IdP) から IAM Identity Center へのユーザーおよびグループ情報の自動プロビジョニング (同期化) をサポートしています。SCIM 同期を設定すると、ID プロバイダー (IdP) のユーザー属性と IAM Identity Center の名前付き属性のマッピングが作成されます。これにより、IAM Identity Center とお客様の IdP の間で、期待される属性が一致します。この接続を IdP で設定するには、IAM Identity Center 用の SCIM エンドポイントと IAM Identity Center で作成したベアラートークンを使用します。
トピック
自動プロビジョニングを使用する際の注意事項
SCIM のデプロイを開始する前に、まず、IAM Identity Center との連携について、以下の注意事項を確認することをお勧めします。プロビジョニングに関する追加の注意事項については、お使いの IdP 向け IAM Identity Center の ID ソースに関するチュートリアル を参照してください。
-
プライマリの E メールアドレスをプロビジョニングする場合、この属性値は各ユーザーに対して一意でなければなりません。一部の IdP では、プライマリ E メールアドレスが実在しない場合があります。例えば、E メールにしか見えない UPN (Universal Principal Name) だったりします。これらの IdP は、ユーザーの実際の E メールアドレスを含むセカンダリまたは「その他」の E メールアドレスを持っている場合があります。Null 以外の一意なメールアドレスを IAM Identity Center のプライマリ E メールアドレス属性にマッピングするために、IdP の SCIM を設定する必要があります。また、ユーザーの Null 以外の一意なサインイン識別子を IAM Identity Center のユーザー名属性にマッピングする必要があります。ご利用の IdP に、サインイン識別子とユーザーの E メール名を兼ねた単一の値があるかどうかを確認してください。その場合、その IdP フィールドを IAM Identity Center のプライマリ E メールと IAM Identity Center のユーザー名の両方にマッピングすることができます。
-
SCIM の同期が機能するためには、すべてのユーザーが First name (名)、Last name (姓)、Username (ユーザーネーム)、Display name (表示名) の値を指定する必要があります。これらのすべての値が設定されていないユーザーはプロビジョニングされません。
-
サードパーティーのアプリケーションを使用する必要がある場合は、まず、アウトバウンド SAML のサブジェクト属性をユーザー名属性にマッピングする必要があります。サードパーティーのアプリケーションにルーティング可能な E メールアドレスが必要な場合、E メール属性を IdP に提供する必要があります。
-
SCIM のプロビジョニングとアップデートの間隔は、ID プロバイダーによって管理されます。ID プロバイダーのユーザーおよびグループに対する変更は、ID プロバイダーがそれらの変更を IAM Identity Center に送信した後に、 SSO にのみ反映されます。ユーザーやグループの更新の頻度については、ID プロバイダーにご確認ください。
-
現在、SCIM では多値属性 (特定のユーザーに対する複数の E メールや電話番号など) は提供されていません。SCIM を使用した IAM Identity Center に多値属性を同期させようとすると失敗します。失敗を回避するために、各属性には 1 つの値しか渡さないようにします。マルチバリューの属性を持つユーザーがいる場合は、IAM Identity Center への接続のために、IdP の SCIM で重複する属性マッピングを削除または変更します。
-
お客様の IdP での
externalIdSCIM マッピングが、一意で常に存在し、お客様のユーザにとって変更の可能性が低い値に対応していることを確認してください。例えば、IdP は、名前や E メールなどのユーザー属性の変更に影響されない、保証付きのobjectIdやその他の識別子を提供することができます。そうであれば、その値を SCIM のexternalIdフィールドにマッピングすることができます。これにより、ユーザーの名前や E メールアドレスを変更しても、AWS の資格、割り当て、権限が失われることはありません。 -
アプリケーションや AWS アカウント アカウントに割り当てられていないユーザーは、IAM Identity Center にプロビジョニングできません。ユーザーとグループを同期させるには、ユーザーとグループが、IAM Identity Center への IdP の接続を表すアプリケーションやその他の設定に割り当てられていることを確認してください。
-
ユーザープロビジョニング解除の動作は ID プロバイダーによって管理され、実装によって異なる場合があります。ユーザープロビジョニング解除の詳細については、ID プロバイダーにお問い合わせください。
IAM Identity Center の SCIM 実装の詳細については、「IAM Identity Center SCIM 実装デベロッパーガイド」 () を参照してください。
アクセストークンの有効期限を監視する方法
SCIM アクセストークンは 1 年の有効期間で生成されます。SCIM アクセストークンの有効期限が 90 日以内に設定されると、AWS は IAM Identity Center コンソールと AWS Health ダッシュボードでリマインダを送信し、トークンのローテーションを支援します。SCIM アクセストークンを有効期限が切れる前にローテーションすることで、ユーザーとグループの情報の自動プロビジョニングを継続的に保護できます。SCIM アクセストークンの有効期限が切れると、ID プロバイダーから IAM Identity Center へのユーザーとグループの情報の同期が停止するため、自動プロビジョニングでは情報を更新したり、情報を作成、削除したりできなくなります。自動プロビジョニングが中断されると、セキュリティリスクが高まり、サービスへのアクセスに影響が及ぶ可能性があります。
Identity Center コンソールのリマインダーは、SCIM アクセストークンをローテーションして、未使用または期限切れのアクセストークンを削除するまで続きます。AWS Health ダッシュボードイベントは、SCIM アクセストークンの有効期限が切れるまで 90 ~ 60 日の間は毎週、60 日から 30 日の間は週 2 回、30 日から 15 日の間は週 3 回、15 日間は毎日更新されます。
手動のプロビジョニング
一部の IdP では、クロスドメインアイデンティティ管理システム (SCIM) をサポートしていないか、互換性のない SCIM 実装をしている場合があります。そのような場合は、IAM Identity Center コンソールを通じて手動でユーザーをプロビジョニングすることができます。IAM Identity Center にユーザーを追加する際には、IdP に登録されているユーザー名と同一のユーザー名を設定します。少なくとも、一意の E メールアドレスとユーザー名が必要です。詳細については、「ユーザー名と E メールアドレスの一意性」を参照してください。
また、IAM Identity Center では、すべてのグループを手動で管理する必要があります。そのためには、グループを作成し、IAM Identity Center コンソールを使ってグループを追加します。これらのグループは、お客様の IdP に存在するものと一致する必要はありません。詳細については、「グループ」を参照してください。
