翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# IAM アイデンティティセンターの ID ソースに関するチュートリアル
AWS Organizations 管理アカウントの既存の ID ソース[を IAM アイデンティティセンターの組織インスタンス](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html)に接続できます。すでに使用している ID プロバイダーがない場合は、デフォルトの IAM アイデンティティセンターディレクトリで直接ユーザーを作成・管理できます。ID ソースは、組織ごとに 1 つ持つことができます。
このセクションのチュートリアルでは、一般的に使用される ID ソースを使用して IAM Identity Center の組織インスタンスをセットアップする方法、管理ユーザーを作成する方法、および IAM Identity Center を使用してアクセス許可セットの管理、作成 AWS アカウント、設定を行う場合について説明します。IAM アイデンティティセンターをアプリケーションへのアクセスのみに使用する場合は、権限セットを使用する必要はありません。
これらのチュートリアルでは、IAM アイデンティティセンターのアカウントインスタンスを設定する方法については説明していません。アカウントインスタンスを使用してアプリケーションにユーザーとグループを割り当てることはできますが、このインスタンスタイプを使用して AWS アカウントへのユーザーアクセスを管理することはできません。詳細については、「[IAM アイデンティティセンターのアカウントインスタンス](account-instances-identity-center.md)」を参照してください。
**注記**
これらのチュートリアルを開始する前に、IAM アイデンティティセンターを有効にしてください。詳細については、「[IAM Identity Center を有効にする](enable-identity-center.md)」を参照してください。
**Topics**
+ [
# Active Directory を ID ソースとして使用する
](gs-ad.md)
+ [
# Setting up SCIM provisioning between CyberArk and IAM Identity Center
](cyberark-idp.md)
+ [
# Google Workspace および IAM アイデンティティセンターによる SAML と SCIM の設定
](gs-gwp.md)
+ [
# IAM アイデンティティセンターを使用して JumpCloud ディレクトリプラットフォームに接続する
](jumpcloud-idp.md)
+ [
# Microsoft Entra ID および IAM アイデンティティセンターによる SAML と SCIM の設定
](idp-microsoft-entra.md)
+ [
# Okta および IAM アイデンティティセンターによる SAML と SCIM の設定
](gs-okta.md)
+ [
# OneLogin と IAM アイデンティティセンター間の SCIM プロビジョニングのセットアップ
](onelogin-idp.md)
+ [
# IAM アイデンティティセンターで Ping Identity 製品を使用する
](pingidentity.md)
+ [
# デフォルトの IAM アイデンティティセンターディレクトリを使用してユーザーアクセスを設定する
](quick-start-default-idc.md)
+ [
## ビデオチュートリアル
](#w2aac15c31)
# Active Directory を ID ソースとして使用する
Directory Service または Active Directory (AD) のセルフマネージドディレクトリを使用して AWS Managed Microsoft AD ディレクトリ内のユーザーを管理している場合は、それらのユーザーと連携するように IAM Identity Center ID ソースを変更できます。IAM アイデンティティセンターを有効にして ID ソースを選択するときは、この ID ソースを接続することを検討することをお勧めします。ユーザーやグループをデフォルトの Identity Center ディレクトリに作成する前に接続しておくと、後で ID ソースを変更する場合に必要となる追加の設定を避けることができます。
Active Directory を ID ソースとして使用するには、設定は次の前提条件を満たす必要があります。
+ を使用している場合は AWS Managed Microsoft AD、 AWS Managed Microsoft AD ディレクトリがセットアップされている AWS リージョン のと同じ で IAM Identity Center を有効にする必要があります。IAM Identity Center では、割り当てデータに関するディレクトリと同じリージョンに保存されます。IAM Identity Center を管理するには、IAM Identity Center が設定されているリージョンに切り替える必要がある場合があります。また、 AWS アクセスポータルは ディレクトリと同じアクセス URL を使用することに注意してください。
+ 管理アカウントにある Active Directory を使用してください。
に既存の AD Connector または AWS Managed Microsoft AD ディレクトリを設定し AWS Directory Service、 AWS Organizations 管理アカウント内に存在する必要があります。一度に接続できる AD Connector ディレクトリは 1 つか、ディレクトリは AWS Managed Microsoft AD 1 つだけです。複数のドメインやフォレストをサポートする必要がある場合は、 AWS Managed Microsoft ADを使用してください。詳細については、以下を参照してください。
+ [のディレクトリ AWS Managed Microsoft AD を IAM Identity Center に接続する](connectawsad.md)
+ [Active Directory の自己管理型ディレクトリを IAM Identity Center に接続する](connectonpremad.md)
+ 委任された管理者アカウントにある Active Directory を使用してください。
IAM Identity Center の委任された管理者を有効にし、IAM Identity Center の ID ソースとして Active Directory を使用する場合は、委任された管理者アカウントにある AWS Directory に設定された既存の AD Connector または AWS Managed Microsoft AD ディレクトリを使用できます。
IAM Identity Center ID ソースを他のソースから Active Directory に変更するか、Active Directory から他のソースに変更する場合、そのディレクトリは IAM Identity Center 委任管理者メンバーアカウント (存在する場合) に存在する (所有されている) 必要があります。それ以外の場合は、管理アカウントに含まれている必要があります。
このチュートリアルでは、Active Directory を IAM アイデンティティセンターの ID ソースとして使用するための基本設定について説明します。
# ステップ 1: Active Directory に接続し、ユーザーを指定する
すでに Active Directory を使用している場合は、以下のトピックがディレクトリを IAM アイデンティティセンターに接続する準備に役立ちます。
**注記**
Active Directory で AWS Managed Microsoft AD ディレクトリまたはセルフマネージドディレクトリを接続する予定で、 で RADIUS MFA を使用していない場合は AWS Directory Service、IAM Identity Center で MFA を有効にします。
**AWS Managed Microsoft AD**
1. [Microsoft AD ディレクトリ](manage-your-identity-source-ad.md) のガイダンスを確認してください。
1. 「[のディレクトリ AWS Managed Microsoft AD を IAM Identity Center に接続する](connectawsad.md)」のステップを実行してください。
1. 管理者権限を付与したいユーザーを IAM Identity Center と同期するように Active Directory を設定します。詳細については、「[管理ユーザーを IAM Identity Center と同期する](get-started-connect-id-source-ad-idp-specify-user.md#sync-admin-user-from-ad)」を参照してください。
**Active Directory 内の自己管理型ディレクトリ**
1. [Microsoft AD ディレクトリ](manage-your-identity-source-ad.md) のガイダンスを確認してください。
1. 「[Active Directory の自己管理型ディレクトリを IAM Identity Center に接続する](connectonpremad.md)」のステップを実行してください。
1. 管理者権限を付与したいユーザーを IAM Identity Center と同期するように Active Directory を設定します。詳細については、「[管理ユーザーを IAM Identity Center と同期する](get-started-connect-id-source-ad-idp-specify-user.md#sync-admin-user-from-ad)」を参照してください。
## ステップ 2: 管理ユーザーを IAM アイデンティティセンターと同期する
ディレクトリを IAM Identity Center に接続したら、管理権限を付与するユーザーを指定し、そのユーザーをディレクトリから IAM Identity Center に同期できます。
1. [IAM Identity Center コンソール](https://console.aws.amazon.com/singlesignon) を開きます。
1. [**設定**] を選択します。
1. **[設定]**ページで**[ID ソース]**タブを選択し、**[アクション]**を選択し、**[同期を管理]** を選択します。
1. [**同期の管理**] ページで、[**ユーザー**] タブを選択し、[**ユーザーとグループの追加**] を選択します。
1. **[ユーザー]** タブの **[ユーザー]** に正確なユーザー名を入力し、**[追加]** を選択します。
1. [**追加されたユーザーとグループ**] で、次の操作を行います。
1. 管理者権限を付与するユーザーが指定されていることを確認します。
1. ユーザー名の左側にあるチェックボックスをオンにします。
1. [**Submit**] を選択してください。
1. [**同期の管理**] ページで、指定したユーザーが**同期対象のユーザー**リストに表示されます。
1. ナビゲーションペインで **[ユーザー]** を選択します。
1. **[ユーザー]** ページでは、指定したユーザーがリストに表示されるまでに時間がかかる場合があります。ユーザーリストを更新するには、[更新] アイコンをクリックします。
この時点では、ユーザーは管理アカウントにアクセスできません。このアカウントへの管理アクセスを設定するには、管理アクセス権限セットを作成し、そのアクセス権限セットにユーザを割り当てます。詳細については、「[アクセス権限セットを作成します。](howtocreatepermissionset.md)」を参照してください。
# Setting up SCIM provisioning between CyberArk and IAM Identity Center
IAM Identity Center は、CyberArk Directory Platform から IAM Identity Center へのユーザ情報の自動プロビジョニン グ(同期)をサポートしています。このプロビジョニングでは、クロスドメインアイデンティティ管理システム (SCIM) v2.0 プロトコルを使用します。詳細については、「[外部 ID プロバイダーで SAML および SCIM ID フェデレーションを使用する](other-idps.md)」を参照してください。
**注記**
CyberArk は現在、 AWS IAM アイデンティティセンター アプリケーションで SAML マルチアサーション消費サービス (ACS) URLsをサポートしていません。この SAML 機能は、IAM Identity Center の[マルチリージョンサポート](multi-region-iam-identity-center.md)を最大限に活用するために必要です。IAM Identity Center を追加のリージョンにレプリケートする場合は、単一の ACS URL を使用すると、それらの追加のリージョンのユーザーエクスペリエンスに影響する可能性があることに注意してください。プライマリリージョンは引き続き正常に機能します。IdP ベンダーと協力してこの機能を有効にすることをお勧めします。単一の ACS URL を持つ追加のリージョンでのユーザーエクスペリエンスの詳細については、[複数の ACS URL なしで AWS マネージドアプリケーションを使用する URLs](multi-region-workforce-access.md#aws-app-use-without-multiple-acs-urls)「」および「」を参照してください[AWS アカウント 複数の ACS URLs を使用せずに回復性にアクセスする](multi-region-failover.md#account-access-resiliency-without-multiple-acs-url)。
SCIM のデプロイを開始する前に、まず [自動プロビジョニングを使用する際の注意事項](provision-automatically.md#auto-provisioning-considerations) を確認することをお勧めします。そして、次のセクションで残りの注意事項を確認します。
**Topics**
+ [
## 前提条件
](#cyberark-prereqs)
+ [
## SCIM に関する注意事項
](#cyberark-considerations)
+ [
## ステップ 1: IAM Identity Center でプロビジョニングを有効にする
](#cyberark-step1)
+ [
## ステップ 2: CyberArk でプロビジョニングを設定する
](#cyberark-step2)
+ [
## (オプション) ステップ 3: IAM Identity Center でのアクセスコントロール (ABAC) のために CyberArk でユーザー属性を設定する
](#cyberark-step3)
+ [
## (オプション) アクセスコントロールの属性を渡す
](#cyberark-passing-abac)
## 前提条件
開始する前に、以下の準備が必要です。
+ CyberArk のサブスクリプションまたは無料トライアル。無料トライアルにサインアップするには、[https://www.cyberark.com/try-buy/](https://www.cyberark.com/try-buy/) にアクセスしてください。
+ IAM Identity Center 対応アカウント ([無料](https://aws.amazon.com/single-sign-on/))。詳細については、「[IAM Identity Center の有効化](https://docs.aws.amazon.com/singlesignon/latest/userguide/setup-enable-idc.html)」を参照してください。
+ 「[CyberArkIAM ID Centerのドキュメント](https://docs.cyberark.com/identity/Latest/en/Content/Applications/AppsWeb/AWS_SAML_SSO.htm#)」で説明されている、CyberArk アカウントから IAM アイデンティティセンターへの SAML 接続。
+ IAM Identity Center コネクターを、 AWS アカウントへのアクセスを許可したいロール、ユーザー、組織に関連付けます。
## SCIM に関する注意事項
IAM Identity Center に CyberArk のフェデレーションを使用する場合の注意事項を以下に示します。
+ アプリケーションプロビジョニングセクションでマッピングされたロールだけが IAM Identity Center に同期されます。
+ プロビジョニングスクリプトはデフォルトの状態でのみサポートされており、変更すると SCIM のプロビジョニングに失敗する可能性があります。
+ 同期できる電話番号属性は 1 つだけです。デフォルトは「仕事用の電話」です。
+ CyberArk IAM Identity Center アプリケーションのロールマッピングを変更すると、以下のような動作になります。
+ ロール名を変更しても、IAM Identity Center のグループ名は変更されません。
+ グループ名が変更された場合、IAM Identity Center では新しいグループが作成されます。古いグループは残りますが、メンバーはいません。
+ ユーザーの同期とプロビジョニング解除の動作は、CyberArk IAM Identity Center アプリケーションから設定できますので、組織に合った動作を設定してください。オプションは次の通りです。
+ Identity Center ディレクトリ内の同じプリンシパル名のユーザーを上書きする (しない)。
+ ユーザーが CyberArk のロールから削除されたときに、IAM Identity Center からユーザーを非プロビジョニングします。
+ ユーザー動作のプロビジョニングの解除 - 無効化または削除。
## ステップ 1: IAM Identity Center でプロビジョニングを有効にする
この最初のステップでは、IAM Identity Center コンソールを使用して、自動プロビジョニングを有効にします。
**IAM アイデンティティセンターで自動プロビジョニングを有効にするには**
1. 前提条件が整ったら、[IAM アイデンティティセンターコンソール](https://console.aws.amazon.com/singlesignon)を開きます。
1. 左側のナビゲーションペインの **[設定]** を選択します。
1. **[設定]** ページで、**[自動プロビジョニング]** 情報ボックスを探し、**[有効化]** を選択します。これにより、すぐに IAM アイデンティティセンターの自動プロビジョニングが有効になり、必要なエンドポイントとアクセストークンの情報が表示されます。
1. **[インバウンド自動プロビジョニング]** ダイアログボックスで、SCIM エンドポイントとアクセストークンをコピーします。これらは、後で IdP でプロビジョニングを設定する際に貼り付ける必要があります。
1. **[SCIM エンドポイント]** - 例えば https://scim.*us-east-2*.amazonaws.com/*11111111111-2222-3333-4444-555555555555*/scim/v2
1. **[アクセストークン]** - **[トークンを表示]** を選択して値をコピーします。
**警告**
SCIM エンドポイントとアクセストークンを取得できるタイミングは、この時のみです。先に進む前に、これらの値をコピーしておいてください。このチュートリアルの後半で、お使いの IdP 上でこれらの値を入力して自動プロビジョニングを設定します。
1. **[閉じる]** を選択します。
IAM Identity Center でプロビジョニングを設定したので、CyberArk IAM Identity Center アプリケーションを使用して残りのタスクを完了する必要があります。これらのステップについて、次の手順で説明します。
## ステップ 2: CyberArk でプロビジョニングを設定する
CyberArk IAM Identity Center アプリケーションで以下の手順を使用して、IAM Identity Center によるプロビジョニングを有効にします。この手順では、CyberArk IAM Identity Center アプリケーションが **Web Apps (ウェブアプリケーション)**で CyberArk 管理コンソールに追加されていることを前提としています。まだ実行していない場合は、「[前提条件](#cyberark-prereqs)」を参照してから、この手順を実行して SCIM プロビジョニングを設定してください。
**CyberArk でプロビジョニングを設定するには**
1. CyberArk の SAML 構成の一部として追加した CyberArk IAM Identity Center アプリケーションを開きます (**アプリ>ウェブアプリ**)。「[前提条件](#cyberark-prereqs)」を参照してください。
1. **[IAM Identity Center]** アプリケーションを選択し、**[プロビジョニング]** セクションに移動します。
1. **[Enable provisioning for this application]** (このアプリケーションのプロビジョニングを有効にする) にチェックを入れ、[**Live Mode**] (ライブモード) を選択します。
1. 前の手順で、IAM Identity Center から [**SCIM エンドポイント**] の値をコピーしました。CyberArk IAM アイデンティティセンターアプリケーションの **[SCIM Service URL]** フィールドにその値を貼り付け、**[認証タイプ]** を **[認証ヘッダー]** に設定します。
1. **[Header Type]** (ヘッダータイプ) を **[Bearer Token]** (ベアラートークン) に設定します。
1. 前の手順で、IAM Identity Center の [**アクセストークン**] の値をコピーしました。その値を CyberArk IAM Identity Center アプリケーションの**[ベアラートークン]** フィールドに貼り付けます。
1. **[Verify]** (検証) をクリックすると、設定をテストして、適用します。
1. [**同期オプション**] で、CyberArk からのアウトバウンドプロビジョニングを動作させるための正しい動作を選択します。似たようなプリンシパル名を持つ既存の IAM Identity Center ユーザーを上書きする (または上書きしない) かどうか、プロビジョニング解除の動作を選択できます。
1. **[ロールマッピング]** では、[**名前**] フィールドにある CyberArk ロールから [**送信先グループ**] にある IAM Identity Center グループへのマッピングを設定します。
1. 完了したら、下部の **[Save]** (保存) をクリックします。
1. ユーザーが IAM Identity Center に正常に同期されたことを確認するには、IAM Identity Center コンソールに戻り、[**ユーザー**] を選択します。CyberArk から同期されたユーザーは、[**ユーザー**] ページに表示されます。これらのユーザーは、アカウントに割り当てられ、IAM Identity Center で接続できるようになりました。
## (オプション) ステップ 3: IAM Identity Center でのアクセスコントロール (ABAC) のために CyberArk でユーザー属性を設定する
これは、 AWS リソースへのアクセスを管理するために IAM Identity Center の属性を設定するCyberArk場合の のオプションの手順です。CyberArk で定義した属性は、SAML アサーションで IAM Identity Center に渡されます。その後、IAM Identity Center でアクセス権限セットを作成し、CyberArk から渡された属性に基づいてアクセスを管理します。
この手順を始める前に、最初に [アクセスコントロールの属性](attributesforaccesscontrol.md) 機能を有効にしておく必要があります。これを行う方法については、「[アクセスコントロールのための属性の有効化と設定](configure-abac.md)」を参照してください。
**IAM Identity Center でのアクセスコントロールに使用される CyberArk の属性の有効化と設定**
1. CyberArk の SAML 構成の一部としてインストールした CyberArk IAM Identity Center アプリケーションを開きます (**アプリ>ウェブアプリ**)。
1. **[SAML Response]** (SAML レスポンス) オプションに移動します。
1. **[Attributes]** (属性) では、以下のようなロジックでテーブルに関連する属性を追加します。
1. [**属性名**] は、CyberArk のオリジナルの属性名です。
1. [**属性値**] は、IAM Identity Center への SAML アサーションで送信される属性名です。
1. **[保存]** を選択します。
## (オプション) アクセスコントロールの属性を渡す
IAM Identity Center の [アクセスコントロールの属性](attributesforaccesscontrol.md) 機能をオプションで使用して、`Name` 属性を `https://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey}` に設定した `Attribute` 要素を渡すことができます。この要素を使用すると、SAML アサーションでセッションタグとして属性を渡すことができます。セッションタグの詳細については、「*IAM ユーザーガイド*」の「[AWS STSでのタグ付けの規則 ](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_session-tags.html)」を参照してください。
属性をセッションタグとして渡すには、タグの値を指定する `AttributeValue` 要素を含めます。例えば、タグのキーバリューのペア `CostCenter = blue` を渡すには、次のような属性を使用します。
```
blue
```
複数の属性を追加する必要がある場合は、各タグに個別の `Attribute` 要素を含めます。
# Google Workspace および IAM アイデンティティセンターによる SAML と SCIM の設定
組織が を使用している場合はGoogle Workspace、 から IAM Identity Center Google Workspaceにユーザーを統合して、 AWS リソースへのアクセスを許可できます。この統合を実現するには、IAM アイデンティティセンターID ソースをデフォルトの IAM アイデンティティセンターID ソースから Google Workspace に変更します。
**注記**
Google Workspace は現在、 AWS IAM アイデンティティセンター アプリケーションで SAML マルチアサーション消費サービス (ACS) URLsをサポートしていません。この SAML 機能は、IAM Identity Center の[マルチリージョンサポート](multi-region-iam-identity-center.md)を最大限に活用するために必要です。IAM Identity Center を追加のリージョンにレプリケートする場合は、単一の ACS URL を使用すると、それらの追加のリージョンのユーザーエクスペリエンスに影響する可能性があることに注意してください。プライマリリージョンは引き続き正常に機能します。IdP ベンダーと協力してこの機能を有効にすることをお勧めします。単一の ACS URL を持つ追加のリージョンでのユーザーエクスペリエンスの詳細については、[複数の ACS URL なしで AWS マネージドアプリケーションを使用する URLs](multi-region-workforce-access.md#aws-app-use-without-multiple-acs-urls)「」および「」を参照してください[AWS アカウント 複数の ACS URLs を使用せずに回復性にアクセスする](multi-region-failover.md#account-access-resiliency-without-multiple-acs-url)。
Google Workspace のユーザー情報は、[クロスドメイン ID 管理システム (SCIM) v2.0 プロトコル](scim-profile-saml.md#scim-profile)を使用して IAM アイデンティティセンターに同期されます。詳細については、「[外部 ID プロバイダーで SAML および SCIM ID フェデレーションを使用する](other-idps.md)」を参照してください。
Google Workspace で、この接続を IAM アイデンティティセンター用 SCIM エンドポイントと IAM アイデンティティセンターのベアラートークンを使用して設定します。SCIM 同期を設定すると、Google Workspace のユーザー属性と IAM Identity Center の名前付き属性のマッピングが作成されます。このマッピングは、IAM アイデンティティセンターと Google Workspace の間で、期待されるユーザー属性を照合します。そのためには、Google Workspace を ID プロバイダーとして設定し、IAM アイデンティティセンター ID プロバイダーに接続する必要があります。
**目的**
このチュートリアルのステップは、 Google Workspace と 間の SAML 接続を確立する方法を示しています AWS。後で、SCIM を使用して Google Workspace のユーザーを同期します。すべてが正しく設定されていることを確認するには、設定ステップを完了すると、Google Workspaceユーザーとしてサインインし、 AWS リソースへのアクセスを確認します。このチュートリアルは小規模 Google Workspace ディレクトリのテスト環境に基づいていることに注意してください。グループや組織単位などのディレクトリ構造はこのチュートリアルには含まれていません。このチュートリアルを完了すると、ユーザーはGoogle Workspace認証情報を使用して AWS アクセスポータルにアクセスできます。
**注記**
Google Workspace の無料トライアルにサインアップするには、Google's Web サイトの [https://workspace.google.com/](https://workspace.google.com/) にアクセスしてください。
IAM アイデンティティセンターをまだ有効にしていない場合は、「[IAM Identity Center を有効にする](enable-identity-center.md)」を参照してください。
## 考慮事項
+ Google Workspace と IAM アイデンティティセンター間で SCIM プロビジョニングを設定する前に、まず「[自動プロビジョニングを使用する際の注意事項](provision-automatically.md#auto-provisioning-considerations)」を確認することをお勧めします。
+ Google Workspace からの SCIM 自動同期は、現在、ユーザープロビジョニングに限定されています。現在、自動グループプロビジョニングはサポートされていません。グループは、 AWS CLI Identity Store [の create-group](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/identitystore/create-group.html) コマンドまたは AWS Identity and Access Management (IAM) API [CreateGroup](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateGroup.html) を使用して手動で作成できます。または、[ssosync](https://github.com/awslabs/ssosync) を使用して Google Workspace ユーザーとグループを IAM アイデンティティセンターに同期することもできます。
+ すべての Google Workspace ユーザーにおいて、**[名]**、**[姓]**、**[ユーザー名]**、**[表示名]** の値を指定する必要があります。
+ 各 Google Workspace ユーザーには、E メールアドレスや電話番号などのデータ属性ごとに 1 つの値のみが割り当てられます。複数の値を持つユーザーは同期に失敗します。属性に複数の値を持つユーザーがいる場合は、IAM アイデンティティセンターでユーザーをプロビジョニングする前に、重複する属性を削除してください。例えば、同期できる電話番号属性は 1 つだけです。デフォルトの電話番号属性は「勤務先の電話」なので、ユーザーの電話番号が自宅の電話でも携帯電話でも、「勤務先の電話」属性を使用してユーザーの電話番号を保存します。
+ ユーザーが IAM Identity Center で無効化されていても、Google Workspace で有効化されていれば、属性は引き続き同期されます。
+ アイデンティティセンターディレクトリに同じユーザーネームと E メールアドレスを持つ既存のユーザーがいる場合、そのユーザーは上書きされ、Google Workspace から SCIM を介して同期されます。
+ ID ソースを変更する場合は、追加の考慮事項があります。詳細については、「[IAM アイデンティティセンターから外部 IdP への変更](manage-your-identity-source-considerations.md#changing-from-idc-and-idp)」を参照してください。
## ステップ 1: Google Workspace: SAML アプリケーションを設定する
1. スーパー管理者権限を持つアカウントを使用して **[Google 管理コンソール]** にサインインします。
1. **[Google 管理コンソール]** の左側のナビゲーションパネルで、**[アプリ]** を選択してから、**[ウェブとモバイルアプリ]** を選択します。
1. **[アプリの追加]** ドロップダウンリストで、**[アプリの検索]** を選択します。
1. 検索ボックスに **[Amazon Web Services]** と入力し、リストから **[Amazon Web Services (SAML)]** アプリを選択します。
1. **[Google Identity Provider の詳細 - Amazon Web Services]** ページで、次のいずれかを実行できます。
1. IdP メタデータをダウンロードします。
1. SSO URL、エンティティ ID URL、および証明書情報をコピーします。
ステップ 2 では、XML ファイルまたは URL 情報が必要です。
1. Google 管理者コンソールの次のステップに進む前に、このページを開いたままにして、IAM アイデンティティセンターコンソールに移動します。
## ステップ 2: IAM アイデンティティセンターおよび Google Workspace : IAM アイデンティティセンターの ID ソースを変更し、Google Workspace を SAML ID プロバイダーとして設定する
1. 管理者権限を持つロールを使用して [IAM アイデンティティセンターコンソール](https://console.aws.amazon.com/singlesignon)にサインインします。
1. 左側のナビゲーションペインの **[設定]** を選択します。
1. **[設定]** ページで **[アクション]** タブを選択し、**[ID ソースを変更]** を選択します。
+ IAM アイデンティティセンターをまだ有効化していない場合、詳細については「[IAM Identity Center を有効にする](enable-identity-center.md)」を参照してください。IAM アイデンティティセンターを初めて有効にしてアクセスすると、**[ダッシュボード]** が表示され、**[ID ソースを選択]** を選択できます。
1. **[ID ソースを選択]** ページで **[外部 ID プロバイダー]** を選択したら、**[次へ]** を選択します。
1. **[外部 ID プロバイダーの設定]** ページが開きます。このページとステップ 1 の Google Workspace ページを完了するには、以下を完了する必要があります。
1. **IAM アイデンティティセンター**コンソールの **[Identity Provider メタデータ]**セクションで、次のいずれかを実行する必要があります。
1. IAM アイデンティティセンターコンソールで **[IdP SAML メタデータ]** として **[Google SAML メタデータ]** をアップロードします。
1. **[Google SSO URL]** をコピーして **[IdP サインイン URL]** フィールドに貼り付け、**[Google 発行者 URL]** を **[IdP 発行者 URL]** フィールドに貼り付け、**Google 証明書**を **[IdP 証明書]** としてアップロードします。
1. **IAM アイデンティティセンター**コンソールの **[Identity Provider メタデータ]**セクションで Google メタデータを提供したら、**[IAM Identity Assertion Consumer Service (ACS) URL]** と **[IAM アイデンティティセンター発行者 URL]** をコピーします。これらの URL は、次のステップの Google 管理者コンソールで指定する必要があります。
1. IAM アイデンティティセンターコンソールでページを開いたままにして、Google 管理者コンソールに戻ります。**[Amazon Web Services - サービスプロバイダーの詳細]** ページが開いているはずです。**[Continue]** (続行) をクリックします。
1. **[サービスプロバイダーの詳細]** ページで、**[ACS URL]** と **[エンティティ ID]** の値を入力します。これらの値は前のステップでメモしたもので、IAM アイデンティティセンターコンソールで確認できます。
+ **[IAM アイデンティティセンターAssertion Consumer Service (ACS) URL]** を **[ACS URL]** フィールドに貼り付けます。
+ **[IAM アイデンティティセンター発行者 URL]** を**[エンティティ ID]** フィールドに貼り付けます。
1. **[サービスプロバイダーの詳細]** ページで、**[名前 ID]** のフィールドに次のように入力します。
+ **[名前 ID 形式]** で、**[E メール]** を選択します。
+ **[名前 ID]** で、**[基本情報] > [プライマリ E メールアドレス]** を選択します。
1. [**続行**] をクリックしてください。
1. **[属性マッピング]** ページの **[属性]** で、**[マッピングの追加]** を選択後、**[Google Directory 属性]** で次のフィールドを設定します。
+ `https://aws.amazon.com/SAML/Attributes/RoleSessionName` **[アプリ属性]** については、**[Google Directory 属性]** から**[基本情報、プライマリ E メール]** フィールドを選択します。
+ `https://aws.amazon.com/SAML/Attributes/Role` **[アプリ属性]** については、任意の**[Google Directory 属性]** を選択します。Google Directory 属性は、**[部門]** である可能性があります。
1. **[終了]** を選択します
1. **IAM アイデンティティセンター**コンソールに戻り、**[次へ]** を選択します。**[レビューと確定]** ページで情報を確認し、表示されたスペースに **[ACCEPT]** と入力します。**[IDソースの変更]** を選択します。
これで、Google Workspace で Amazon Web Services アプリを有効化して、ユーザーを IAM アイデンティティセンターにプロビジョニングする準備ができました。
## ステップ 3: Google Workspace: アプリを有効にする
1. **Google 管理者コンソール**と AWS IAM アイデンティティセンター アプリケーションに戻ります。アプリケーションとウェブ****およびモバイルアプリにあります。 ****
1. **[ユーザーアクセス]** の横にある **[ユーザーアクセス]** パネルで、下矢印を選択して **[ユーザーアクセス]** を展開し、**[サービスのステータス]** パネルを表示します。
1. **[サービスのステータス]** パネルで **[全員オン]** を選択し、次に **[保存]** を選択します。
**注記**
最小特権の原則を維持するために、このチュートリアルの完了後、**[サービスのステータス]** を **[全員オフ]** に変更することをお勧めします。 AWS にアクセスする必要のあるユーザーのみに対して、このサービスを有効にしてください。Google Workspace グループまたは組織単位を使用して、ユーザーの特定のサブセットへのアクセス権をユーザーに付与できます。
## ステップ 4: IAM Identity Center: IAM アイデンティティセンターの自動プロビジョニングを設定する
1. IAM アイデンティティセンターコンソールに戻ります。
1. **[設定]** ページで、**[自動プロビジョニング]** 情報ボックスを探し、**[有効化]** を選択します。これにより、すぐに IAM アイデンティティセンターの自動プロビジョニングが有効になり、必要なエンドポイントとアクセストークンの情報が表示されます。
1. **[インバウンド自動プロビジョニング]** ダイアログボックスで、以下のオプションの値をそれぞれコピーします。このチュートリアルのステップ 5 では、Google Workspace でこれらの値を入力して自動プロビジョニングを設定します。
1. **SCIM エンドポイント** - 例:
+ IPv4`https://scim.Region.amazonaws.com/11111111111-2222-3333-4444-555555555555/scim/v2`
+ デュアルスタック`https://scim.Region.api.aws/11111111111-2222-3333-4444-555555555555/scim/v2`
1. **[アクセストークン]** - **[トークンを表示]** を選択して値をコピーします。
**警告**
SCIM エンドポイントとアクセストークンを取得できるタイミングは、この時のみです。先に進む前に、これらの値をコピーしておいてください。
1. [**閉じる**] を選択してください。
IAM アイデンティティセンターコンソールでプロビジョニングを設定したので、次のステップでは、Google Workspace で自動プロビジョニングを設定します。
## ステップ 5: Google Workspace: 自動プロビジョニングを設定する
1. Google 管理者コンソールに戻り、**[アプリ]** と **[Web およびモバイルアプリ]** の下にある AWS IAM アイデンティティセンター アプリケーションを確認します。**[自動プロビジョニング]** セクションで、**[自動プロビジョニングの設定]** を選択します。
1. 前の手順で、IAM アイデンティティセンターコンソールで **[アクセストークン]** の値をコピーしました。その値を **[アクセストークン]** フィールドに貼り付け、**[続行]** を選択します。また、前の手順で、IAM アイデンティティセンターコンソールで **[SCIM エンドポイント]** の値をコピーしました。その値を **[エンドポイント URL]** フィールドに貼り付け、**[続行]** を選択します。
1. すべての必須の IAM アイデンティティセンター属性 (\$1 の付いた属性) が Google Cloud Directory 属性にマップされていることを確認します。そうでない場合は、下矢印を選択して適切な属性にマップします。[**続行**] をクリックしてください。
1. **[プロビジョニング範囲]** セクションでは、Amazon Web Services アプリへのアクセスを付与する Google Workspace ディレクトリを含むグループを選択できます。このステップをスキップして **[続行]** を選択します。
1. **[プロビジョニング解除]** セクションでは、ユーザーのアクセス権取り消しにつながるさまざまなイベントへの対応方法を選択できます。状況ごとに、プロビジョニング解除を開始するまでの時間を指定できます。
+ 24 時間以内
+ 1 日後
+ 7 日後
+ 30 日後
それぞれの状況には、アカウントのアクセスを一時停止するタイミングとアカウントを削除するタイミングがあります。
**ヒント**
ユーザーのアカウントを削除するまでの時間は、必ずユーザーのアカウントを停止するよりも長く設定してください。
1. [**Finish**] を選択してください。Amazon Web Services アプリページに戻ります。
1. **[自動プロビジョニング]** セクションで、トグルスイッチを操作して **[非アクティブ]** から **[アクティブ]** に変更します。
**注記**
IAM Identity Center がユーザーに対して有効になっていない場合、アクティベーションスライダーは無効になります。**[ユーザーアクセス]** を選択し、アプリをオンにしてスライダーを有効にします。
1. 確認ダイアログボックスで **[オンにする]** をクリックします。
1. ユーザーが IAM Identity Center と正常に同期されたことを確認するには、IAM Identity Center コンソールに戻り、**[ユーザー]** を選択します。**[ユーザー]** ページには、SCIM によって作成された Google Workspace ディレクトリのユーザーが一覧表示されます。ユーザーがまだリストに表示されていない場合は、プロビジョニングがまだ進行中である可能性があります。プロビジョニングには最長で 24 時間かかることがありますが、ほとんどの場合、数分以内に完了します。ブラウザウィンドウは数分おきに更新してください。
ユーザーを選択し、その詳細を確認します。表示される情報が Google Workspace ディレクトリ内の情報と一致しているか確認すること。
**お疲れ様でした。**
Google Workspace と の間の SAML 接続を正常にセットアップ AWS し、自動プロビジョニングが機能していることを検証しました。**[IAM Identity Center]** でこれらのユーザーをアカウントおよびアプリケーションに割り当てることができるようになりました。このチュートリアルでは、次のステップで、管理アカウントへの管理アクセス許可を付与して、ユーザーの 1 人を IAM アイデンティティセンター管理者として指定しましょう。
## アクセスコントロールの属性を渡す - *オプション*
IAM Identity Center の [アクセスコントロールの属性](attributesforaccesscontrol.md) 機能をオプションで使用して、`Name` 属性を `https://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey}` に設定した `Attribute` 要素を渡すことができます。この要素を使用すると、SAML アサーションでセッションタグとして属性を渡すことができます。セッションタグの詳細については、「*IAM ユーザーガイド*」の「[AWS STSでのタグ付けの規則 ](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_session-tags.html)」を参照してください。
属性をセッションタグとして渡すには、タグの値を指定する `AttributeValue` 要素を含めます。例えば、タグのキーバリューのペア `CostCenter = blue` を渡すには、次のような属性を使用します。
```
blue
```
複数の属性を追加する必要がある場合は、各タグに個別の `Attribute` 要素を含めます。
## へのアクセスを割り当てる AWS アカウント
以下の手順は、 へのアクセスのみを許可するために必要です AWS アカウント 。これらのステップは、 AWS アプリケーションへのアクセスを許可するためには必要ありません。
**注記**
このステップを完了するには、IAM アイデンティティセンターの組織インスタンスが必要です。詳細については、「[IAM アイデンティティセンターの組織インスタンスとアカウントインスタンス](identity-center-instances.md)」を参照してください。
### ステップ 1: IAM アイデンティティセンター: Google Workspace ユーザーにアカウントへのアクセスを付与する
1. **IAM アイデンティティセンター**コンソールに戻ります。IAM アイデンティティセンターのナビゲーションペインの **[マルチアカウントのアクセス許可]** で、**[AWS アカウント]** を選択します。
1. **AWS アカウント** ページの **[組織構造]** には、組織のルートと、その下にあるアカウントが階層内で表示されます。管理アカウントのチェックボックスをオンにし、**[ユーザーまたはグループを割り当て]** を選択します。
1. **[ユーザーとグループを割り当てる]** のワークフローが表示されます。これは、3 つのステップから構成されています。
1. **[ステップ 1: ユーザーとグループの選択]** では、管理者の職務を実行するユーザーを選択します。次いで、**[次へ]** を選択します。
1. **[ステップ 2: アクセス許可セットの選択]** では、**[許可セットを作成]** を選択します。新しいタブが開き、アクセス許可セットを作成するための 3 つのサブステップが順を追って表示されます。
1. **[ステップ 1: 許可セットタイプを選択]** では、以下を完了します。
+ **[許可セットのタイプ]** で、**[事前定義された許可セット]** を選択します。
+ **[事前定義された許可セットのポリシー]** で **[AdministratorAccess]** を選択します。
[**次へ**] を選択します。
1. **[ステップ 2: 許可セットの詳細を指定]** では、デフォルト設定のままで、**[次へ]** を選択します。
デフォルト設定では、*AdministratorAccess* という名前の許可セットが作成され、セッション期間は 1 時間に設定されます。
1. **[ステップ 3: 確認して作成]** では、**[許可セットのタイプ]** が AWS 管理ポリシー **[AdministratorAccess]** を使用していることを確認します。**[作成]** を選択します。**[アクセス許可セット]** ページに、アクセス許可セットが作成されたことを知らせる通知が表示されます。この時点で、ウェブブラウザでこのタブを閉じてもかまいません。
1. **[ユーザーとグループを割り当てる]** ブラウザタブでは、**[ステップ 2: 許可セットを選択]** でアクセス許可セットの作成ワークフローを開始した状態のままになっています。
1. **[アクセス許可セット]** 領域で、**[更新]** ボタンを選択します。作成した *AdministratorAccess* 許可セットがリストに表示されます。そのアクセス許可セットのチェックボックスを選択したら、**[次へ]** を選択します。
1. **[ステップ 3: 確認と送信]** では、選択したユーザーとアクセス許可セットを確認し、**[送信]** を選択します。
ページが更新され、 AWS アカウント が設定されているというメッセージが表示されます。プロセスが完了するまで待ちます。
AWS アカウント ページに戻ります。が再プロビジョニングされ、更新されたアクセス許可セットが適用され AWS アカウント たことを通知する通知メッセージが表示されます。ユーザーはサインインすると、*[AdministratorAccess]* ロールを選択できます。
**注記**
Google Workspace からの SCIM 自動同期は、ユーザーのプロビジョニングのみをサポートしています。現在、自動グループプロビジョニングはサポートされていません。 AWS マネジメントコンソールを使用して Google Workspace ユーザーのグループを作成することはできません。ユーザーをプロビジョニングした後、 AWS CLI Identity Store [の create-group](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/identitystore/create-group.html) コマンドまたは IAM API [CreateGroup](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateGroup.html) を使用してグループを作成できます。
### ステップ 2: Google Workspace: Google Workspace ユーザーが AWS リソースにアクセスできることを確認する
1. テストユーザーアカウントを使用して Google にサインインします。Google Workspace にユーザーを追加する方法については、「[Google Workspace ドキュメント](https://knowledge.workspace.google.com/kb/how-to-create-a-new-user-000007668)」を参照してください。
1. Google apps ランチャー (ワッフル) アイコンを選択します。
1. カスタム Google Workspace アプリが置かれているアプリケーションリストの下部にスクロールします。**Amazon Web Services** アプリが表示されます。
1. **Amazon Web Services** アプリを選択します。 AWS アクセスポータルにサインインすると、 AWS アカウント アイコンが表示されます。そのアイコンを展開すると、 AWS アカウント ユーザーがアクセスできる のリストが表示されます。このチュートリアルでは 1 つのアカウントしか使用していなかったため、アイコンを展開しても 1 つのアカウントしか表示されません。
1. アカウントを選択すると、そのユーザーが利用可能なアクセス許可セットが表示されます。このチュートリアルでは、**AdministratorAccess** 許可セットを作成しました。
1. アクセス許可セットの横には、その許可セットで利用できるアクセスの種類を示すリンクがあります。アクセス許可セットを作成したときに、管理コンソールとプログラムによるアクセスの両方を有効にするように指定したので、これら 2 つのオプションが表示されます。**[管理コンソール]** を選択して AWS マネジメントコンソールを開きます。
1. ユーザーはコンソールにサインインしています。
## 次の手順
Google Workspace を ID プロバイダーとして設定し、IAM アイデンティティセンターにユーザーをプロビジョニングしたので、次のことが可能になります。
+ AWS CLI Identity Store の [create-group](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/identitystore/create-group.html) コマンドまたは IAM API [CreateGroup](https://docs.aws.amazon.com/singlesignon/latest/IdentityStoreAPIReference/API_CreateGroup.html) を使用して、ユーザーのグループを作成します。
グループは、 AWS アカウント および アプリケーションへのアクセスを割り当てる場合に便利です。各ユーザーを個別に割り当てるのではなく、グループに権限を与えます。その後、グループにユーザーを追加したり削除したりすると、そのユーザーはグループに割り当てられたアカウントやアプリケーションへのアクセス権を動的に得たり、失ったりします。
+ 職務に基づいてアクセス許可を設定します。「[アクセス許可セットの作成](howtocreatepermissionset.md)」を参照してください。
アクセス権限セットは、ユーザーおよびグループが持つこの AWS アカウントアカウントに対するアクセスのレベルを定義します。権限セットは IAM Identity Center に保存され、1 つまたは複数の AWS アカウントにプロビジョニングできます。複数のアクセス権限セットを 1 人のユーザーに割り当てることができます。
**注記**
IAM アイデンティティセンターの管理者として、古い IdP 証明書を新しい証明書に置き換える必要がある場合があります。例えば、IdP 証明書の有効期限が近づいている場合は、証明書を交換する必要があります。古い証明書を新しい証明書に置き換えるプロセスは、証明書のローテーションと呼ばれています。Google Workspace については、[SAML 証明書の管理](managesamlcerts.md)方法を必ず確認してください。
## トラブルシューティング
Google Workspace を使用した一般的な SCIM および SAML のトラブルシューティングについては、以下のセクションを参照してください。
+ [特定のユーザーが、外部の SCIM プロバイダーからの IAM Identity Center に同期できません](troubleshooting.md#issue2)
+ [IAM Identity Center によって作成された SAML アサーションの内容に関する問題](troubleshooting.md#issue1)
+ [外部 ID プロバイダーを使用してユーザーまたはグループをプロビジョニングする際の重複ユーザーまたはグループのエラー](troubleshooting.md#duplicate-user-group-idp)
+ Google Workspace に関するトラブルシューティングについては、[Google Workspace ドキュメント](https://support.google.com/a/topic/7579248?sjid=11091727091254312767-NA)を参照してください。
以下のリソースは、作業中のトラブルシューティングに役立ちます AWS。
+ [AWS re:Post](https://repost.aws/) — 問題のトラブルシューティングに役立つ FAQ やその他のリソースへのリンクを検索できます。
+ [AWS サポート](https://aws.amazon.com/premiumsupport/) - テクニカルサポートを受ける
# IAM アイデンティティセンターを使用して JumpCloud ディレクトリプラットフォームに接続する
IAM Identity Center は、 JumpCloud ディレクトリプラットフォームから IAM Identity Center へのユーザー情報の自動プロビジョニング (同期) をサポートします。このプロビジョニングでは、[Security Assertion Markup Language (SAML) 2.0](scim-profile-saml.md) プロトコルを使用します。詳細については、「[外部 ID プロバイダーで SAML および SCIM ID フェデレーションを使用する](other-idps.md)」を参照してください。
この接続を JumpCloud で設定するには、IAM Identity Center SCIM エンドポイントとアクセストークンを使用します。SCIM 同期を設定すると、JumpCloud のユーザー属性と IAM Identity Center の名前付き属性のマッピングが作成されます。これにより、IAM Identity Center と JumpCloud の間で、期待される属性が一致します。
このガイドは、2021 年 6 月時点の JumpCloud に基づきます。新しいバージョンでは、手順が異なる場合があります。このガイドには、SAML によるユーザー認証の設定に関するいくつかの注意事項が記載されています。
次のステップでは、SCIM プロトコルを使用して、JumpCloud から IAM Identity Center へのユーザーとグループの自動プロビジョニングを有効にする方法を説明します。
**注記**
SCIM のデプロイを開始する前に、まず [自動プロビジョニングを使用する際の注意事項](provision-automatically.md#auto-provisioning-considerations) を確認することをお勧めします。そして、次のセクションで残りの注意事項を確認します。
**Topics**
+ [
## 前提条件
](#jumpcloud-prereqs)
+ [
## SCIM に関する注意事項
](#jumpcloud-scim)
+ [
## ステップ 1: IAM Identity Center でプロビジョニングを有効にする
](#jumpcloud-step1)
+ [
## ステップ 2: JumpCloud でプロビジョニングを設定する
](#jumpcloud-step2)
+ [
## (オプション) ステップ 3: IAM Identity Center でのアクセスコントロールのために JumpCloud でユーザー属性を設定する
](#jumpcloud-step3)
+ [
## (オプション) アクセスコントロールの属性を渡す
](#jumpcloud-passing-abac)
## 前提条件
開始する前に、以下の準備が必要です。
+ JumpCloud のサブスクリプションまたは無料トライアル。無料トライアルにサインアップするには、[https://console.jumpcloud.com/signup](https://console.jumpcloud.com/signup) にアクセスしてください。
+ IAM Identity Center が有効なアカウント ([無料](https://aws.amazon.com/single-sign-on/))。詳細については、「[IAM Identity Center の有効化](https://docs.aws.amazon.com/singlesignon/latest/userguide/setup-enable-idc.html)」を参照してください。
+ 「[JumpCloudIAM ID Centerのドキュメント](https://support.jumpcloud.com/support/s/article/Single-Sign-On-SSO-With-AWS-SSO)」で説明されている、JumpCloud アカウントから IAM アイデンティティセンターへの SAML 接続。
+ IAM Identity Center を追加のリージョンにレプリケートした場合は、ID プロバイダーの設定を更新して、 AWS マネージドアプリケーションおよびそれらのリージョン AWS アカウント からのアクセスを有効にする必要があります。詳細については、[ステップ 3: 外部 IdP 設定を更新する](replicate-to-additional-region.md#update-external-idp-setup)を参照してください。詳細については、JumpCloudドキュメントを参照してください。
+ IAM Identity Center コネクターを、 AWS アカウントへのアクセスを許可するグループに関連付けます。
## SCIM に関する注意事項
IAM Identity Center に JumpCloud のフェデレーションを使用する場合の注意事項を以下に示します。
+ の AWS Single Sign-On コネクタに関連付けられたグループのみが SCIM と同期 JumpCloudされます。
+ 同期できる電話番号属性は 1 つだけです。デフォルトは「仕事用の電話」です。
+ JumpCloud ディレクトリのユーザーは、SCIM 経由で IAM Identity Center に同期されるように姓名が設定されている必要があります。
+ ユーザーが IAM Identity Center で無効化されていても、JumpCloud で有効化されていれば、属性は引き続き同期されます。
+ コネクターの [Enable management of User Groups and Group membership] (ユーザーグループおよびグループメンバーシップの管理を有効にする) のチェックを外すことで、ユーザー情報だけの SCIM 同期を有効にすることができます。
## ステップ 1: IAM Identity Center でプロビジョニングを有効にする
この最初のステップでは、IAM Identity Center コンソールを使用して、自動プロビジョニングを有効にします。
**IAM アイデンティティセンターで自動プロビジョニングを有効にするには**
1. 前提条件が整ったら、[IAM アイデンティティセンターコンソール](https://console.aws.amazon.com/singlesignon)を開きます。
1. 左側のナビゲーションペインの **[設定]** を選択します。
1. **[設定]** ページで、**[自動プロビジョニング]** 情報ボックスを探し、**[有効化]** を選択します。これにより、すぐに IAM アイデンティティセンターの自動プロビジョニングが有効になり、必要なエンドポイントとアクセストークンの情報が表示されます。
1. **[インバウンド自動プロビジョニング]** ダイアログボックスで、SCIM エンドポイントとアクセストークンをコピーします。これらは、後で IdP でプロビジョニングを設定する際に貼り付ける必要があります。
1. **[SCIM エンドポイント]** - 例えば https://scim.*us-east-2*.amazonaws.com/*11111111111-2222-3333-4444-555555555555*/scim/v2
1. **[アクセストークン]** - **[トークンを表示]** を選択して値をコピーします。
**警告**
SCIM エンドポイントとアクセストークンを取得できるタイミングは、この時のみです。先に進む前に、これらの値をコピーしておいてください。このチュートリアルの後半で、お使いの IdP 上でこれらの値を入力して自動プロビジョニングを設定します。
1. [**閉じる**] を選択してください。
IAM Identity Center でプロビジョニングを設定したので、JumpCloud IAM Identity Center を使用して残りのタスクを完了する必要があります。これらのステップについて、次の手順で説明します。
## ステップ 2: JumpCloud でプロビジョニングを設定する
JumpCloud IAM ID センターコネクタで以下の手順を実行して、IAM ID センターによるプロビジョニングを有効にします。この手順では、 JumpCloud IAM Identity Center が既に JumpCloud 管理者ポータルとグループに追加されていることを前提としています。まだ実行していない場合は、「[前提条件](#jumpcloud-prereqs)」を参照してから、この手順を実行して SCIM プロビジョニングを設定してください。
**JumpCloud でプロビジョニングを設定するには**
1. JumpCloud 用 SAML 設定の一部としてインストールした JumpCloud IAM Identity Center コネクタを開きます(**[ユーザー認証]** > **[IAM Identity Center]**)。「[前提条件](#jumpcloud-prereqs)」を参照してください。
1. **[IAM ID センター]** コネクタを選択し、3 つ目のタブ [**ID 管理**] を選択します。
1. グループを SCIM 同期させたい場合は、**[Enable management of User Groups and Group membership in this application]** (このアプリケーションでのユーザーグループとグループメンバーシップの管理を有効にする) にチェックを入れます。
1. **[Configure]** (構成) をクリックします。
1. 前の手順で、IAM Identity Center から [**SCIM エンドポイント**] の値をコピーしました。その値を JumpCloud IAM Identity Center コネクターの **[ベース URL]** フィールドに貼り付けます。
1. 前の手順で、IAM Identity Center の [**アクセストークン**] の値をコピーしました。その値を JumpCloud IAM Identity Center コネクターの [**トークンキー**] フィールドに貼り付けます。
1. **[Activate]** (有効化) をクリックすると、設定が適用されます。
1. **[Single Sign-On]** (Single Sign-On) の横にある緑色のインジケータが有効になっていることを確認してください。
1. 4 つ目のタブ **[ユーザーグループ]** に移動し、SCIM でプロビジョニングしたいグループにチェックを入れます。
1. 完了したら、下部の **[Save]** (保存) をクリックします。
1. ユーザーが IAM Identity Center に正常に同期されたことを確認するには、IAM Identity Center コンソールに戻り、[**ユーザー**] を選択します。 JumpCloud から同期されたユーザーは、[**ユーザー**] ページに表示されます。これらのユーザーは、IAM Identity Center でアカウントに割り当てられるようになりました。
## (オプション) ステップ 3: IAM Identity Center でのアクセスコントロールのために JumpCloud でユーザー属性を設定する
これは、 AWS リソースへのアクセスを管理するために IAM Identity Center の属性を設定するJumpCloud場合の のオプションの手順です。JumpCloud で定義した属性は、SAML アサーションで IAM Identity Center に渡されます。その後、IAM Identity Center でアクセス権限セットを作成し、JumpCloud から渡された属性に基づいてアクセスを管理します。
この手順を始める前に、最初に [[Attributes for access control]](https://docs.aws.amazon.com/singlesignon/latest/userguide/attributesforaccesscontrol.html) (アクセスコントロールのための属性) 機能を有効にしておく必要があります。これを行う方法については、[「Enable and configure attributes for access control」](https://docs.aws.amazon.com/singlesignon/latest/userguide/configure-abac.html)(アクセスコントロールの属性を有効にし、設定する) を参照してください。
****IAM Identity Center でのアクセスコントロールに使用される JumpCloud の属性の有効化と設定****
1. JumpCloud 用 SAML 設定の一部としてインストールした JumpCloud IAM Identity Center コネクタを開きます(**[ユーザー認証]** > **[IAM Identity Center]**)。
1. **IAM Identity Center** コネクターを選択します。次に、2 番目のタブ **IAM Identity Center **を選択します。
1. このタブの下部には、[**ユーザー属性マッピング**] があり、[**A新規属性の追加**] を選択して、以下の操作を行います。これらの手順は、IAM Identity Center でのアクセスコントロールに使用するために追加する各属性に行う必要があります。
1. **[サービス提供属性]** フィールドには `https://aws.amazon.com/SAML/Attributes/AccessControl: AttributeName.` を入力し、` AttributeName ` は IAM Identity Center で想定している属性名に置き換えます。例えば、` https://aws.amazon.com/SAML/Attributes/AccessControl: Email ` です。
1. [**JumpCloud 属性名**] フィールドで、JumpCloud ディレクトリからユーザー属性を選択します。例えば、**E メール (仕事用)**などです。
1. **[保存]** を選択します。
## (オプション) アクセスコントロールの属性を渡す
IAM Identity Center の [アクセスコントロールの属性](attributesforaccesscontrol.md) 機能をオプションで使用して、`Name` 属性を `https://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey}` に設定した `Attribute` 要素を渡すことができます。この要素を使用すると、SAML アサーションでセッションタグとして属性を渡すことができます。セッションタグの詳細については、「*IAM ユーザーガイド*」の「[AWS STSでのタグ付けの規則 ](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_session-tags.html)」を参照してください。
属性をセッションタグとして渡すには、タグの値を指定する `AttributeValue` 要素を含めます。例えば、タグのキーバリューのペア `CostCenter = blue` を渡すには、次のような属性を使用します。
```
blue
```
複数の属性を追加する必要がある場合は、各タグに個別の `Attribute` 要素を含めます。
# Microsoft Entra ID および IAM アイデンティティセンターによる SAML と SCIM の設定
AWS IAM アイデンティティセンター は、[Security Assertion Markup Language (SAML) 2.0 ](scim-profile-saml.md)との統合、およびクロスドメインアイデンティティ管理 (SCIM) 2.0 プロトコルを使用した Microsoft Entra ID (旧称 Azure Active Directoryまたは Azure AD) から IAM アイデンティティセンターへのユーザーおよびグループ情報[の自動プロビジョニング](provision-automatically.md) (同期) をサポートしています。 [SCIM プロファイル](scim-profile-saml.md#scim-profile)詳細については、「[外部 ID プロバイダーで SAML および SCIM ID フェデレーションを使用する](other-idps.md)」を参照してください。
**目的**
このチュートリアルでは、テストラボをセットアップし、Microsoft Entra ID と IAM アイデンティティセンター間の SAML 接続と SCIM プロビジョニングを設定します。最初の準備ステップでは、両方向の SAML 接続をテストするのに使用する Microsoft Entra ID と IAM アイデンティティセンターの両方にテストユーザー (Nikki Wolf) を作成します。後で SCIM の手順の一環として、別のテストユーザー (Richard Roe) を作成して、Microsoft Entra ID の新しい属性が想定どおりに IAM アイデンティティセンターと同期されていることを確認します。
## 前提条件
このチュートリアルを開始する前に、まず以下を設定する必要があります。
+ Microsoft Entra ID テナント。詳細については、Microsoft ドキュメントの「[Quickstart: Set up a tenant](https://docs.microsoft.com/en-us/azure/active-directory/develop/quickstart-create-new-tenant)」を参照してください。
+ AWS IAM アイデンティティセンターが有効なアカウント。詳細については、「*AWS IAM アイデンティティセンター ユーザーガイド*」の「[ IAM アイデンティティセンターを有効にする](https://docs.aws.amazon.com/singlesignon/latest/userguide/get-started-enable-identity-center.html)」を参照してください。
## 考慮事項
以下は、SCIM v2 プロトコルを使用して、本番環境内で IAM アイデンティティセンターを使用した[自動プロビジョニング](provision-automatically.md)を実装するための計画に影響を与える場合がある Microsoft Entra ID に関する重要な考慮事項です。
**自動プロビジョニング**
SCIM のデプロイを開始する前に、まず [自動プロビジョニングを使用する際の注意事項](provision-automatically.md#auto-provisioning-considerations) を確認することをお勧めします。
**アクセスコントロールの属性**
アクセスコントロールの属性は、ID ソース内の誰が AWS リソースにアクセスできる かを決定するアクセス 許可ポリシーで使用されます。Microsoft Entra ID のユーザーから属性を削除しても、IAM アイデンティティセンターの対応するユーザーからはその属性は削除されません。これは、Microsoft Entra ID の既知の制限事項です。ユーザーの属性が異なる (空でない) 値に変更された場合、その変更は IAM Identity Center に同期されます。
**ネストされたグループ**
Microsoft Entra ID ユーザープロビジョニングサービスは、ネストされたグループのユーザーを読み取ったりプロビジョニングしたりすることはできません。明示的に割り当てられたグループの直接のメンバであるユーザーのみが、読み取りとプロビジョニングを行うことができます。Microsoft Entra ID は、間接的に割り当てられたユーザまたはグループ(直接割り当てられたグループのメンバであるユーザまたはグループ)のグループ・メンバシップを再帰的に解凍することはありません。詳細については、「Microsoft ドキュメント」の「[割り当てベースのスコープ](https://learn.microsoft.com/en-us/azure/active-directory/app-provisioning/how-provisioning-works#assignment-based-scoping)」を参照してください。または、[IAM アイデンティティセンターで設定可能な AD Sync](https://aws.amazon.com/blogs//security/managing-identity-source-transition-for-aws-iam-identity-center/) を使用して、Active Directory グループを IAM アイデンティティセンターと統合できます。
**動的グループ**
Microsoft Entra ID ユーザープロビジョニングサービスは、「[動的グループ](https://learn.microsoft.com/en-us/azure/active-directory/enterprise-users/groups-create-rule)」のユーザーを読み取ってプロビジョニングできます。動的グループを使用する場合のユーザーとグループの構造と IAM Identity Center での表示方法を示す例については、以下を参照してください。これらのユーザーとグループは SCIM 経由で Microsoft Entra ID から IAM Identity Center にプロビジョニングされました。
たとえば、動的グループの Microsoft Entra ID 構造が以下のような場合:
1. メンバー ua1、ua2 を持つグループ A
1. メンバー ub1 を持つグループ B
1. メンバー uc1 を持つグループ C
1. グループ K (グループ A、B、C のメンバーを含むルールを持つ)
1. グループ L (グループ B と C のメンバーを含むルールを持つ)
ユーザとグループ情報が Microsoft Entra ID から SCIM を介して IAM Identity Center にプロビジョニングされた後、構造は以下のようになります。
1. メンバー ua1、ua2 を持つグループ A
1. メンバー ub1 を持つグループ B
1. メンバー uc1 を持つグループ C
1. メンバー ua1、ua2、ub1、uc1 を含むグループ K
1. メンバー ub1、uc1 を持つグループ L
動的グループを使用して自動プロビジョニングを設定する場合、次の考慮事項に留意してください。
+ 動的グループにはネストされたグループを含めることができます。ただし、Microsoft Entra ID プロビジョニングサービスはネストされたグループをフラット化しません。たとえば、Microsoft Entra ID 動的グループの構造が以下のような場合:
+ グループ A はグループ B の親です。
+ グループ A には ua1 がメンバーとしています。
+ グループ B には ub1 がメンバーとしています。
グループ A を含む動的グループには、グループ A の直接のメンバー (つまり ua1) のみが含まれます。グループ B のメンバーは再帰的に含まれません。
+ 動的グループには他の動的グループを含めることはできません。詳細については、Microsoft ドキュメントの「[プレビューに関する制限](https://learn.microsoft.com/en-us/azure/active-directory/enterprise-users/groups-dynamic-rule-member-of#preview-limitations)」を参照してください。
## ステップ 1: Microsoft テナントを準備する
このステップでは、 AWS IAM アイデンティティセンター エンタープライズアプリケーションをインストールして設定し、新しく作成したMicrosoft Entra IDテストユーザーにアクセス権を割り当てる方法について説明します。
------
#### [ Step 1.1 > ]
**ステップ 1.1: で AWS IAM アイデンティティセンター エンタープライズアプリケーションをセットアップする Microsoft Entra ID**
この手順では、 AWS IAM アイデンティティセンター エンタープライズアプリケーションを にインストールしますMicrosoft Entra ID。SAML 接続を設定するには、後でこのアプリケーションが必要になります AWS。
1. クラウドアプリケーション管理者以上の権限で、[Microsoft Entra 管理センター](https://entra.microsoft.com/)にサインインします。
1. **[ID] > [アプリケーション] > [エンタープライズアプリケーション]** に移動し、**[新しいアプリケーション]** を選択します。
1. **[Microsoft Entra ギャラリーの参照]** ページで、検索ボックスに ****AWS IAM アイデンティティセンター**** を入力します。
1. 検索結果から **AWS IAM アイデンティティセンター** を選択します。
1. **[作成]** を選択します。
------
#### [ Step 1.2 > ]
**ステップ 1.2: Microsoft Entra ID でテストユーザーを作成する**
Nikki Wolf は、この手順で作成する Microsoft Entra ID テストユーザーの名前です。
1. [Microsoft Entra 管理センター](https://entra.microsoft.com/)コンソールで、**[ID] > [ユーザー] > [すべてのユーザー]** に移動します。
1. **[新しいユーザー]** を選択し、画面上部の **[新しいユーザーの作成]** を選択します。
1. **[ユーザープリンシパル名]** に ****NikkiWolf**** と入力し、目的のドメインと拡張子を選択します。例えば、*NikkiWolf*@*example.org* と入力します。
1. **[表示名]** に ****NikkiWolf**** と入力します。
1. **[パスワード]** に、強力なパスワードを入力するか、目のアイコンを選択して自動生成されたパスワードを表示し、表示された値をコピーするか書き留めてください。
1. **[プロパティ]** を選択し、**[名]** に ****Nikki**** と入力します。**[姓]** に、****Wolf**** と入力します。
1. **[レビューと作成]** を選択したら、**[作成]** を選択します。
------
#### [ Step 1.3 ]
**ステップ 1.3: アクセス許可を に割り当てる前に Nikki のエクスペリエンスをテストする AWS IAM アイデンティティセンター**
この手順では、Nikki が Microsoft [マイアカウントポータル](https://myaccount.microsoft.com/)に正常にサインインできることを確認します。
1. 同じブラウザで新しいタブを開き、[[マイアカウントポータル]](https://myaccount.microsoft.com/) サインインページに移動して、Nikki 向けの完全なメールアドレスを入力します。例えば、*NikkiWolf*@*example.org* と入力します。
1. プロンプトが表示されたら、Nikki のパスワードを入力し、**[サインイン]** を選択します。これが自動生成されたパスワードの場合は、パスワードを変更するように求められます。
1. **[アクションが必要]** ページで **[後で確認する]** を選択すると、追加のセキュリティメソッドの入力を求めるプロンプトは表示されなくなります。
1. **[マイアカウント]** ページの左側のナビゲーションペインで、**[マイアプリ]** を選択します。現時点では、**アドイン**以外のアプリが表示されていないことに注意してください。後のステップでここに表示される **AWS IAM アイデンティティセンター** アプリを追加します。
------
#### [ Step 1.4 ]
**ステップ 1.4: Microsoft Entra ID で Nikki に権限を割り当てる**
Nikki が **[マイアカウントポータル]** に正常にアクセスできることを確認したので、次の手順に従って Nikki のユーザーを **AWS IAM アイデンティティセンター** アプリに割り当てます。
1. [Microsoft Entra 管理センター](https://entra.microsoft.com/)コンソールで、**[ID] > [アプリケーション] > [エンタープライズアプリケーション]** に移動し、リストから **AWS IAM アイデンティティセンター** を選択します。
1. 左側で **[ユーザーとグループ]** を選択します。
1. **[Add user/group]** (ユーザーとグループを追加) を選択します。グループを割り当てることができないというメッセージは無視してかまいません。このチュートリアルでは、割り当てにグループを使用しません。
1. **[割り当てを追加]** ページの **[ユーザー]** で、**[何も選択されていません]** を選択します。
1. **[NikkiWolf]** を選択し、次に **[選択]** を選択します。
1. **[Add Assignment]** (割り当てを追加) ページで、**[Assign]** (割り当て) を選択します。これで、**AWS IAM アイデンティティセンター** アプリに割り当てられたユーザーのリストに NikkiWolf が表示されるようになりました。
------
## ステップ 2: AWS アカウントを準備する
このステップでは、**IAM Identity Center** を使用して (許可セットにより) アクセス許可を設定する方法、対応する Nikki Wolf ユーザを手動で作成する方法、および AWSのリソースを管理するために必要な権限をそのユーザに割り当てる方法について説明します。
------
#### [ Step 2.1 > ]
**ステップ 2.1: IAM Identity Center で RegionalAdmin 許可セットを作成する**
このアクセス許可セットは、 内の AWS アカウントページからリージョンを管理するために必要な**アカウント**アクセス許可を Nikki に付与するために使用されます AWS マネジメントコンソール。Nikki のアカウントのその他の情報を閲覧または管理するその他の権限は、デフォルトではすべて拒否されています。
1. [IAM アイデンティティセンターコンソール](https://console.aws.amazon.com/singlesignon)を開きます。
1. [**マルチアカウント権限**] で、[**権限セット**] を選択します。
1. **[Create permission set]** (アクセス許可セットの作成) を選択します。
1. **[許可セットタイプを選択]** ページで **[カスタム許可セット]** を選択し、**[次へ]** を選択します。
1. **[インラインポリシー]** を選択して展開し、次の手順を使用してアクセス許可セットのポリシーを作成します。
1. **[新しいステートメントを追加]** を選択してポリシーステートメントを作成します。
1. **[ステートメントの編集]** で、リストから **[アカウント]** を選択し、次のチェックボックスを選択します。
+ **`ListRegions`**
+ **`GetRegionOptStatus`**
+ **`DisableRegion`**
+ **`EnableRegion`**
1. [**リソースの追加**] の横にある [**追加**] を選択します。
1. **[リソースを追加]** ページの **[リソースタイプ]** で、**[すべてのリソース]** を選択し、**[リソースを追加]** を選択します。ポリシーが次のようになっていることを確認します。
```
{
"Statement": [
{
"Sid": "Statement1",
"Effect": "Allow",
"Action": [
"account:ListRegions",
"account:DisableRegion",
"account:EnableRegion",
"account:GetRegionOptStatus"
],
"Resource": [
"*"
]
}
]
}
```
1. [**次へ**] を選択します。
1. **[許可セットの詳細を指定]** ページの **[許可セット名]** に ****RegionalAdmin**** と入力し、**[次へ]** を選択します。
1. **[確認して作成]** ページで、**[作成]** をクリックします。アクセス許可セットのリストに **RegionalAdmin** が表示されます。
------
#### [ Step 2.2 > ]
**ステップ 2.2: IAM Identity Center で対応する NikkiWolf ユーザーを作成する**
SAML プロトコルには IdP (Microsoft Entra ID) をクエリして IAM アイデンティティセンターで自動的にユーザーを作成するメカニズムがないため、次の手順に従って、Microsoft Entra ID の Nikki Wolfs ユーザーのコア属性をミラーリングするユーザーを IAM アイデンティティセンターに手動で作成します。
1. [IAM Identity Center コンソール](https://console.aws.amazon.com/singlesignon)を開きます。
1. **[ユーザー]** を選択し、**[ユーザーを追加]** を選択して、次の情報を入力します。
1. **[ユーザー名]** と **[メールアドレス]** の両方に、Microsoft Entra ID ユーザーの作成時に使用したのと同じ ****NikkiWolf**@*yourcompanydomain.extension*** を入力します。例えば、*NikkiWolf*@*example.org* と入力します。
1. **[メールアドレスの確認]** — 前のステップで使用したメールアドレスを再入力します。
1. **[名]** — ****Nikki**** と入力します。
1. **[姓]** — ****Wolf**** と入力します。
1. **[表示名]** — ****Nikki Wolf**** と入力します。
1. **[次へ]** を 2 回選択後、**[ユーザーの追加]** を選択します。
1. [**Close**] を選択します。
------
#### [ Step 2.3 ]
**ステップ 2.3: IAM Identity Center で RegionalAdmin 許可セットに Nikki を割り当てる**
ここでは、Nikki がリージョンを管理する AWS アカウント を見つけ、 AWS アクセスポータルに正常にアクセスするために必要なアクセス許可を割り当てます。
1. [IAM Identity Center コンソール](https://console.aws.amazon.com/singlesignon)を開きます。
1. **[マルチアカウント権限]** で、[**AWS アカウント**] を選択します。
1. Nikki にリージョンを管理するためのアクセス権を付与するアカウント名 (例えば、*Sandbox*) の横のチェックボックスを選択し、**[ユーザーとグループを割り当てる]** を選択します。
1. **[ユーザーとグループを割り当てる]** ページで **[ユーザー]** タブを選択し、Nikki の横にあるボックスを探してオンにし、**[次へ]** を選択します。
1.
**Example**
1. **[確認と送信]** ページで選択内容を確認し、**[送信]** を選択します。
------
## ステップ 3: SAML 接続を設定してテストする
このステップでは、 AWS IAM アイデンティティセンター エンタープライズアプリケーションMicrosoft Entra IDと IAM Identity Center の外部 IdP 設定を使用して SAML 接続を設定します。
------
#### [ Step 3.1 > ]
**ステップ 3.1: IAM アイデンティティセンターから必要なサービスプロバイダーのメタデータを収集する**
このステップでは、IAM Identity Center コンソール内から **ID ソースの変更**ウィザードを起動し、メタデータファイルと、次のステップMicrosoft Entra IDで との接続を設定するときに入力する必要がある AWS 特定のサインイン URL を取得します。
1. [[IAM アイデンティティセンターコンソール]](https://console.aws.amazon.com/singlesignon) で **[設定]** を選択します。
1. **[設定]** ページで **[ID ソース]** タブを選択し、**[アクション] > [ID ソースを変更]** を選択します。
1. **[ID ソースを選択]** ページで **[外部 ID プロバイダー]** を選択したら、**[次へ]** を選択します。
1. **外部 ID プロバイダーの設定**ページの**サービスプロバイダーメタデータ**で、**デフォルト IPv4** **またはデュアルスタック**を選択します。ID ソースの変更が完了したら、サービスプロバイダーメタデータファイルをダウンロードできます。
1. 同じセクションで、**[AWS アクセスポータルのサインイン URL]** 値を見つけてコピーします。この値は、次のステップで求められたときに入力します。
1. このページを開いたまま、次のステップ (**`Step 3.2`**) に移動して、 で AWS IAM アイデンティティセンター エンタープライズアプリケーションを設定しますMicrosoft Entra ID。後でこのページに戻り、プロセスを完了します。
------
#### [ Step 3.2 > ]
**ステップ 3.2: で AWS IAM アイデンティティセンター エンタープライズアプリケーションを設定する Microsoft Entra ID**
この手順では、前のステップで取得したメタデータファイルの値とサインオン URL を使用して、Microsoft 側の SAML 接続の半分を確立します。
1. [Microsoft Entra 管理センター](https://entra.microsoft.com/)コンソールで、**[ID] > [アプリケーション] > [エンタープライズアプリケーション]** に移動し、**[AWS IAM アイデンティティセンター]** を選択します。
1. 左側で、**2 を選択します。シングルサインオンをセットアップします**。
1. **[SAML でシングルサインオンを設定]** のページで、**[SAML]** を選択します。更に、**[メタデータファイルのアップロード]** を選択し、フォルダアイコンを選択し、前のステップでダウンロードしたサービスプロバイダーのメタデータファイルを選択して、**[追加]** を選択します。
1. **基本 SAML 設定**ページで、**識別子**と**返信 URL (Assertion Consumer Service URL)** の両方の値がエンドポイントを指していることを確認します AWS。
+ **識別子** - これは IAM アイデンティティセンターの**発行者 URL** です。IPv4-onlyエンドポイントとデュアルスタックエンドポイントのどちらを使用するかに関係なく、同じ値が適用されます。
+ **応答 URL (Assertion Consumer Service URL)** - ここでの値には、IAM アイデンティティセンターのすべての有効なリージョンからの IPv4-onlyエンドポイントとデュアルスタックエンドポイントの両方が含まれます。プライマリリージョンの ACS URL をデフォルトとして使用して、ユーザーが から Amazon Web Services アプリケーションを起動するときにプライマリリージョンにリダイレクトされるようにできますMicrosoft Entra ID。ACS URLs「」を参照してください[プライマリおよび追加の ACS エンドポイント AWS リージョン](multi-region-workforce-access.md#acs-endpoints)。
+ (オプション) IAM Identity Center を追加のリージョンにレプリケートした場合は、追加のリージョンごとに AWS アクセスポータルMicrosoft Entra IDのブックマークアプリを に作成することもできます。これにより、ユーザーは から追加のリージョンの AWS アクセスポータルにアクセスできますMicrosoft Entra ID。でブックマークアプリケーションにアクセスするためのアクセス許可をユーザーに付与してくださいMicrosoft Entra ID。詳細については、「 [Microsoft Entra IDドキュメント](https://learn.microsoft.com/en-us/entra/identity/enterprise-apps/configure-linked-sign-on)」を参照してください。後で IAM アイデンティティセンターを追加のリージョンにレプリケートする予定がある場合は、この初期設定後に追加のリージョンへのアクセスを有効にする方法について、[Microsoft Entra ID 追加のリージョンにアクセスするための 設定](#gs-microsoft-entra-multi-region)「」を参照してください。
1. **[サインオン URL (オプション)]** に、前のステップでコピーした **AWS アクセスポータルのサインイン URL** の値 (**`Step 3.1`**) を貼り付け、**[保存]** を選択したら、**[X]** を選択してウィンドウを閉じます。
1. でシングルサインオンをテストするように求められたら AWS IAM アイデンティティセンター、**後でテストしない**を選択します。この検証は、後のステップで行います。
1. **[SAML によるシングルサインオンの設定]** ページの **[SAML 証明書]** セクションで、**[フェデレーションメタデータ XML]** の横にある **[ダウンロード]** を選択し、メタデータファイルをシステムに保存します。次のステップでプロンプトが表示されたら、このファイルをアップロードする必要があります。
------
#### [ Step 3.3 > ]
**ステップ 3.3: AWS IAM アイデンティティセンターで Microsoft Entra ID の外部 IdP を設定する**
ここで、IAM アイデンティティセンターコンソールの **[ID ソースを変更]** ウィザードに戻り、 AWSの SAML 接続の後半を完了します。
1. IAM アイデンティティセンターコンソールで、**`Step 3.1`** で開いたままにしたブラウザセッションに戻ります。
1. **[外部 ID プロバイダーの設定]** ページの **[ID プロバイダーのメタデータ]** セクションの **[IdP SAML メタデータ]** で、**[ファイルを選択]** ボタンを選択し、前のステップで Microsoft Entra ID からダウンロードした ID プロバイダーのメタデータファイルを選択して、**[開く]** を選択します。
1. [**次へ**] を選択します。
1. 免責事項を読み、次に進む準備ができたら、****ACCEPT**** と入力してください。
1. **[ID ソースを変更]** を選択して変更を適用します。
------
#### [ Step 3.4 > ]
**ステップ 3.4: Nikki が AWS アクセスポータルにリダイレクトされることをテストする**
この手順では、Nikki の認証情報を使用して Microsoft の **[マイアカウントポータル]** にサインインして SAML 接続をテストします。認証されたら、Nikki を AWS アクセスポータルにリダイレクトする AWS IAM アイデンティティセンター アプリケーションを選択します。
1. [マイアカウントポータル](https://myaccount.microsoft.com/)のサインインページに移動し、Nikki の完全なメールアドレスを入力します。例えば、***NikkiWolf**@**example.org* と入力します。
1. プロンプトが表示されたら、Nikki のパスワードを入力し、**[サインイン]** を選択します。
1. **[マイアカウント]** ページの左側のナビゲーションペインで、**[マイアプリ]** を選択します。
1. **[マイアプリ]** ページで、**AWS IAM アイデンティティセンター** という名前のアプリを選択します。これにより、追加の認証を求めるプロンプトが表示されます。
1. Microsoft のサインインページで、NikkiWolf の認証情報を選択します。2 度目に認証を求められたら、NikkiWolf の認証情報をもう一度選択してください。これにより、自動的に AWS アクセスポータルにリダイレクトされます。
**ヒント**
正常にリダイレクトされない場合は、**[`Step 3.2`]** に入力した **AWS アクセスポータルのサインイン URL** の値がコピー元 **`Step 3.1`** の値と一致することを確認してください。
1. AWS アカウント ディスプレイを確認します。
**ヒント**
ページが空で AWS アカウント 表示されない場合は、Nikki が **RegionalAdmin** アクセス許可セットに正常に割り当てられていることを確認します (「」を参照**`Step 2.3`**)。
------
#### [ Step 3.5 ]
**ステップ 3.5: Nikki が AWS アカウントを管理するためのアクセスレベルをテストする**
このステップでは、Nikki が AWS アカウントのリージョン設定を管理するためのアクセスレベルを確認します。Nikki には、**[アカウント]** ページからリージョンを管理するための十分な管理者権限のみを持つことが期待されています。
1. AWS アクセスポータルで、**アカウント**タブを選択してアカウントのリストを表示します。アクセス許可セットを定義したアカウントに関連付けられているアカウント名、アカウント ID、メールアドレスが表示されます。
1. アクセス許可セットを適用したアカウント名 (*Sandbox* など) を選択します (**`Step 2.3`** をご覧ください)。これにより、Nikki が自分のアカウントを管理するために選択できるアクセス許可セットのリストが展開されます。
1. **RegionalAdmin** の横にある **[管理コンソール]** を選択し、**RegionalAdmin** 許可セットで定義したロールを引き継ぎます。これにより、 AWS マネジメントコンソール ホームページにリダイレクトされます。
1. コンソールの右上で、アカウント名を選択してから **[アカウント]** を選択します。これにより、**[アカウント]** ページに移動します。このページの他のすべてのセクションには、これらの設定を表示または変更するのに必要なアクセス許可がないことを示すメッセージが表示されます。
1. **[アカウント]** ページで、 **[AWS リージョン]** までスクロールダウンします。テーブル内の使用可能なリージョンのチェックボックスをオンにします。Nikki には、自分のアカウントのリージョンのリストを意図したとおりに **[有効化]** または **[無効化]** するために必要なアクセス許可が付与されています。
**よくできました\$1**
ステップ 1~3 は、SAML 接続の実装とテストを正常に実行するのに役立ちました。チュートリアルを完了するには、ステップ 4 に進んで自動プロビジョニングを実装することをお勧めします。
------
## ステップ 4: SCIM 同期を設定してテストする
このステップでは、SCIM v2.0 プロトコルを使用して Microsoft Entra ID から IAM アイデンティティセンターへのユーザー情報の[自動プロビジョニング](provision-automatically.md) (同期) を設定します。この接続を Microsoft Entra ID IAM アイデンティティセンター用の SCIM エンドポイントと IAM アイデンティティセンターで自動作成されたベアラートークンを使用して設定します。
SCIM 同期を設定すると、Microsoft Entra ID のユーザー属性と IAM Identity Center の名前付き属性のマッピングが作成されます。これにより、IAM アイデンティティセンターと Microsoft Entra ID の間で、期待される属性が一致します。
次のステップでは、Microsoft Entra ID の IAM アイデンティティセンターアプリを使って、主に Microsoft Entra ID に設置されたユーザーの IAM アイデンティティセンターへの自動プロビジョニングを有効にする方法を説明します。
------
#### [ Step 4.1 > ]
**ステップ 4.1: Microsoft Entra ID で 2 人目のテストユーザーを作成する**
テスト用に、Microsoft Entra ID で新しいユーザー (Richard Roe) を作成します。後で SCIM 同期を設定したら、このユーザーとすべての関連属性が IAM アイデンティティセンターと正常に同期されたことをテストします。
1. [Microsoft Entra 管理センター](https://entra.microsoft.com/)コンソールで、**[ID] > [ユーザー] > [すべてのユーザー]** に移動します。
1. **[新しいユーザー]** を選択し、画面上部の **[新しいユーザーの作成]** を選択します。
1. **[ユーザープリンシパル名]** に ****RichRoe**** と入力し、目的のドメインと拡張子を選択します。例えば、*RichRoe*@*example.org* と入力します。
1. **[表示名]** に ****RichRoe**** と入力します。
1. **[パスワード]** に、強力なパスワードを入力するか、目のアイコンを選択して自動生成されたパスワードを表示し、表示された値をコピーするか書き留めてください。
1. **[プロパティ]** を選択し、以下の値を指定します。
+ **[名]** - ****Richard**** と入力します。
+ **[姓]** - ****Roe**** と入力します。
+ **[役職名]** - ****Marketing Lead**** と入力します。
+ **[部門]** - ****Sales**** と入力します。
+ **[従業員 ID]** - ****12345**** と入力します。
1. **[レビューと作成]** を選択したら、**[作成]** を選択します。
------
#### [ Step 4.2 > ]
**ステップ 4.2: IAM アイデンティティセンターで自動プロビジョニングを有効にする**
この手順では、IAM アイデンティティセンターコンソールを使用して、ユーザーとグループの Microsoft Entra ID から IAM アイデンティティセンターへの自動プロビジョニングを有効にします。
1. [[IAM アイデンティティセンターコンソール]](https://console.aws.amazon.com/singlesignon) で、左のナビゲーションペインの **[設定]** を選択します。
1. **[設定]** ページの **[ID ソース]** タブで、**[プロビジョニング方法]** が **[手動]** に設定されていることに注目してください。
1. **[自動プロビジョニング]** 情報ボックスを見つけ、**[有効にする]** を選択します。これにより、すぐに IAM アイデンティティセンターの自動プロビジョニングが有効になり、必要な SCIM エンドポイントとアクセストークンの情報が表示されます。
1. **[インバウンド自動プロビジョニング]** ダイアログボックスで、以下のオプションの値をそれぞれコピーします。これらは、次のステップで Microsoft Entra ID でプロビジョニングを設定する際に貼り付ける必要があります。
1. **SCIM エンドポイント** - 例:
+ IPv4:`https://scim.aws-region.amazonaws.com/11111111111-2222-3333-4444-555555555555/scim/v2`
+ デュアルスタック: `https://scim.aws-region.api.aws/11111111111-2222-3333-4444-555555555555/scim/v2`
1. **[アクセストークン]** - **[トークンを表示]** を選択して値をコピーします。
**警告**
SCIM エンドポイントとアクセストークンを取得できるタイミングは、この時のみです。先に進む前に、これらの値をコピーしておいてください。
1. [**閉じる**] を選択してください。
1. **[ID ソース]** タブで、**[プロビジョニング方法]** が **[SCIM]** に設定されていることに注目してください。
------
#### [ Step 4.3 > ]
**ステップ 4.3: Microsoft Entra ID の自動プロビジョニングを設定する**
RichRoe テストユーザーが用意され、IAM アイデンティティセンターで SCIM を有効にしたので、Microsoft Entra ID で SCIM 同期設定の設定に進むことができます。
1. [Microsoft Entra 管理センター](https://entra.microsoft.com/)コンソールで、**[ID] > [アプリケーション] > [エンタープライズアプリケーション]** に移動し、**[AWS IAM アイデンティティセンター]** を選択します。
1. **[プロビジョニング]** を選択し、**[管理]** で **[プロビジョニング]** をもう一度選択します。
1. **[プロビジョニングモード]** で **[自動]** を選択します。
1. **[管理者認証情報]** の **[テナント URL]** に、**`Step 4.2`** で先ほどコピーした **[SCIM エンドポイント]** URL 値を貼り付けます。**[シークレットトークン]** に**アクセストークン**の値を貼り付けます。
1. **接続のテスト**を選択します。テストした認証情報が正常に認証され、プロビジョニングが可能になったことを示すメッセージが表示されます。
1. **[保存]** を選択します。
1. **[管理]** で **[ユーザーとグループ]** を選択し、**[ユーザー/グループの追加]** を選択します。
1. **[割り当てを追加]** ページの **[ユーザー]** で、**[何も選択されていません]** を選択します。
1. **[RichRoe]** を選択後、**[選択]** を選択します。
1. **[Add Assignment]** (割り当てを追加) ページで、**[Assign]** (割り当て) を選択します。
1. **[概要]** を選択したら、**[プロビジョニングの開始]** を選択します。
------
#### [ Step 4.4 ]
**ステップ 4.4: 同期が行われたことを確認する**
このセクションでは、Richard のユーザーが正常にプロビジョニングされ、すべての属性が IAM アイデンティティセンターに表示されていることを確認します。
1. [IAM アイデンティティセンターコンソール](https://console.aws.amazon.com/singlesignon)で **[ユーザー]** をクリックします。
1. **[ユーザー]** ページに **[RichRoe]** ユーザーが表示されているはずです。**[作成者]** 列の値が **[SCIM]** に設定されていることに注意してください。
1. **[RichRoe]** を選択し、**[プロファイル]** で以下の属性が Microsoft Entra ID からコピーされていることを確認します。
+ **[名]** - ****Richard****
+ **[姓]** - ****Roe****
+ **[部門]** - ****Sales****
+ **役職** - ****Marketing Lead****
+ **[従業員番号]** - ****12345****
これで Richard のユーザーが IAM アイデンティティセンターで作成されたので、そのユーザーを任意のアクセス許可セットに割り当てて、 AWS リソースに対する Richard のアクセスレベルを制御できます。例えば、以前に Nikki にリージョンを管理するためのアクセス許可 (**`Step 2.3`** をご覧ください) を付与するために使用した **RegionalAdmin** 許可セットを **[RichRoe]** に割り当てた後、**`Step 3.5`** で RichRoe のアクセスレベルをテストできます。
**お疲れ様でした。**
Microsoft と の間の SAML 接続を正常にセットアップ AWS し、自動プロビジョニングがすべてを同期させていることを確認しました。これで、学習した内容を応用して、本番環境をよりスムーズに設定できます。
------
## ステップ 5: ABAC を設定する - *オプション*
SAML と SCIM を正常に設定したので、属性ベースのアクセス制御 (ABAC) を任意で設定することができます。ABAC は、属性に基づいて権限を定義する認可戦略です。
Microsoft Entra ID では、次の 2 つの方法のいずれかを使用して、IAM アイデンティティセンターで使用するために ABAC を構成できます。
------
#### [ Configure user attributes in Microsoft Entra ID for access control in IAM Identity Center ]
**IAM アイデンティティセンターでのアクセスコントロール用に Microsoft Entra ID でユーザー属性を設定する**
次の手順では、 AWS リソースへのアクセスを管理するために IAM Identity Center で使用する Microsoft Entra ID の属性を決定します。定義されると、Microsoft Entra ID は SAML アサーションを通じてこれらの属性を IAM アイデンティティセンターに送信します。その後、IAM Identity Center で [アクセス権限セットを作成します。](howtocreatepermissionset.md) を行い、Microsoft Entra ID から渡された属性に基づいてアクセスを管理する必要があります。
この手順を始める前に、まず [アクセスコントロールの属性](attributesforaccesscontrol.md) 機能を有効にしておく必要があります。これを行う方法については、「[アクセスコントロールのための属性の有効化と設定](configure-abac.md)」を参照してください。
1. [Microsoft Entra 管理センター](https://entra.microsoft.com/)コンソールで、**[ID] > [アプリケーション] > [エンタープライズアプリケーション]** に移動し、**[AWS IAM アイデンティティセンター]** を選択します。
1. **[Single Sign-On]** を選択します。
1. **[属性とクレーム]** セクションで、**[編集]** を選択します。
1. **[属性とクレーム]** ページで、以下を実行します。
1. **[Add new claim]** (新しいクレームを追加する) を選択します。
1. **[Name]** (名前) に `AccessControl:AttributeName` を入力します。*AttributeName* を IAM アイデンティティセンターで想定している属性名に置き換えます。例えば、`AccessControl:Department`。
1. **[名前空間]** に ****https://aws.amazon.com/SAML/Attributes**** と入力します。
1. **[出典]** で、**[属性]** を選択します。
1. [**ソースの属性**] で、ドロップダウンリストを使用して、[Microsoft Entra ID ユーザー属性] を選択します。例えば、`user.department`。
1. SAML アサーションで IAM Identity Center に送信する必要のある各属性について、前のステップを繰り返します。
1. **[保存]** を選択します。
------
#### [ Configure ABAC using IAM Identity Center ]
**IAM アイデンティティセンターを使用して ABAC を構成する**
この方法では、IAM アイデンティティセンターの [アクセスコントロールの属性](attributesforaccesscontrol.md) 機能を使って、`Name` 属性を `https://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey}` に設定した `Attribute` 要素を渡します。この要素を使用すると、SAML アサーションで属性をセッションタグとして渡すことができます。セッションタグの詳細については、「*IAM ユーザーガイド*」の「[AWS STSでのタグ付けの規則 ](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_session-tags.html)」を参照してください。
属性をセッションタグとして渡すには、タグの値を指定する `AttributeValue` 要素を含めます。例えば、タグのキーバリューのペア `Department=billing` を渡すには、次の属性を使用します。
```
billing
```
複数の属性を追加する必要がある場合は、各タグに個別の `Attribute` 要素を含めます。
------
## へのアクセスを割り当てる AWS アカウント
次の手順は、 へのアクセスのみを許可する場合にのみ必要です AWS アカウント 。これらのステップは、 AWS アプリケーションへのアクセスを許可するためには必要ありません。
**注記**
このステップを完了するには、IAM アイデンティティセンターの組織インスタンスが必要です。詳細については、「[IAM アイデンティティセンターの組織インスタンスとアカウントインスタンス](identity-center-instances.md)」を参照してください。
### ステップ 1: IAM アイデンティティセンター: Microsoft Entra ID ユーザーにアカウントへのアクセスを付与する
1. **IAM アイデンティティセンター**コンソールに戻ります。IAM アイデンティティセンターのナビゲーションペインの **[マルチアカウントのアクセス許可]** で、**[AWS アカウント]** を選択します。
1. **AWS アカウント** ページの **[組織構造]** には、組織のルートと、その下にあるアカウントが階層内で表示されます。管理アカウントのチェックボックスをオンにし、**[ユーザーまたはグループを割り当て]** を選択します。
1. **[ユーザーとグループを割り当てる]** のワークフローが表示されます。これは、3 つのステップから構成されています。
1. **[ステップ 1: ユーザーとグループの選択]** では、管理者の職務を実行するユーザーを選択します。次いで、**[次へ]** を選択します。
1. **[ステップ 2: アクセス許可セットの選択]** では、**[許可セットを作成]** を選択します。新しいタブが開き、アクセス許可セットを作成するための 3 つのサブステップが順を追って表示されます。
1. **[ステップ 1: 許可セットタイプを選択]** では、以下を完了します。
+ **[許可セットのタイプ]** で、**[事前定義された許可セット]** を選択します。
+ **[事前定義された許可セットのポリシー]** で **[AdministratorAccess]** を選択します。
[**次へ**] を選択します。
1. **[ステップ 2: 許可セットの詳細を指定]** では、デフォルト設定のままで、**[次へ]** を選択します。
デフォルト設定では、*AdministratorAccess* という名前の許可セットが作成され、セッション期間は 1 時間に設定されます。
1. **ステップ 3: 確認して作成**するには、**アクセス許可セットタイプ**が AWS 管理ポリシー **AdministratorAccess** を使用していることを確認します。**[作成]** を選択します。**[アクセス許可セット]** ページに、アクセス許可セットが作成されたことを知らせる通知が表示されます。この時点で、ウェブブラウザでこのタブを閉じてもかまいません。
1. **[ユーザーとグループを割り当てる]** ブラウザタブでは、**[ステップ 2: 許可セットを選択]** でアクセス許可セットの作成ワークフローを開始した状態のままになっています。
1. **[アクセス許可セット]** 領域で、**[更新]** ボタンを選択します。作成した *AdministratorAccess* 許可セットがリストに表示されます。そのアクセス許可セットのチェックボックスを選択したら、**[次へ]** を選択します。
1. **[ステップ 3: 確認と送信]** では、選択したユーザーとアクセス許可セットを確認し、**[送信]** を選択します。
このページ AWS アカウント は、 が設定されているというメッセージで更新されます。プロセスが完了するまで待ちます。
AWS アカウント ページに戻ります。通知メッセージは、 AWS アカウント が再プロビジョニングされ、更新されたアクセス許可セットが適用されたことを通知します。ユーザーはサインインすると、*[AdministratorAccess]* ロールを選択できます。
### ステップ 2: Microsoft Entra ID: Microsoft Entra ID ユーザーが AWS リソースにアクセスできることを確認する
1. **Microsoft Entra ID** コンソールに戻り、IAM アイデンティティセンターの SAML ベースのサインオンアプリケーションに移動します。
1. **[ユーザーとグループ]** を選択し、**[ユーザーまたはグループの追加]** を選択します。このチュートリアルで作成したユーザーをステップ 4 で Microsoft Entra ID アプリケーションに追加します。ユーザーを追加することで、ユーザーに AWSへのサインインを許可します。ステップ 4 で作成したユーザーを検索します。このステップに従った場合、**RichardRoe** になります。
1. デモについては、「[既存の IAM アイデンティティセンターインスタンスを Microsoft Entra ID とフェデレーションさせる](https://youtu.be/iSCuTJNeN6c?si=29HSAK8DgBEhSVad)」を参照してください。
## Microsoft Entra ID IAM アイデンティティセンターの追加リージョンにアクセスするための設定 - オプション
IAM Identity Center を追加のリージョンにレプリケートした場合は、ID プロバイダーの設定を更新して、 AWS マネージドアプリケーションおよび追加のリージョン AWS アカウント 経由でアクセスできるようにする必要があります。以下の手順では、手順について説明します。前提条件を含むこのトピックの詳細については、「」を参照してください[複数の で IAM Identity Center を使用する AWS リージョン](multi-region-iam-identity-center.md)。
1. URLs を取得します[プライマリおよび追加の ACS エンドポイント AWS リージョン](multi-region-workforce-access.md#acs-endpoints)。
1. [Microsoft Entra 管理センター](https://entra.microsoft.com/)コンソールで、**[ID] > [アプリケーション] > [エンタープライズアプリケーション]** に移動し、**[AWS IAM アイデンティティセンター]** を選択します。
1. 左側で、**2 を選択します。シングルサインオンをセットアップします**。
1. **基本 SAML 設定**ページの**「返信 URL (アサーションコンシューマーサービス URL)**」セクションで、リージョンの **ACS URL を追加するごとに返信** URL を追加」を選択します。プライマリリージョンの ACS URL をデフォルトのままにしておくと、ユーザーは から AWS IAM アイデンティティセンター アプリケーションを起動するときにプライマリリージョンにリダイレクトされ続けますMicrosoft Entra ID。
1. ACS URLs の追加が完了したら、**AWS IAM アイデンティティセンター**アプリケーションを保存します。
1. 追加のリージョンごとに、 AWS アクセスポータルMicrosoft Entra IDのブックマークアプリを に作成できます。これにより、ユーザーは から追加のリージョンの AWS アクセスポータルにアクセスできますMicrosoft Entra ID。でブックマークアプリケーションにアクセスするためのアクセス許可をユーザーに付与してくださいMicrosoft Entra ID。詳細については、「 [Microsoft Entra IDドキュメント](https://learn.microsoft.com/en-us/entra/identity/enterprise-apps/configure-linked-sign-on)」を参照してください。
1. 追加のリージョンごとに AWS アクセスポータルにサインインできることを確認します。[AWS アクセスポータル URLs](multi-region-workforce-access.md#portal-endpoints) に移動するか、 からブックマークアプリを起動しますMicrosoft Entra ID。
## トラブルシューティング
Microsoft Entra ID を使用した一般的な SCIM および SAML のトラブルシューティングについては、以下のセクションを参照してください。
+ [Microsoft Entra ID と IAM アイデンティティセンターの同期に関する問題](#entra-scim-troubleshooting)
+ [特定のユーザーが、外部の SCIM プロバイダーからの IAM Identity Center に同期できません](troubleshooting.md#issue2)
+ [IAM Identity Center によって作成された SAML アサーションの内容に関する問題](troubleshooting.md#issue1)
+ [外部 ID プロバイダーを使用してユーザーまたはグループをプロビジョニングする際の重複ユーザーまたはグループのエラー](troubleshooting.md#duplicate-user-group-idp)
+ [その他のリソース](#entra-scim-troubleshooting-resources)
### Microsoft Entra ID と IAM アイデンティティセンターの同期に関する問題
Microsoft Entra ID ユーザーが IAM アイデンティティセンターと同期しないという問題が発生している場合は、IAM アイデンティティセンターに新しいユーザーを追加する際に IAM アイデンティティセンターがフラグを立てた構文の問題が原因である可能性があります。これは、`'Export'` などの失敗したイベントに関する Microsoft Entra ID 監査ログで確認できます。このイベントの **Status Reason** (ステータス理由) には、次のように記述されます。
```
{"schema":["urn:ietf:params:scim:api:messages:2.0:Error"],"detail":"Request is unparsable, syntactically incorrect, or violates schema.","status":"400"}
```
失敗したイベント AWS CloudTrail を確認することもできます。これは、CloudTrail の **Event History** (イベントの履歴) コンソールで以下のフィルターを使って検索できます。
```
"eventName":"CreateUser"
```
CloudTrail イベントのエラーには以下のように記載されます。
```
"errorCode": "ValidationException",
"errorMessage": "Currently list attributes only allow single item“
```
最終的に、この例外は、Microsoft Entra ID から渡された値の中に予想よりも多い値が含まれていたことを示しています。問題を解決するには、Microsoft Entra ID のユーザー属性を再確認し、重複した値が含まれていないかをチェックしてください。重複した値の一般的な例の一つは、**携帯電話**、**仕事**、**FAX** などの連絡先に複数の値が存在することです。別々の値ではありますが、これらはすべて 1 つの親属性 **phoneNumbers** として IAM Identity Center に渡されます。
一般的な SCIM のトラブルシューティングのヒントについては、「[Troubleshooting](troubleshooting.md#issue2)」を参照してください。
### Microsoft Entra ID ゲストアカウントの同期
Microsoft Entra ID ゲストユーザーを IAM アイデンティティセンターに同期する場合は、次の手順を参照してください。
Microsoft Entra ID ゲストユーザーの E メールは Microsoft Entra ID ユーザーとは異なります。この差異によって、Microsoft Entra ID ゲストユーザーを IAM アイデンティティセンターと同期しようとすると問題が発生します。例えば、ゲストユーザーの場合は、次の E メールアドレスを参照してください。
`exampleuser_domain.com#EXT#@domain.onmicrosoft.com.`
IAM アイデンティティセンターは、ユーザーのメールアドレスに *\$1EXT\$1@ドメイン* 形式が含まれないことを想定しています。
1. [Microsoft Entra 管理センター](https://entra.microsoft.com/)にサインインし、**[ID]** > **[アプリケーション]** > **[エンタープライズアプリケーション]** に移動し、**[AWS IAM アイデンティティセンター]** を選択します。
1. 左側ペインの **[シングルサインオン]** タブに移動します。
1. **[ユーザー属性とクレーム]** の横にある **[編集]** を選択します。
1. **[必須クレーム]** に続く **[一意のユーザー識別子 (名前 ID)]** を選択します。
1. Microsoft Entra ID ユーザーとゲストユーザーに 2 つのクレーム条件を作成します。
1. Microsoft Entra ID ユーザーの場合、ソース属性が ` user.userprincipalname` に設定されているメンバーのユーザータイプを作成します。
1. Microsoft Entra ID ゲストユーザーの場合、ソース属性を `user.mail` に設定して、外部ゲストのユーザータイプを作成します。
1. **[保存]** を選択し、Microsoft Entra ID ゲストユーザーとしてサインインを再試行します。
### その他のリソース
+ 一般的な SCIM のトラブルシューティングについては、「[IAM Identity Center の問題のトラブルシューティング](troubleshooting.md)」をご覧ください。
+ Microsoft Entra ID に関するトラブルシューティングについては、[Microsoft ドキュメント](https://learn.microsoft.com/en-us/entra/identity/saas-apps/aws-single-sign-on-provisioning-tutorial#troubleshooting-tips)を参照してください。
+ 複数の 間のフェデレーションの詳細については AWS アカウント、「 [AWS アカウント による保護Azure Active Directory Federation](https://aws.amazon.com//blogs/apn/securing-aws-accounts-with-azure-active-directory-federation/)」を参照してください。
以下のリソースは、作業中のトラブルシューティングに役立ちます AWS。
+ [AWS re:Post](https://repost.aws/) — 問題のトラブルシューティングに役立つ FAQ やその他のリソースへのリンクを検索できます。
+ [AWS サポート](https://aws.amazon.com/premiumsupport/) - テクニカルサポートを受ける
# Okta および IAM アイデンティティセンターによる SAML と SCIM の設定
[System for Cross-domain Identity Management (SCIM) v2.0 プロトコル](scim-profile-saml.md#scim-profile)を使用して、Okta からのユーザーとグループの情報を IAM アイデンティティセンターに自動的にプロビジョニングまたは同期できます。詳細については、「[外部 ID プロバイダーで SAML および SCIM ID フェデレーションを使用する](other-idps.md)」を参照してください。
この接続を Okta で設定するには、IAM Identity Center 用の SCIM エンドポイントと、IAM Identity Center で自動的に作成されるベアラートークンを使用します。SCIM 同期を設定すると、Okta のユーザー属性と IAM Identity Center の名前付き属性のマッピングが作成されます。これにより、想定されるユーザー属性を IAM アイデンティティセンターと Okta アカウントの間でマッチングします。
SCIM を介して IAM アイデンティティセンターに接続した場合、Okta は以下のプロビジョニング機能をサポートします。
+ ユーザーの作成 — Okta で IAM Identity Center アプリケーションに割り当てられたユーザーは IAM ID センターでプロビジョニングされます。
+ ユーザー属性の更新 — Okta で IAM Identity Center に割り当てられているユーザーの属性変更は、IAM Identity Center で更新されます。
+ ユーザーの無効化 — Okta で IAM Identity Center から割り当てられていないユーザーは、IAM Identity Center では無効になります。
+ グループプッシュ — Okta のグループ (およびそのメンバー) は、IAM Identity Center に同期されます。
**注記**
Okta と IAM アイデンティティセンターの両方で管理上のオーバーヘッドを最小限に抑えるために、個々のユーザーではなくグループを割り当てを行い、*プッシュする*ことをお勧めします。
+ ユーザーのインポート – ユーザーは IAM Identity Center から にインポートできますOkta。
**目的**
このチュートリアルでは、Okta IAM アイデンティティセンターとの SAML 接続をセットアップする手順を順を追って説明します。後で、SCIM を使用して Okta からのユーザーを同期します。このシナリオでは、Okta 内のすべてのユーザーとグループを管理します。ユーザーは Okta ポータルを通じてサインインします。すべてが正しく設定されていることを確認するには、設定ステップを完了すると、 Okta ユーザーとしてサインインし、 AWS リソースへのアクセスを確認します。
SAML 経由で IAM Identity Center Oktaに接続する場合、次の機能がサポートされています。
+ IdP が開始した SAML サインイン – ユーザーはOktaポータルからサインインし、IAM Identity Center にアクセスします。
+ SP が開始した SAML サインイン – ユーザーは AWS アクセスポータルにアクセスし、Oktaポータルを介してサインインするようにリダイレクトされます。
**注記**
Okta's [IAM アイデンティティセンターアプリケーション](https://www.okta.com/integrations/aws-single-sign-on/)がインストールされている Okta アカウント ([無料トライアル](https://www.okta.com/free-trial/)) にサインアップできます。有料の Okta 製品の場合は、Okta のライセンスが*ライフサイクル管理*やアウトバウンドプロビジョニングを可能にする同様の機能をサポートしているかどうかを確認する必要があるかもしれません。これらの機能は、Okta から IAM Identity Center に SCIM を設定する際に必要となる場合があります。
IAM アイデンティティセンターをまだ有効にしていない場合は、「[IAM Identity Center を有効にする](enable-identity-center.md)」を参照してください。
## 考慮事項
+ Okta と IAM アイデンティティセンター間で SCIM プロビジョニングを設定する前に、まず「[自動プロビジョニングを使用する際の注意事項](provision-automatically.md#auto-provisioning-considerations)」を確認することをお勧めします。
+ すべての Okta ユーザーにおいて、**[名]**、**[姓]**、**[ユーザー名]**、**[表示名]** の値を指定する必要があります。
+ 各 Okta ユーザーには、E メールアドレスや電話番号などのデータ属性ごとに 1 つの値のみが割り当てられます。複数の値を持つユーザーは同期に失敗します。属性に複数の値を持つユーザーがいる場合は、IAM アイデンティティセンターでユーザーをプロビジョニングする前に、重複する属性を削除してください。例えば、同期できる電話番号属性は 1 つだけです。デフォルトの電話番号属性は「勤務先の電話」なので、ユーザーの電話番号が自宅の電話でも携帯電話でも、「勤務先の電話」属性を使用してユーザーの電話番号を保存します。
+ IAM アイデンティティセンターで Okta を使用する場合、IAM アイデンティティセンターは一般的に Okta のアプリケーションとして設定されます。これにより、Okta の単一のインスタンス内で複数の AWS Organizations へのアクセスをサポートする複数のアプリケーションとして、IAM アイデンティティセンターの複数のインスタンスを設定できます。
+ 資格とロール属性はサポートされていないため、IAM アイデンティティセンターと同期できません。
+ 同じ Okta グループを割り当てとグループプッシュの両方に使用することは、現在サポートされていません。Okta と IAM アイデンティティセンターの間で一貫したグループメンバーシップを維持するためには、別のグループを作成し、IAM アイデンティティセンターにグループをプッシュするように設定する必要があります。
+ IAM Identity Center を追加のリージョンにレプリケートした場合は、ID プロバイダーの設定を更新して、 AWS マネージドアプリケーションへのアクセスと追加のリージョン AWS アカウント を介したアクセスを有効にする必要があります。前提条件を含む詳細については、「」を参照してください[複数の で IAM Identity Center を使用する AWS リージョン](multi-region-iam-identity-center.md)。Okta 固有の手順については、「」を参照してください。 [Okta 追加のリージョンにアクセスするための設定](#gs-okta-multi-region)
## ステップ 1: Okta: Okta アカウントから SAML メタデータを取得する
1. Okta admin dashboard にログインして **[アプリケーション]** を展開し、**[アプリケーション]** を選択します。
1. **[Applications]** (アプリケーション) ページで、**[Browse App Catalog]** (アプリケーションカタログを参照) を選択します。
1. 検索ボックスに「」と入力し** AWS IAM アイデンティティセンター**、IAM Identity Center アプリを追加するアプリを選択します。
1. **[サインオン]** タブを選択します。
1. **[SAML 署名証明書]** で、**[アクション]** を選択し、**[IdP メタデータの表示]** を選択します。新しいブラウザタブが開き、XML ファイルのドキュメントツリーが表示されます。`` から `` まで XML をすべて選択し、テキストファイルにコピーします。
1. `metadata.xml` としてテキストファイルを保存します。
Okta admin dashboard は開いたままにしておき、後のステップでもそのコンソールを引き続き使用します。
## ステップ 2: IAM Identity Center: Okta を IAM アイデンティティセンターの ID ソースとして設定する
1. 管理者権限を持つユーザーとして [IAM アイデンティティセンターコンソール](https://console.aws.amazon.com/singlesignon)を開きます。
1. 左側のナビゲーションペインの **[設定]** を選択します。
1. **[設定]** ページで **[アクション]** タブを選択し、**[ID ソースを変更]** を選択します。
1. **[ID ソースの選択]** で **[外部 ID プロバイダー]** を選択し、**[次へ]** を選択します。
1. **[外部 ID プロバイダーの設定]** で、次の操作を行います。
1. **サービスプロバイダーメタデータ**で、以下の項目をテキストファイルにコピーして簡単にアクセスできるようにします。
+ **IAM Identity Center Assertion Consumer Service (ACS) URL** – IPv4-onlyとデュアルスタックの ACS URLs を選択できます。また、IAM Identity Center インスタンスが複数のリージョンで有効になっている場合、追加の各リージョンには独自の IPv4-onlyおよびデュアルスタックの ACS URLs。ACS URLs「」を参照してください[プライマリおよび追加の ACS エンドポイント AWS リージョン](multi-region-workforce-access.md#acs-endpoints)。
+ **[IAM アイデンティティセンター発行者 URL]**
これらの値は、このチュートリアルの後半で必要になります。
1. **[ID プロバイダーからのメタデータ]** の **[IdP SAML メタデータ]** で **[ファイルの選択]** を選択し、前の手順で作成した `metadata.xml` ファイルを選択します。
1. [**次へ**] を選択します。
1. 免責事項を読み、次に進む準備ができたら、**[ACCEPT]** (許諾) を押してください。
1. **[Change identity source]** (ID ソースの変更) を選択します。
AWS コンソールを開いたままにしておき、次のステップでこのコンソールを引き続き使用します。
1. に戻りOkta admin dashboard、 AWS IAM アイデンティティセンター アプリの**サインオン**タブを選択し、**編集**を選択します。
1. **[詳細なサインオン設定]** で、次のように入力します。
+ **ACS URL** には、**IAM Identity Center Assertion Consumer Service (ACS) URL** にコピーした値 (複数可) を入力します。プライマリリージョンの ACS URL をデフォルトとして使用して、ユーザーが から Amazon Web Services アプリケーションを起動するときにプライマリリージョンにリダイレクトされるようにできますOkta。
+ (オプション) IAM Identity Center を追加のリージョンにレプリケートした場合は、追加のリージョンごとに AWS アクセスポータルOktaのブックマークアプリを に作成することもできます。これにより、ユーザーは から追加のリージョンの AWS アクセスポータルにアクセスできますOkta。でブックマークアプリケーションにアクセスするためのアクセス許可をユーザーに付与してくださいOkta。詳細については、「 [Oktaドキュメント](https://support.okta.com/help/s/article/create-a-bookmark-app)」を参照してください。後で IAM アイデンティティセンターを追加のリージョンにレプリケートする予定がある場合は、この初期設定後に追加のリージョンへのアクセスを有効にする方法について、[Okta 追加のリージョンにアクセスするための設定](#gs-okta-multi-region)「」を参照してください。
+ **[発行者 URL]** には、**[IAM アイデンティティセンターの発行者 URL]** でメモしておいた値を入力します。
+ **[アプリケーションのユーザー名形式]** で、メニューからいずれかのオプションを選択します。
選択する値が各ユーザーに固有となることを確認します。このチュートリアルでは、**[Okta ユーザー名]** を選択します。
1. **[保存]** を選択します。
これで、Okta から IAM アイデンティティセンターにユーザーをプロビジョニングする準備が整いました。Okta admin dashboard を開いたままにして、IAM アイデンティティセンターコンソールに戻って次の手順に進みます。
## ステップ 3: IAM アイデンティティセンターと Okta: Okta ユーザーをプロビジョニングする
1. IAM アイデンティティセンターコンソールの **[設定]** ページで、**[自動プロビジョニング]** 情報ボックスを見つけて、**[有効にする]** を選択します。これにより、IAM アイデンティティセンターの自動プロビジョニングが有効になり、必要な SCIM エンドポイントとアクセストークンの情報が表示されます。
1. **[インバウンド自動プロビジョニング]** ダイアログボックスで、以下のオプションの値をそれぞれコピーします。
1. **SCIM エンドポイント** - エンドポイント形式は設定によって異なります。
+ IPv4: https://scim.*us-east-2*.amazonaws.com/*111111111-2222-3333-4444-55555555555555/*scim/v2
+ デュアルスタック: https://scim.*us-east-2*.api.aws/*11111111111-2222-3333-4444-55555555555555/*scim/v2
1. **[アクセストークン]** - **[トークンを表示]** を選択して値をコピーします。
**警告**
SCIM エンドポイントとアクセストークンを取得できるタイミングは、この時のみです。先に進む前に、これらの値をコピーしておいてください。このチュートリアルの後半で、Okta でこれらの値を入力してプロビジョニングを設定します。
1. [**閉じる**] を選択してください。
1. Okta admin dashboard に戻り、IAM アイデンティティセンターアプリに移動します。
1. **[IAM アイデンティティセンターアプリ]** ページで、**[プロビジョニング]** タブを選択し、左側のナビゲーションペインにある **[設定]** の下で **[統合]** を選択します。
1. **[編集]** を選択し、**[API 統合を有効にする]** の横にあるチェックボックスを選択して自動プロビジョニングを有効にします。
1. このステップの前半でコピー AWS IAM アイデンティティセンター した の SCIM プロビジョニング値Oktaを使用して を設定します。
1. **[ベース URL]** フィールドに **[SCIM エンドポイント]** の値を入力します。
1. **[API トークン]** フィールドに、**[アクセストークン]** の値を入力します。
1. **[Test API Credentials]** (API 認証情報をテストする) を選択して、入力された認証情報が有効であることを確認します。
**[AWS IAM アイデンティティセンター は正常に検証されました]** というメッセージが表示されます。
1. **[保存]** を選択します。引き続き **[統合]** が選択されている状態で、**[設定]** セクションに移動します。
1. **[設定]** の下で **[アプリへ]** を選択し、**[アプリへのプロビジョニング]** の有効にしたい各項目について **[有効にする]** チェックボックスをオンにします。このチュートリアルでは、すべてのオプションを選択します。
1. **[保存]** を選択します。
これで、IAM アイデンティティセンターでユーザーを Okta から同期する準備が整いました。
## ステップ 4: Okta: Okta から IAM アイデンティティセンターとユーザーを同期する
デフォルトでは、Okta IAM アイデンティティセンターアプリにはグループやユーザーは割り当てられていません。プロビジョニンググループは、グループのメンバーであるユーザーをプロビジョニングします。グループとユーザーを と同期するには、次の手順を実行します AWS IAM アイデンティティセンター。
1. **[Okta IAM アイデンティティセンターアプリ]** ページで **[割り当て]** タブを選択します。IAM アイデンティティセンターアプリにはユーザーとグループの両方を割り当てることができます。
1. ユーザーを割り当てるには:
+ **[割り当て]** ページで、**[割り当てる]** を選択し、**[人に割り当てる]** を選択します。
+ IAM アイデンティティセンターアプリへのアクセスを付与する Okta ユーザーを選択します。**[Assign]** (割り当て)、**[Save and Go Back]** (保存して戻る)、**[Done]** (完了) の順に選択します。
これにより、IAM アイデンティティセンターへのユーザーのプロビジョニングプロセスが開始されます。
1. グループを割り当てるには:
+ **[割り当て]** ページで、**[割り当てる]** を選択し、**[グループに割り当てる]** を選択します。
+ IAM アイデンティティセンターアプリへのアクセスを付与する Okta グループを選択します。**[Assign]** (割り当て)、**[Save and Go Back]** (保存して戻る)、**[Done]** (完了) の順に選択します。
これにより、IAM Identity Center へのグループ内のユーザーのプロビジョニングプロセスが開始されます。
**注記**
グループに追加の属性がすべてのユーザーレコードに含まれていない場合は、その属性を指定する必要がある場合があります。グループに指定された属性は、個々の属性値よりも優先されます。
1. **[Push Groups]** (プッシュグループ) タブを選択します。IAM アイデンティティセンターと同期する Okta グループを選択します。**[保存]** を選択します。
グループとそのメンバーが IAM アイデンティティセンターに正常にプッシュされると、グループのステータスが **[アクティブ]** に変わります。
1. **[割り当て]** タブに戻ります。
1. IAM アイデンティティセンターに個別の Okta ユーザーを追加するには、次の手順を実行します。
1. **[Assignments]** (割り当て) ページで、**[Assign]** (割り当て) を選択し、**[Assign to People]** (人に割り当てる) を選択します。
1. IAM アイデンティティセンターアプリへのアクセスを付与する Okta ユーザーを選択します。**[Assign]** (割り当て)、**[Save and Go Back]** (保存して戻る)、**[Done]** (完了) の順に選択します。
これにより、IAM アイデンティティセンターへの個人ユーザーのプロビジョニングプロセスが開始されます。
**注記**
の AWS IAM アイデンティティセンター アプリケーション****ページから、アプリにユーザーとグループを割り当てることもできますOkta admin dashboard。これを行うには、**[設定]** アイコンを選択し、**[ユーザーに割り当てる]** または **[グループに割り当てる]** を選択し、ユーザーまたはグループを指定します。
1. IAM アイデンティティセンターコンソールに戻ります。左側のナビゲーションで **[ユーザー]** を選択すると、Okta ユーザーが入力したユーザーリストが表示されます。
**お疲れ様でした。**
Okta と の間の SAML 接続を正常にセットアップ AWS し、自動プロビジョニングが機能していることを検証しました。**[IAM Identity Center]** でこれらのユーザーをアカウントおよびアプリケーションに割り当てることができるようになりました。このチュートリアルでは、次のステップで、管理アカウントへの管理アクセス許可を付与して、ユーザーの 1 人を IAM アイデンティティセンター管理者として指定しましょう。
## アクセスコントロールの属性を渡す - *オプション*
IAM Identity Center の [アクセスコントロールの属性](attributesforaccesscontrol.md) 機能をオプションで使用して、`Name` 属性を `https://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey}` に設定した `Attribute` 要素を渡すことができます。この要素を使用すると、SAML アサーションでセッションタグとして属性を渡すことができます。セッションタグの詳細については、「*IAM ユーザーガイド*」の「[AWS STSでのタグ付けの規則 ](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_session-tags.html)」を参照してください。
属性をセッションタグとして渡すには、タグの値を指定する `AttributeValue` 要素を含めます。例えば、タグのキーバリューのペア `CostCenter = blue` を渡すには、次のような属性を使用します。
```
blue
```
複数の属性を追加する必要がある場合は、各タグに個別の `Attribute` 要素を含めます。
## へのアクセスを割り当てる AWS アカウント
以下の手順は、 へのアクセスのみを許可するために必要です AWS アカウント 。これらのステップは、 AWS アプリケーションへのアクセスを許可するためには必要ありません。
**注記**
このステップを完了するには、IAM アイデンティティセンターの組織インスタンスが必要です。詳細については、「[IAM アイデンティティセンターの組織インスタンスとアカウントインスタンス](identity-center-instances.md)」を参照してください。
### ステップ 1: IAM アイデンティティセンター: Okta ユーザーにアカウントへのアクセスを付与する
1. IAM アイデンティティセンターのナビゲーションペインの **[マルチアカウントのアクセス許可]** で、**[AWS アカウント]** を選択します。
1. **AWS アカウント** ページの **[組織構造]** には、組織のルートと、その下にあるアカウントが階層内で表示されます。管理アカウントのチェックボックスをオンにし、**[ユーザーまたはグループを割り当て]** を選択します。
1. **[ユーザーとグループを割り当てる]** のワークフローが表示されます。これは、3 つのステップから構成されています。
1. **[ステップ 1: ユーザーとグループの選択]** では、管理者の職務を実行するユーザーを選択します。次いで、**[次へ]** を選択します。
1. **[ステップ 2: 許可セットの選択]** で、**[許可セットを作成する]** を選択します。新しいタブが開き、許可セットを作成するための 3 つの手順が順に表示されます。
1. **[ステップ 1: 許可セットタイプを選択]** では、以下を完了します。
+ **[許可セットのタイプ]** で、**[事前定義された許可セット]** を選択します。
+ **[事前定義された許可セットのポリシー]** で **[AdministratorAccess]** を選択します。
[**次へ**] を選択します。
1. **[ステップ 2: 許可セットの詳細を指定]** では、デフォルト設定のままで、**[次へ]** を選択します。
デフォルト設定では、*AdministratorAccess* という名前の許可セットが作成され、セッション期間は 1 時間に設定されます。
1. **ステップ 3: 確認して作成**するには、**アクセス許可セットタイプ**が AWS 管理ポリシー **AdministratorAccess** を使用していることを確認します。**[作成]** を選択します。**[許可セット]** ページに、許可セットが作成されたことを知らせる通知が表示されます。この時点で、ウェブブラウザでこのタブを閉じてもかまいません。
**[ユーザーとグループを割り当てる]** ブラウザタブでは、**[ステップ 2: 許可セットを選択]** でアクセス許可セットの作成ワークフローを開始した状態のままになっています。
**[アクセス許可セット]** 領域で、**[更新]** ボタンを選択します。作成した *AdministratorAccess* 許可セットがリストに表示されます。そのアクセス許可セットのチェックボックスを選択したら、**[次へ]** を選択します。
1. **[ステップ 3: 確認と送信]** では、選択されているユーザと許可セットを確認して、**[送信]** を選択します。
ページ AWS アカウント が更新され、 が設定されているというメッセージが表示されます。プロセスが完了するまで待ちます。
AWS アカウント ページに戻ります。通知メッセージは、 AWS アカウント が再プロビジョニングされ、更新されたアクセス許可セットが適用されたことを通知します。ユーザーがサインインすると、*AdministratorAccess* ロールを選択できます。
### ステップ 2: Okta: Okta ユーザーが AWS リソースにアクセスできることを確認する
1. テストアカウントを使用して Okta dashboard にサインインします。
1. **[マイアプリ]** で、AWS IAM アイデンティティセンター アイコンを選択します。
1. AWS アカウント アイコンが表示されます。そのアイコンを展開すると、 AWS アカウント ユーザーがアクセスできる のリストが表示されます。このチュートリアルでは 1 つのアカウントしか使用していなかったため、アイコンを展開しても 1 つのアカウントしか表示されません。
1. アカウントを選択すると、そのユーザーが利用可能なアクセス許可セットが表示されます。このチュートリアルでは、**AdministratorAccess** 許可セットを作成しました。
1. アクセス許可セットの横には、その許可セットで利用できるアクセスの種類を示すリンクがあります。アクセス許可セットの作成時に、 AWS マネジメントコンソール とプログラムによるアクセスの両方へのアクセスを指定しました。**[管理コンソール]** を選択して AWS マネジメントコンソールを開きます。
1. ユーザーは、 AWS マネジメントコンソールにサインインされます。
AWS アクセスポータルを使用することもできます。これにより、 AWS アクセスOktaポータルに移動する前に、ポータルからサインインするようにリダイレクトされます。このパスは、SP が開始した SAML サインインフローに従います。
## Okta IAM アイデンティティセンターの追加リージョンにアクセスするための設定 - オプション
IAM Identity Center を追加のリージョンにレプリケートした場合は、ID プロバイダーの設定を更新して、 AWS マネージドアプリケーションおよび追加のリージョン AWS アカウント 経由でアクセスできるようにする必要があります。以下の手順では、手順について説明します。前提条件を含むこのトピックの詳細については、「」を参照してください[複数の で IAM Identity Center を使用する AWS リージョン](multi-region-iam-identity-center.md)。
1. URLs を取得します[プライマリおよび追加の ACS エンドポイント AWS リージョン](multi-region-workforce-access.md#acs-endpoints)。
1. Okta 管理ダッシュボードのナビゲーションペインで、アプリケーションを選択し****、展開されたリストで**アプリケーション**を再度選択します。
1. **AWS IAM アイデンティティセンター** アプリケーションを選択します。
1. **[Sign On]** タブを選択します。
1. **高度なサインオン設定**、**およびその他のリクエスト可能な SSO URLs**で、追加のリージョンの ACS URL ごとに**別の を追加** を選択し、ACS URL をテキストフィールドに貼り付けます。
1. ACS URLs の追加が完了したら、**AWS IAM アイデンティティセンター**アプリケーションを保存します。
1. 追加のリージョンごとに、 AWS アクセスポータルOktaのブックマークアプリを に作成できます。これにより、ユーザーは から追加のリージョンの AWS アクセスポータルにアクセスできますOkta。でブックマークアプリケーションにアクセスするためのアクセス許可をユーザーに付与してくださいOkta。詳細については、「 [Oktaドキュメント](https://support.okta.com/help/s/article/create-a-bookmark-app)」を参照してください。
1. 追加のリージョンごとに AWS アクセスポータルにサインインできることを確認します。[AWS アクセスポータル URLs](multi-region-workforce-access.md#portal-endpoints) に移動するか、 からブックマークアプリを起動しますOkta。
## 次の手順
Okta を ID プロバイダーとして設定し、IAM アイデンティティセンターにユーザーをプロビジョニングしたので、次のことが可能になります。
+ へのアクセス権を付与するには AWS アカウント、「」を参照してください[ユーザーまたはグループのアクセスを に割り当てる AWS アカウント](assignusers.md)。
+ クラウドアプリケーションへのアクセスを許可し、「[IAM Identity Center コンソールでアプリケーションへのユーザーアクセスを割り当てます。](assignuserstoapp.md)」を参照してください。
+ 職務に基づいてアクセス許可を設定します。「[許可セットの作成](howtocreatepermissionset.md)」を参照してください。
## トラブルシューティング
Okta を使用した一般的な SCIM および SAML のトラブルシューティングについては、以下のセクションを参照してください。
+ [IAM アイデンティティセンターから削除されたユーザーとグループの再プロビジョニング](#reprovisioning-deleted-users-groups)
+ [Okta の自動プロビジョニングエラー](#okta-auto-provisioning-error)
+ [特定のユーザーが、外部の SCIM プロバイダーからの IAM Identity Center に同期できません](troubleshooting.md#issue2)
+ [IAM Identity Center によって作成された SAML アサーションの内容に関する問題](troubleshooting.md#issue1)
+ [外部 ID プロバイダーを使用してユーザーまたはグループをプロビジョニングする際の重複ユーザーまたはグループのエラー](troubleshooting.md#duplicate-user-group-idp)
+ [その他のリソース](#gs-okta-troubleshooting-resources)
### IAM アイデンティティセンターから削除されたユーザーとグループの再プロビジョニング
+ 一旦同期した後に IAM アイデンティティセンターから削除された Okta のユーザーまたはグループを変更しようとすると、Okta コンソールに次のエラーメッセージが表示されることがあります。
+ Automatic profile push of user *Jane Doe* to app AWS IAM アイデンティティセンター failed: Error while trying to push profile update for *jane\$1doe@example.com*: No user returned for user *xxxxx-xxxxxx-xxxxx-xxxxxxx*
+ リンクされたグループが にありません AWS IAM アイデンティティセンター。Change the linked group to resume pushing group memberships.
+ また、同期後に削除された IAM アイデンティティセンターユーザーまたはグループについて、Okta のシステムログに次のエラーメッセージが表示される場合もあります。
+ Okta Error: Eventfailed application.provision.user.push\$1profile : No user returned for user *xxxxx-xxxxxx-xxxxx-xxxxxxx*
+ Okta エラー: application.provision.group\$1push.mapping.update.or.delete.failed.with.error : リンクされたグループがありません AWS IAM アイデンティティセンター。リンク済みグループを変更して、グループメンバーシップのプッシュを再開します。
**警告**
SCIM を使用して Okta と IAM アイデンティティセンターを同期している場合は、IAM アイデンティティセンターではなく Okta からユーザーとグループを削除する必要があります。
**削除された IAM アイデンティティセンターユーザーに関するトラブルシューティング**
削除された IAM アイデンティティセンターユーザーに関する問題に対処するには、そのユーザーをいったん Okta から削除する必要があります。その後、必要に応じてこれらのユーザーを Okta で再作成してください。ユーザーが Okta で再作成されると、SCIM を介して IAM アイデンティティセンターにも再プロビジョニングされます。ユーザ削除の詳細については、「[Okta ドキュメント](https://help.okta.com/en-us/content/topics/users-groups-profiles/usgp-deactivate-user-account.htm)」を参照してください。
**注記**
IAM アイデンティティセンターへの Okta ユーザーのアクセスを削除する必要がある場合は、まずグループプッシュから削除してから、Okta で割り当てグループを削除する必要があります。これにより、ユーザーは IAM アイデンティティセンターの関連付けられたグループメンバーシップから削除されます。グループプッシュのトラブルシューティングの詳細については、「[Okta ドキュメント](https://help.okta.com/en-us/content/topics/users-groups-profiles/usgp-group-push-troubleshoot.htm)」を参照してください。
**削除された IAM アイデンティティセンターグループに関するトラブルシューティング**
削除された IAM アイデンティティセンターグループに関する問題に対処するには、そのグループを Okta からいったん削除する必要があります。その後、必要に応じてグループプッシュを使用してそれらのグループを Okta で再作成してください。ユーザーが Okta で再作成されると、SCIM を介して IAM アイデンティティセンターにも再プロビジョニングされます。グループの削除の詳細については、[Okta のドキュメント](https://help.okta.com/oie/en-us/content/topics/users-groups-profiles/usgp-group-push-troubleshoot.htm)を参照してください。
### Okta の自動プロビジョニングエラー
Okta で以下のエラーメッセージが表示された場合、次の操作を行います。
ユーザー Jane Doe からアプリへの自動プロビジョニング AWS IAM アイデンティティセンター に失敗しました: 一致するユーザーが見つかりません
詳細については、「[Okta ドキュメント](https://support.okta.com/help/s/article/aws-iam-identity-center-provisioning-error-automatic-provisioning-of-user-name-of-user-to-app-aws-iam-identity-center-failed-matching-user-not-found?language=en_US)」を参照してください。
### その他のリソース
+ 一般的な SCIM のトラブルシューティングについては、「[IAM Identity Center の問題のトラブルシューティング](troubleshooting.md)」をご覧ください。
以下のリソースは、作業中のトラブルシューティングに役立ちます AWS。
+ [AWS re:Post](https://repost.aws/) — 問題のトラブルシューティングに役立つ FAQ やその他のリソースへのリンクを検索できます。
+ [AWS サポート](https://aws.amazon.com/premiumsupport/) - テクニカルサポートを受ける
# OneLogin と IAM アイデンティティセンター間の SCIM プロビジョニングのセットアップ
IAM Identity Center は、クロスドメインアイデンティティ管理システム (SCIM) v2.0 プロトコルを使用して、OneLogin から IAM Identity Center へのユーザーおよびグループ情報の自動プロビジョニング (同期化) をサポートしています。詳細については、「[外部 ID プロバイダーで SAML および SCIM ID フェデレーションを使用する](other-idps.md)」を参照してください。
**注記**
OneLogin は現在、 AWS IAM アイデンティティセンター アプリケーションで SAML マルチアサーション消費サービス (ACS) URLsをサポートしていません。この SAML 機能は、IAM Identity Center の[マルチリージョンサポート](multi-region-iam-identity-center.md)を最大限に活用するために必要です。IAM Identity Center を追加のリージョンにレプリケートする場合は、単一の ACS URL を使用すると、それらの追加のリージョンのユーザーエクスペリエンスに影響する可能性があることに注意してください。プライマリリージョンは引き続き正常に機能します。IdP ベンダーと協力してこの機能を有効にすることをお勧めします。単一の ACS URL を持つ追加のリージョンでのユーザーエクスペリエンスの詳細については、[複数の ACS URL なしで AWS マネージドアプリケーションを使用する URLs](multi-region-workforce-access.md#aws-app-use-without-multiple-acs-urls)「」および「」を参照してください[AWS アカウント 複数の ACS URLs を使用せずに回復性にアクセスする](multi-region-failover.md#account-access-resiliency-without-multiple-acs-url)。
この接続を OneLogin で設定するには、IAM Identity Center 用の SCIM エンドポイントと IAM Identity Center で自動的に作成したベアラートークンを使用します。SCIM 同期を設定すると、OneLogin のユーザー属性と IAM Identity Center の名前付き属性のマッピングが作成されます。これにより、IAM Identity Center と OneLogin の間で、期待される属性が一致します。
次のステップでは、SCIM プロトコルを使用して、OneLogin から IAM Identity Center へのユーザーとグループの自動プロビジョニングを有効にする方法を説明します。
**注記**
SCIM のデプロイを開始する前に、まず [自動プロビジョニングを使用する際の注意事項](provision-automatically.md#auto-provisioning-considerations) を確認することをお勧めします。
**Topics**
+ [
## 前提条件
](#onelogin-prereqs)
+ [
## ステップ 1: IAM Identity Center でプロビジョニングを有効にする
](#onelogin-step1)
+ [
## ステップ 2: OneLogin でプロビジョニングを設定する
](#onelogin-step2)
+ [
## (オプション) ステップ 3: IAM Identity Center でのアクセスコントロールのために OneLogin でユーザー属性を設定する
](#onelogin-step3)
+ [
## (オプション) アクセスコントロールの属性を渡す
](#onelogin-passing-abac)
+ [
## トラブルシューティング
](#onelogin-troubleshooting)
## 前提条件
開始する前に、以下の準備が必要です。
+ OneLogin アカウント。既存のアカウントをお持ちでない場合は、[OneLogin のウェブサイト](https://www.onelogin.com/free-trial)から無料トライアルまたはデベロッパーアカウントを取得できるかもしれません。
+ IAM アイデンティティセンター対応アカウント ([無料](https://aws.amazon.com/single-sign-on/))。詳細については、「[IAM Identity Center の有効化](https://docs.aws.amazon.com/singlesignon/latest/userguide/setup-enable-idc.html)」を参照してください。
+ OneLogin アカウントから IAM Identity Center への SAML 接続。詳細については、 AWS パートナーネットワークブログの「[OneLogin と AWSの間の有効化](https://aws.amazon.com/blogs/apn/enabling-single-sign-on-between-onelogin-and-aws/)」 を参照してください。
## ステップ 1: IAM Identity Center でプロビジョニングを有効にする
この最初のステップでは、IAM Identity Center コンソールを使用して、自動プロビジョニングを有効にします。
**IAM アイデンティティセンターで自動プロビジョニングを有効にするには**
1. 前提条件が整ったら、[IAM アイデンティティセンターコンソール](https://console.aws.amazon.com/singlesignon)を開きます。
1. 左側のナビゲーションペインの **[設定]** を選択します。
1. **[設定]** ページで、**[自動プロビジョニング]** 情報ボックスを探し、**[有効化]** を選択します。これにより、すぐに IAM アイデンティティセンターの自動プロビジョニングが有効になり、必要なエンドポイントとアクセストークンの情報が表示されます。
1. **[インバウンド自動プロビジョニング]** ダイアログボックスで、SCIM エンドポイントとアクセストークンをコピーします。これらは、後で IdP でプロビジョニングを設定する際に貼り付ける必要があります。
1. **[SCIM エンドポイント]** - 例えば https://scim.*us-east-2*.amazonaws.com/*11111111111-2222-3333-4444-555555555555*/scim/v2
1. **[アクセストークン]** - **[トークンを表示]** を選択して値をコピーします。
**警告**
SCIM エンドポイントとアクセストークンを取得できるタイミングは、この時のみです。先に進む前に、これらの値をコピーしておいてください。このチュートリアルの後半で、お使いの IdP 上でこれらの値を入力して自動プロビジョニングを設定します。
1. **[閉じる]** を選択します。
IAM Identity Center コンソールでプロビジョニングを設定しています。あとは OneLogin 管理者コンソールのユーザーインターフェースに従い、以下の残りの手順を行う必要があります。
## ステップ 2: OneLogin でプロビジョニングを設定する
OneLogin 管理コンソールで以下の手順を使用して、IAM Identity Center と IAM Identity Center アプリケー ション間の統合を有効にします。この手順では、SAML 認証OneLogin用に で AWS Single Sign-On アプリケーションが既に設定されていることを前提としています。この SAML 接続をまだ作成していない場合は、先に進む前に SAML 接続を作成し、ここに戻って SCIM のプロビジョニングプロセスを完了してください。OneLogin での SAML の設定の詳細については、 AWS パートナーネットワークブログの「[Enabling Single Sign-On Between OneLogin and AWS](https://aws.amazon.com/blogs/apn/enabling-single-sign-on-between-onelogin-and-aws/)」を参照してください。
**OneLogin でプロビジョニングを設定するには**
1. OneLogin にサインインして、**[アプリケーション] > [アプリケーション]** と進みます。
1. [**アプリケーション**] ページで、IAM Identity Center との SAML 接続を形成するために以前に作成したアプリケーションを検索します。それを選択して、左のナビゲーションバーから **[設定]** を選択します。
1. 前の手順で、IAM Identity Center から [**SCIM エンドポイント**] の値をコピーしました。その値を OneLogin の [**ベース URL**] フィールドに貼り付けます。また、前の手順で、IAM アイデンティティセンターの **[アクセストークン]** の値をコピーしました。その値を OneLogin の [**SCIM ベアラートークン**] フィールドに貼り付けます。
1. **[API Connection]** (API 接続) の隣にある **[Enable]** (有効化) をクリックし、**[Save]** (保存) をクリックして設定を完了します。
1. ナビゲーションペインで、**[Provisioning]** (プロビジョニング) を選択します。
1. **[Enable provisioning]** (プロビジョニングの有効化)、**[Create user]** (ユーザーの作成)、**[Delete user]** (ユーザーの削除)、**[Update user]** (ユーザーの更新) の各チェックボックスを選択し、**[Save]** (保存) を選択します。
1. ナビゲーションペインで **[ユーザー]** を選択します。
1. **[More Actions]** (その他のアクション) をクリックして、**[Sync logins]** (ログイン同期) を選択します。[*Synchronizing users with AWS Single Sign-On を使用したユーザーの同期*] というメッセージが表示されます。
1. もう一度 **[More Actions]** (その他のアクション) をクリックして、**[Reapply entitlement mappings]** (エンタイトルメントマッピングの再適用) を選択します。*Mappings are being reapplied* (マッピングが再適用されている) というメッセージが表示されます。
1. この時点で、プロビジョニングプロセスを開始する必要があります。これを確認するには、**[Activity] (アクティビティ) > Events (イベント)** をクリックして、進行状況をモニタリングします。プロビジョニングに成功したイベントやエラーがイベントストリームに表示されます。
1. ユーザーおよびグループが IAM Identity Center にすべて正常に同期されたことを確認するには、 IAM Identity Center コンソールに戻り、[**ユーザー**] を選択します。OneLogin から同期されたユーザーは、[**ユーザー**] ページに表示されます。また、同期したグループは **[Groups]** (グループ) ページで確認できます。
1. ユーザーの変更を IAM Identity Center に自動的に同期させるには、[**プロビジョニング**] ページに移動し、[**この操作を実行する前に管理者の承認を要求する**] セクションを見つけ、[**ユーザーの作成**]、[**ユーザーの削除**]、[**ユーザーの更新**] の選択を解除し、[**保存**] をクリックします。
## (オプション) ステップ 3: IAM Identity Center でのアクセスコントロールのために OneLogin でユーザー属性を設定する
これは、 AWS リソースへのアクセスを管理するために IAM Identity Center で使用する属性を設定するOneLogin場合のオプションの手順です。OneLogin で定義した属性は、SAML アサーションで IAM Identity Center に渡されます。その後、IAM Identity Center でアクセス権限セットを作成し、OneLogin から渡された属性に基づいてアクセスを管理します。
この手順を始める前に、最初に [アクセスコントロールの属性](attributesforaccesscontrol.md) 機能を有効にしておく必要があります。これを行う方法については、「[アクセスコントロールのための属性の有効化と設定](configure-abac.md)」を参照してください。
**IAM Identity Center でのアクセスコントロールに使用される OneLogin の属性の有効化と設定**
1. OneLogin にサインインして、**[アプリケーション] > [アプリケーション] **と進みます。
1. [**アプリケーション**] ページで、IAM Identity Center との SAML 接続を形成するために以前に作成したアプリケーションを検索します。それを選択して、ナビゲーションバーから **[パラメータ]** を選択します。
1. [**必須パラメータ**] セクションでは、IAM Identity Center で使用する各属性について以下のように設定します。
1. **\$1** を選択します。
1. **[名前]** フィールドには `https://aws.amazon.com/SAML/Attributes/AccessControl:AttributeName` を入力し、**AttributeName** は IAM Identity Center で想定している属性名に置き換えます。例えば、`https://aws.amazon.com/SAML/Attributes/AccessControl:Department`。
1. **[Flags]** (フラグ) で、**[Include in SAML assertion]** (SAML アサーションに含める) の横のボックスをチェックして、**[Save]** (保存) を選択します。
1. [**値**] フィールドでは、ドロップダウンリストを使って、OneLogin のユーザー属性を選択します。例えば、**Department** (部署) などです。
1. **[保存]** を選択します。
## (オプション) アクセスコントロールの属性を渡す
IAM Identity Center の [アクセスコントロールの属性](attributesforaccesscontrol.md) 機能をオプションで使用して、`Name` 属性を `https://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey}` に設定した `Attribute` 要素を渡すことができます。この要素を使用すると、SAML アサーションでセッションタグとして属性を渡すことができます。セッションタグの詳細については、「*IAM ユーザーガイド*」の「[AWS STSでのタグ付けの規則 ](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_session-tags.html)」を参照してください。
属性をセッションタグとして渡すには、タグの値を指定する `AttributeValue` 要素を含めます。例えば、タグのキーバリューのペア `CostCenter = blue` を渡すには、次のような属性を使用します。
```
blue
```
複数の属性を追加する必要がある場合は、各タグに個別の `Attribute` 要素を含めます。
## トラブルシューティング
以下は、OneLogin で自動プロビジョニングで発生する問題のトラブルシューティングに役立ちます。
**グループは IAM Identity Center にプロビジョニングされない**
デフォルトでは、グループは OneLogin から IAM Identity Center にプロビジョニングできません。OneLogin で IAM Identity Center アプリケーションのグループプロビジョニングが有効になっていることを確認します。これを行うには、OneLogin 管理コンソールにサインインし、IAM Identity Center アプリケーションのプロパティ (**IAM Identity Center アプリケーション > パラメータ > グループ**) で、[**ユーザープロビジョニングに含める**] オプションが選択されている必要があります。SCIM のグループとして OneLogin のロールを同期させる方法を含め、OneLogin でグループを作成する方法の詳細については、「[OneLogin のウェブサイト](https://onelogin.service-now.com/support)」 を参照してください。
**すべての設定が正しいにもかかわらず、OneLogin から IAM Identity Center へ何も同期されない**
上記の管理者承認に関する注意事項に加えて、多くの設定変更を有効にするためには、**エンタイトルメントマッピングを再適用する**必要があります。これは、**[アプリケーション] > [アプリケーション] > [IAM Identity Center アプリケーション] > [その他のアクション]** で確認できます。同期イベントを含む OneLogin のほとんどのアクションの詳細とログは、**[Activity ] (アクティビティ) > [Events] (イベント)** で確認できます。
**OneLogin でグループを削除または無効にしたが、IAM Identity Center でまだ表示されている**
OneLogin は現在、グループに対する SCIM DELETE オペレーションをサポートしていないため、グループは IAM Identity Center で存在し続けます。そのため、IAM Identity Center からグループを直接削除して、そのグループに対応する IAM Identity Center 内のアクセス権限が削除されるようにする必要があります。
**OneLogin からグループを削除せずに IAM Identity Center でグループを削除したら、ユーザー/グループの同期問題が発生した**
この問題を解決するには、まず、OneLogin に冗長なグループプロビジョニングルールや構成がないことを確認してください。例えば、アプリケーションに直接割り当てられたグループと、同じグループに発行するルールなどです。次に、IAM Identity Center 内の不必要なグループを削除します。最後に OneLogin でエンタイトルメントを **リフレッシュ**して (**[IAM Identity Center アプリケーション] > [プロビジョニング] > [エンタイトルメント]**)、**エンタイトルメントマッピングを再度適用します ([IAM Identity Center アプリケーション] > [その他のアクション])**。今後この問題を回避するには、まず OneLogin でグループのプロビジョニングを停止するように変更し、その後 IAM Identity Center からグループを削除します。
# IAM アイデンティティセンターで Ping Identity 製品を使用する
以下の Ping Identity 製品は、IAM Identity Center でテストされます。
**Topics**
+ [
# PingFederate
](pingfederate-idp.md)
+ [
# PingOne
](pingone-idp.md)
# PingFederate
IAM Identity Center は、Ping Identity (以下、Ping) の PingFederate 製品から IAM Identity Center へのユーザーおよびグループ情報の自動プロビジョニング (同期化) をサポートしています。このプロビジョニングでは、クロスドメインアイデンティティ管理システム (SCIM) v2.0 プロトコルを使用します。詳細については、「[外部 ID プロバイダーで SAML および SCIM ID フェデレーションを使用する](other-idps.md)」を参照してください。
この接続を PingFederate で設定するには、IAM Identity Center SCIM エンドポイントとアクセストークンを使用します。SCIM 同期を設定すると、PingFederate のユーザー属性と IAM Identity Center の名前付き属性のマッピングが作成されます。これにより、IAM Identity Center と PingFederate の間で、期待される属性が一致します。
このガイドは、PingFederate バージョン 10.2 に基づいています。他のバージョンでは、手順が異なる場合があります。他のバージョンの Ping の IAM Identity Center へのプロビジョニングの設定方法の詳細については、PingFederate にお問い合わせください。
次のステップでは、SCIM プロトコルを使用して、PingFederate から IAM Identity Center へのユーザーとグループの自動プロビジョニングを有効にする方法を説明します。
**注記**
SCIM のデプロイを開始する前に、まず [自動プロビジョニングを使用する際の注意事項](provision-automatically.md#auto-provisioning-considerations) を確認することをお勧めします。そして、次のセクションで残りの注意事項を確認します。
**Topics**
+ [
## 前提条件
](#pingfederate-prereqs)
+ [
## 考慮事項
](#pingfederate-considerations)
+ [
## ステップ 1: IAM Identity Center でプロビジョニングを有効にする
](#pingfederate-step1)
+ [
## ステップ 2: PingFederate でプロビジョニングを設定する
](#pingfederate-step2)
+ [
## (オプション) ステップ 3: IAM Identity Center でのアクセスコントロールのために でユーザー属性を設定する
](#pingfederate-step3)
+ [
## (オプション) アクセスコントロールの属性を渡す
](#pingfederate-passing-abac)
+ [
## トラブルシューティング
](#pingfederate-troubleshooting)
## 前提条件
開始する前に、以下の準備が必要です。
+ 動作中の PingFederate サーバー。既存の PingFederate サーバーをお持ちでない場合は、[Ping Identity](https://www.pingidentity.com/developer/en/get-started.html#:~:text=Get%20started%20developing%20with%20open,a%20developer%20trial%20of%20PingOne.) のウェブサイトから無料トライアルまたはデベロッパーアカウントを取得できるかもしれません。無料トライアルには、ライセンスやソフトウェアのダウンロード、関連するドキュメントが含まれています。
+ PingFederate サーバーにインストールされている PingFederate IAM Identity Center ソフトウェアのコピー。このソフトウェアの入手方法については、Ping Identity ウェブサイトの「[IAM Identity Center Connector](https://support.pingidentity.com/s/marketplace-integration/a7i1W000000TOZ1/)」を参照してください。
+ IAM アイデンティティセンター対応アカウント ([無料](https://aws.amazon.com/single-sign-on/))。詳細については、「[IAM Identity Center の有効化](https://docs.aws.amazon.com/singlesignon/latest/userguide/setup-enable-idc.html)」を参照してください。
+ PingFederate インスタンスから IAM Identity Center への SAML 接続。この接続を設定する手順については、PingFederate のドキュメントを参照してください。つまり推奨される方法は、IAM Identity Center コネクターを使用して PingFederate で「ブラウザ SSO」を構成し、両端のメタデータの「ダウンロード」および「インポート」機能を使用して、PingFederate と IAM Identity Center の間で SAML メタデータを交換します。
+ IAM Identity Center を追加のリージョンにレプリケートした場合は、ID プロバイダーの設定を更新して、 AWS マネージドアプリケーションおよびそれらのリージョン AWS アカウント からのアクセスを有効にする必要があります。詳細については、[ステップ 3: 外部 IdP 設定を更新する](replicate-to-additional-region.md#update-external-idp-setup)を参照してください。詳細については、PingFederateドキュメントを参照してください。
## 考慮事項
以下は、IAM Identity Center によるプロビジョニングの実装方法に影響を与える可能性がある PingFederate に関する重要な注意事項です。
+ PingFederate で設定したデータストアのユーザーから属性 (電話番号など) を削除しても、IAM Identity Center に対応するユーザーからはその属性は削除されません。これは、PingFederate’s のプロビジョナーの実装における既知の制限です。ユーザーの属性が異なる (空でない) 値に変更された場合、その変更は IAM Identity Center に同期されます。
## ステップ 1: IAM Identity Center でプロビジョニングを有効にする
この最初のステップでは、IAM Identity Center コンソールを使用して、自動プロビジョニングを有効にします。
**IAM アイデンティティセンターで自動プロビジョニングを有効にするには**
1. 前提条件が整ったら、[IAM アイデンティティセンターコンソール](https://console.aws.amazon.com/singlesignon)を開きます。
1. 左側のナビゲーションペインの **[設定]** を選択します。
1. **[設定]** ページで、**[自動プロビジョニング]** 情報ボックスを探し、**[有効化]** を選択します。これにより、すぐに IAM アイデンティティセンターの自動プロビジョニングが有効になり、必要なエンドポイントとアクセストークンの情報が表示されます。
1. **[インバウンド自動プロビジョニング]** ダイアログボックスで、SCIM エンドポイントとアクセストークンをコピーします。これらは、後で IdP でプロビジョニングを設定する際に貼り付ける必要があります。
1. **[SCIM エンドポイント]** - 例えば https://scim.*us-east-2*.amazonaws.com/*11111111111-2222-3333-4444-555555555555*/scim/v2
1. **[アクセストークン]** - **[トークンを表示]** を選択して値をコピーします。
**警告**
SCIM エンドポイントとアクセストークンを取得できるタイミングは、この時のみです。先に進む前に、これらの値をコピーしておいてください。このチュートリアルの後半で、お使いの IdP 上でこれらの値を入力して自動プロビジョニングを設定します。
1. [**閉じる**] を選択してください。
IAM Identity Center コンソールでプロビジョニングを設定した後、PingFederate 管理コンソールを使用して残りのタスクを完了する必要があります。
## ステップ 2: PingFederate でプロビジョニングを設定する
PingFederate 管理コンソールで以下の手順を使用して、IAM Identity Center と IAM Identity Center コネクター間の統合を有効にします。この手順では、IAM Identity Center コネクターソフトウェアが既にインストールされていることを前提としています。まだ実行していない場合は、「[前提条件](#pingfederate-prereqs)」を参照してから、この手順を実行して SCIM プロビジョニングを設定してください。
**重要**
PingFederate サーバーが以前にアウトバウンド SCIM プロビジョニング用に設定されていない場合は、プロビジョニングを有効にするために設定ファイルの変更が必要になることがあります。詳細については、Ping ドキュメントを参照してください。つまり、**pingfederate-/pingfederate/bin/run.properties** ファイル内の `pf.provisioner.mode` 設定を `OFF` (デフォルト) 以外の値に変更して、現在稼働中のサーバーがあれば再起動する必要があります。例えば、PingFederate を使った高可用性の構成でない場合は `STANDALONE` を使用することができます。
**PingFederate でプロビジョニングを設定するには**
1. PingFederate 管理コンソールにサインオンします。
1. ページ上部の **[Applications]** (アプリケーション) を選択し、**[SP Connections]** (SP 接続) をクリックします。
1. IAM Identity Center との SAML 接続を形成するために前回作成したアプリケーションを検索して、接続名をクリックします。
1. ページの上部にある暗いナビゲーションの見出しから **[Connection Type]** (接続タイプ) を選択します。前回の SAML の設定で、**Browser SSO** が既に選択されているはずです。選択されていない場合は、先にその手順を完了させてから次に進みます。
1. **[アウトバウンドプロビジョニング]** チェックボックスを選択して、タイプとして **[IAM Identity Center クラウドコネクター]** を選択して、**[保存]** をクリックします。[**IAM Identity Center Cloud Connector**] がオプションとして表示されない場合は、IAM Identity Center がインストールされていることを確認して、PingFederate サーバーを再起動します。
1. **[Outbound Provisioning]** (アウトバウンドプロビジョニング) ページが表示されるまで、繰り返し **[Next]** (次へ) をしクリックします。ページが表示されたら、**[Configure Provisioning]** (プロビジョニングの設定) ボタンをクリックします。
1. 前の手順で、IAM Identity Center から [**SCIM エンドポイント**] の値をコピーしました。その値を PingFederate コンソールの [**SCIM URL**] フィールドに貼り付けます。また、前の手順で、IAM アイデンティティセンターの **[アクセストークン]** の値をコピーしました。その値を PingFederate コンソールの [**アクセストークン**] フィールドに貼り付けます。**[Save]** (保存) をクリックします。
1. **[Channel Configuration (Configure Channels)]** (チャンネル設定 (チャンネルの設定)) ページで **[Create]** (作成) をクリックします。
1. 新しいプロビジョニングチャネルの**チャネル名** (**AWSIAMIdentityCenterchannel** など) を入力し、**[Next]** (次へ) をクリックします。
1. [**ソース**] ページでは、IAM Identity Center への接続に使用する [**アクティブデータストア**] を選択し、[**次へ**] をクリックします。
**注記**
データソースを設定していない場合は、すぐに設定する必要があります。Ping でのデータソースの選択と設定方法については、PingFederate 製品のドキュメントを参照してください。
1. **[Source Settings]** (ソースの設定) ページで、すべての値がインストールに対して正しいことを確認して、**[Next]** (次へ) をクリックします。
1. **[Source Location]** (ソースの場所) ページで、データソースに適した設定を入力して、**[Next]** (次へ) をクリックします。例えば、アクティブディレクトリを LDAP ディレクトリとして使用する場合などです。
1. AD フォレストの**ベース DN** を入力します (例: **DC=myforest,DC=mydomain,DC=com**)。
1. **[ユーザー] > [グループ DN]** を選択して、IAM Identity Center にプロビジョニングしたいすべてのユーザーを含む単一のグループを指定します。単一のグループが存在しない場合は、AD にグループを作成してからこの設定に戻って、対応する DN を入力します。
1. サブグループを検索するかどうか (**ネスト検索**) と、必要な LDAP **フィルター**を指定します。
1. **[グループ] > [グループ DN] **を選択して、IAM Identity Center にプロビジョニングしたいすべてのグループを含む単一のグループを指定します。通常、これは **[Users]** (ユーザー) セクションで指定したのと同じ DN である可能性があります。必要に応じて **ネスト検索**と**フィルター**の値を入力します。
1. **[Attribute Mapping]** (属性マッピング) ページで以下の項目を確認し、**[Next]** (次へ) をクリックします。
1. [**userName**] フィールドは、E メールとしてフォーマットされた**属性**にマッピングされている必要があります (user@domain.com)。また、ユーザーが Ping にログインする際に使用する値と一致していなければなりません。この値は、フェデレーション認証の際に SAML `nameId` クレームに入力され、IAM Identity Center でのユーザーとのマッチングに使用されます。例えば、アクティブディレクトリを使用している場合、**userName** に `UserPrincipalName` を指定することができます。
1. サフィックスに **\$1** が付いているその他のフィールドは、ユーザーの NULL 以外の属性にマップする必要があります。
1. **[Activation & Summary]** (アクティベーションとサマリー) ページで、**[Channel Status]** (チャネルステータス) を **Active** (アクティブ) に設定すると、保存するとすぐに同期が開始されます。
1. ページ上の設定値がすべて正しいことを確認して、**[Done]** (完了) をクリックします。
1. **[Manage Channels]** (チャネルの管理) ページで **[Save]** (保存) をクリックします。
1. この時点で、プロビジョニングが開始します。アクティビティは、**provisioner.log** ファイルで確認できます。デフォルトでは PingFederate サーバーの **pingfederate-/pingfederate/log** ディレクトリに保存されています。
1. ユーザーおよびグループが IAM Identity Center にすべて正常に同期されたことを確認するには、 IAM Identity Center コンソールに戻り、[**Users**] (ユーザー) を選択します。PingFederate から同期されたユーザーは、[**ユーザー**] ページに表示されます。また、同期したグループは **[Groups]** (グループ) ページで確認できます。
## (オプション) ステップ 3: IAM Identity Center でのアクセスコントロールのために でユーザー属性を設定する
これは、 AWS リソースへのアクセスを管理するために IAM Identity Center で使用する属性を設定するPingFederate場合のオプションの手順です。PingFederate で定義した属性は、SAML アサーションで IAM Identity Center に渡されます。その後、IAM Identity Center でアクセス権限セットを作成し、PingFederate から渡された属性に基づいてアクセスを管理します。
この手順を始める前に、最初に [アクセスコントロールの属性](attributesforaccesscontrol.md) 機能を有効にしておく必要があります。これを行う方法については、「[アクセスコントロールのための属性の有効化と設定](configure-abac.md)」を参照してください。
**IAM Identity Center でのアクセスコントロールに使用される PingFederate の属性の有効化と設定**
1. PingFederate 管理コンソールにサインオンします。
1. ページ上部の **[Applications]** (アプリケーション) を選択し、**[SP Connections]** (SP 接続) をクリックします。
1. IAM Identity Center との SAML 接続を形成するために前回作成したアプリケーションを検索して、接続名をクリックします。
1. ページの上部にある暗いナビゲーションの見出しから **[Browser SSO]** (ブラウザ SSO) を選択します。次に **[Configure Browser SSO]** (ブラウザ SSO の設定) をクリックします。
1. **[Configure Browser SSO]** (ブラウザ SSO の設定) ページで、**[Assertion Creation]** (アサーションの作成) を選択し、**[Configure Assertion Creation]** (アサーション作成の設定) をクリックします。
1. **[Configure Assertion Creation]** (アサーション作成の設定) ページで、**[Attribute Contract]** (属性契約) を選択します。
1. **[Attribute Contract]** (属性の契約) ページの **[Extend the Contract]** (契約の拡張) セクションで、以下の手順で新しい属性を追加します。
1. テキストボックスには `https://aws.amazon.com/SAML/Attributes/AccessControl:AttributeName` を入力し、**AttributeName** は IAM Identity Center で想定している属性名に置き換えます。例えば、`https://aws.amazon.com/SAML/Attributes/AccessControl:Department`。
1. **[属性名の形式]** では、[**urn:oasis:names:tc:SAML:2.0:attrname-format:uri**] を選択します。
1. **[Add]** (追加) を選択して、次に **[Next]** (次へ) を選択します。
1. **[Authentication Source Mapping]** (認証ソースマッピング) ページで、アプリケーションに設定されているアダプタインスタンスを選択します。
1. **[Attribute Contract Fulfillment]** (属性契約の履行) ページで、**[Attribute Contract]** (属性契約) `https://aws.amazon.com/SAML/Attributes/AccessControl:Department` の **[Source]** (ソース) (*data store* (データストア)) と **[Value]** (値) (*data store attribute* (データストア属性)) を選択します。
**注記**
データソースを設定していない場合は、すぐに設定する必要があります。Ping でのデータソースの選択と設定方法については、PingFederate 製品のドキュメントを参照してください。
1. **[Activation & Summary]** (アクティベーションとサマリー) ページが表示されるまで、繰り返し **[Next]** (次へ) をクリックします。ページが表示されたら、**[Save]** (保存) をクリックします。
## (オプション) アクセスコントロールの属性を渡す
IAM Identity Center の [アクセスコントロールの属性](attributesforaccesscontrol.md) 機能をオプションで使用して、`Name` 属性を `https://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey}` に設定した `Attribute` 要素を渡すことができます。この要素を使用すると、SAML アサーションでセッションタグとして属性を渡すことができます。セッションタグの詳細については、「*IAM ユーザーガイド*」の「[AWS STSでのタグ付けの規則 ](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_session-tags.html)」を参照してください。
属性をセッションタグとして渡すには、タグの値を指定する `AttributeValue` 要素を含めます。例えば、タグのキーバリューのペア `CostCenter = blue` を渡すには、次のような属性を使用します。
```
blue
```
複数の属性を追加する必要がある場合は、各タグに個別の `Attribute` 要素を含めます。
## トラブルシューティング
PingFederate を使用した一般的な SCIM および SAML のトラブルシューティングについては、以下のセクションを参照してください。
+ [特定のユーザーが、外部の SCIM プロバイダーからの IAM Identity Center に同期できません](troubleshooting.md#issue2)
+ [IAM Identity Center によって作成された SAML アサーションの内容に関する問題](troubleshooting.md#issue1)
+ [外部 ID プロバイダーを使用してユーザーまたはグループをプロビジョニングする際の重複ユーザーまたはグループのエラー](troubleshooting.md#duplicate-user-group-idp)
+ PingFederate の詳細については、「[PingFederate のドキュメント](https://docs.pingidentity.com/pingfederate/latest/pf_pf_landing_page.html)」を参照してください。
以下のリソースは、作業中のトラブルシューティングに役立ちます AWS。
+ [AWS re:Post](https://repost.aws/) — 問題のトラブルシューティングに役立つ FAQ やその他のリソースへのリンクを検索できます。
+ [AWS サポート](https://aws.amazon.com/premiumsupport/) - テクニカルサポートを受ける
# PingOne
IAM Identity Center は、Ping Identity(以下、Ping) の PingOne 製品から IAM Identity Center へのユーザー情報の自動プロビジョニング (同期化) をサポートしています。このプロビジョニングでは、クロスドメインアイデンティティ管理システム (SCIM) v2.0 プロトコルを使用します。この接続を PingOne で設定するには、IAM Identity Center SCIM エンドポイントとアクセストークンを使用します。SCIM 同期を設定すると、PingOne のユーザー属性と IAM Identity Center の名前付き属性のマッピングが作成されます。これにより、IAM アイデンティティセンターと PingOne の間で、期待される属性が一致します。
次のステップでは、SCIM プロトコルを使用して、PingOne から IAM Identity Center へのユーザーとグループの自動プロビジョニングを有効にする方法を説明します。
**注記**
SCIM のデプロイを開始する前に、まず [自動プロビジョニングを使用する際の注意事項](provision-automatically.md#auto-provisioning-considerations) を確認することをお勧めします。そして、次のセクションで残りの注意事項を確認します。
**Topics**
+ [
## 前提条件
](#pingone-prereqs)
+ [
## 考慮事項
](#pingone-considerations)
+ [
## ステップ 1: IAM Identity Center でプロビジョニングを有効にする
](#pingone-step1)
+ [
## ステップ 2: PingOne でプロビジョニングを設定する
](#pingone-step2)
+ [
## (オプション) ステップ 3: IAM Identity Center でのアクセスコントロールのために PingOne でユーザー属性を設定する
](#pingone-step3)
+ [
## (オプション) アクセスコントロールの属性を渡す
](#pingone-passing-abac)
+ [
## トラブルシューティング
](#pingone-troubleshooting)
## 前提条件
開始する前に、以下の準備が必要です。
+ フェデレーション認証とプロビジョニング機能の両方を備えた PingOne のサブスクリプションまたは無料トライアル。無料トライアルの取得方法の詳細については、[https://www.pingidentity.com/en/trials.html](https://www.pingidentity.com/en/trials.html)ウェブサイトを参照してください。
+ IAM アイデンティティセンター対応アカウント ([無料](https://aws.amazon.com/single-sign-on/))。詳細については、「[IAM Identity Center の有効化](https://docs.aws.amazon.com/singlesignon/latest/userguide/setup-enable-idc.html)」を参照してください。
+ PingOneIAM ID センターアプリケーションがPingOne管理ポータルに追加されました。PingOneIAM Identity Center アプリケーションはPingOneアプリケーションカタログから入手できます。一般的な情報については、Ping Identity ウェブサイトの「[アプリケーションカタログからアプリケーションを追加する](https://docs.pingidentity.com/pingone/applications/p1_applicationcatalog.html)」を参照してください。
+ PingOne インスタンスから IAM Identity Center への SAML 接続。PingOneIAM Identity Center アプリケーションが、PingOne管理者ポータルに追加されたら、そのアプリケーションを使用して、PingOneインスタンスから IAM Identity Center への SAML 接続を設定する必要があります。両端のメタデータの「ダウンロード」および「インポート」機能を使用して、PingOne と IAM Identity Center 間で SAML メタデータを交換します。この接続を設定する手順については、PingOne のドキュメントを参照してください。
+ IAM Identity Center を追加のリージョンにレプリケートした場合は、ID プロバイダーの設定を更新して、 AWS マネージドアプリケーションおよびそれらのリージョン AWS アカウント からのアクセスを有効にする必要があります。詳細については、[ステップ 3: 外部 IdP 設定を更新する](replicate-to-additional-region.md#update-external-idp-setup)を参照してください。詳細については、PingOneドキュメントを参照してください。
## 考慮事項
以下は、IAM Identity Center によるプロビジョニングの実装方法に影響を与える可能性がある PingOne に関する重要な注意事項です。
+ PingOne は SCIM によるグループのプロビジョニングをサポートしていません。Ping の SCIM のグループサポートに関する最新情報については、PingOne にお問い合わせください。
+ PingOne 管理者ポータルでプロビジョニングを無効にしても、PingOne からユーザーのプロビジョニングが継続される場合があります。プロビジョニングをすぐに終了する必要がある場合は、該当する SCIM ベアラートークンを削除するか、IAM Identity Center の [SCIM を使用して外部 ID プロバイダーからユーザーとグループをプロビジョニングする](provision-automatically.md) を無効にします。
+ ユーザーの属性が PingOne で設定されたデータストアから削除されても、IAM Identity Center の対応するユーザーからはその属性は削除されません。これは、PingOne’s のプロビジョナーの実装における既知の制限です。属性が変更された場合、その変更は IAM Identity Center に同期されます。
+ 以下は、PingOne での SAML 設定に関する重要な注意事項です。
+ IAM Identity Center は `NameId` 形式として `emailaddress` のみサポートします。これは、PingOne の **SAML\$1SUBJECT** マッピングのために、PingOne のディレクトリ内で一意であり、NULL 以外で、E メール/UPN としてフォーマットされた (例えば、user@domain.com) ユーザー属性を選択する必要があるということです。**E メール (仕事用)** は、 のPingOne内部ディレクトリを使ったテスト構成に使用するのに適した値です。
+ PingOne で **\$1** 文字を含むメールアドレスを使用しているユーザーが IAM Identity Center にサインインできず、`'SAML_215'` や `'Invalid input'` などのエラーが発生することがあります。この問題を解決するには、PingOne で、[**属性マッピング**] の [**SAML\$1SUBJECT**] マッピングで [**詳細**] オプションを選択します。次に、**[SP に送信する名前 ID フォーマット:]** をドロップダウンメニューで「**urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress**」に設定します。
## ステップ 1: IAM Identity Center でプロビジョニングを有効にする
この最初のステップでは、IAM Identity Center コンソールを使用して、自動プロビジョニングを有効にします。
**IAM アイデンティティセンターで自動プロビジョニングを有効にするには**
1. 前提条件が整ったら、[IAM アイデンティティセンターコンソール](https://console.aws.amazon.com/singlesignon)を開きます。
1. 左側のナビゲーションペインの **[設定]** を選択します。
1. **[設定]** ページで、**[自動プロビジョニング]** 情報ボックスを探し、**[有効化]** を選択します。これにより、すぐに IAM アイデンティティセンターの自動プロビジョニングが有効になり、必要なエンドポイントとアクセストークンの情報が表示されます。
1. **[インバウンド自動プロビジョニング]** ダイアログボックスで、SCIM エンドポイントとアクセストークンをコピーします。これらは、後で IdP でプロビジョニングを設定する際に貼り付ける必要があります。
1. **[SCIM エンドポイント]** - 例えば https://scim.*us-east-2*.amazonaws.com/*11111111111-2222-3333-4444-555555555555*/scim/v2
1. **[アクセストークン]** - **[トークンを表示]** を選択して値をコピーします。
**警告**
SCIM エンドポイントとアクセストークンを取得できるタイミングは、この時のみです。先に進む前に、これらの値をコピーしておいてください。このチュートリアルの後半で、お使いの IdP 上でこれらの値を入力して自動プロビジョニングを設定します。
1. **[閉じる]** を選択します。
IAM Identity Center でプロビジョニングを設定したので、PingOne IAM Identity Center アプリケーションを使用して残りのタスクを完了する必要があります。これらのステップについて、次の手順で説明します。
## ステップ 2: PingOne でプロビジョニングを設定する
PingOne IAM Identity Center アプリケーションで以下の手順を使用して、IAM Identity Center によるプロビジョニングを有効にします。この手順では、PingOne IAM Identity Center アプリケーションがPingOne管理ポータルに既に追加されていることを前提としています。まだ実行していない場合は、「[前提条件](#pingone-prereqs)」を参照してから、この手順を実行して SCIM プロビジョニングを設定してください。
**PingOne でプロビジョニングを設定するには**
1. PingOne の SAML 設定でインストールした PingOne IAM Identity Center アプリケーションを開きます (**[アプリケーション]** > **[マイアプリケーション]**)。「[前提条件](#pingone-prereqs)」を参照してください。
1. ページの下部までスクロールします。**[User Provisioning]** (ユーザープロビジョニング) では、**[Complete]** (完了) リンクを選択して、接続のユーザープロビジョニング構成に移動します。
1. **[Provisioning Instructions]** (プロビジョニング手順) ページで、**[Continue to Next Step]** (次のステップに進む) を選択します。
1. 前の手順で、IAM Identity Center から [**SCIM エンドポイント**] の値をコピーしました。その値をPingOne IAM Identity Center アプリケーションの **[SCIM URL]** フィールドに貼り付けます。また、前の手順で、IAM アイデンティティセンターの **[アクセストークン]** の値をコピーしました。その値をPingOne IAM Identity Center アプリケーションの **[ACCESS\$1TOKEN]** フィールドに貼り付けます。
1. **[REMOVE\$1ACTION]** では、**[Disabled]** または **[Delete]** のいずれかを選択します (詳細はページの説明を参照してください)。
1. **[Attribute Mapping]** (属性マッピング) ページでは、このページで紹介した [考慮事項](#pingone-considerations) のガイダンスに従って、**SAML\$1SUBJECT** (`NameId`) アサーションに使用する値を選択します。**[Next]** (次へ) を選択して続行します。
1. [**PingOne アプリケーションのカスタマイズ - IAM Identity Center**] ページで、必要なカスタマイズの変更を行い (オプション)、[**次のステップに進む**] をクリックします。
1. [**グループアクセス**] ページでは、プロビジョニングと IAM Identity Center へのシングルサインオンを有効にするユーザーを含むグループを選択します。**[Continue to Next Step]** (次のステップに進む) を選択します。
1. ページの下部までスクロールして、**[Finish]** (完了) を選択してプロビジョニングを開始します。
1. ユーザーが IAM Identity Center に正常に同期されたことを確認するには、IAM Identity Center コンソールに戻り、[**ユーザー**] を選択します。PingOne から同期されたユーザーは、[**ユーザー**] ページに表示されます。これらのユーザーは、IAM Identity Center 内のアカウントおよびアプリケーションに割り当てられるようになりました。
PingOne は SCIM によるグループやグループメンバーシップのプロビジョニングをサポートしていないことに注意してください。詳細については、Ping にお問い合わせください。
## (オプション) ステップ 3: IAM Identity Center でのアクセスコントロールのために PingOne でユーザー属性を設定する
これは、IAM Identity Center の属性を設定して AWS リソースへのアクセスを管理するPingOne場合のオプションの手順です。PingOne で定義した属性は、SAML アサーションで IAM Identity Center に渡されます。その後、IAM Identity Center でアクセス権限セットを作成し、PingOne から渡された属性に基づいてアクセスを管理します。
この手順を始める前に、最初に [アクセスコントロールの属性](attributesforaccesscontrol.md) 機能を有効にしておく必要があります。これを行う方法については、「[アクセスコントロールのための属性の有効化と設定](configure-abac.md)」を参照してください。
**IAM Identity Center でのアクセスコントロールに使用される PingOne の属性の有効化と設定**
1. PingOne の SAML 設定でインストールした PingOne IAM Identity Center アプリケーションを開きます (**アプリケーション > マイアプリケーション**)。
1. **[Edit]** (編集) を選択し、**[Continue to Next Step]** (次のステップに進む) を選択すると、**[Attribute Mappings]** (属性マッピング) ページが表示されます。
1. **[Attribute Mappings]** (属性マッピング) ページで **[Add new attribute]** (新規属性の追加) を選択し、以下の操作を行います。これらの手順は、IAM Identity Center でのアクセスコントロールに使用するために追加する各属性について行う必要があります。
1. **[Application Attribute]** (アプリケーション属性) フィールドに `https://aws.amazon.com/SAML/Attributes/AccessControl:AttributeName` と入力します。*AttributeName* を IAM Identity Center で想定している属性名に置き換えます。例えば、`https://aws.amazon.com/SAML/Attributes/AccessControl:Email`。
1. [**ID ブリッジ属性またはリテラル値**] フィールドで、PingOne ディレクトリからユーザー属性を選択します。例えば、**E メール (仕事用)**。
1. **[Next]** (次へ) を数回選択して、次に **[Finish]** (完了) を選択します。
## (オプション) アクセスコントロールの属性を渡す
IAM Identity Center の [アクセスコントロールの属性](attributesforaccesscontrol.md) 機能をオプションで使用して、`Name` 属性を `https://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey}` に設定した `Attribute` 要素を渡すことができます。この要素を使用すると、SAML アサーションでセッションタグとして属性を渡すことができます。セッションタグの詳細については、「*IAM ユーザーガイド*」の「[AWS STSでのタグ付けの規則 ](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_session-tags.html)」を参照してください。
属性をセッションタグとして渡すには、タグの値を指定する `AttributeValue` 要素を含めます。例えば、タグのキーバリューのペア `CostCenter = blue` を渡すには、次のような属性を使用します。
```
blue
```
複数の属性を追加する必要がある場合は、各タグに個別の `Attribute` 要素を含めます。
## トラブルシューティング
PingOne を使用した一般的な SCIM および SAML のトラブルシューティングについては、以下のセクションを参照してください。
+ [特定のユーザーが、外部の SCIM プロバイダーからの IAM Identity Center に同期できません](troubleshooting.md#issue2)
+ [IAM Identity Center によって作成された SAML アサーションの内容に関する問題](troubleshooting.md#issue1)
+ [外部 ID プロバイダーを使用してユーザーまたはグループをプロビジョニングする際の重複ユーザーまたはグループのエラー](troubleshooting.md#duplicate-user-group-idp)
+ PingOne の詳細については、「[PingOne のドキュメント](https://docs.pingidentity.com/pingone/p1_cloud__platform_main_landing_page.html)」を参照してください。
以下のリソースは、作業中のトラブルシューティングに役立ちます AWS。
+ [AWS re:Post](https://repost.aws/) — 問題のトラブルシューティングに役立つ FAQ やその他のリソースへのリンクを検索できます。
+ [AWS サポート](https://aws.amazon.com/premiumsupport/) - テクニカルサポートを受ける
# デフォルトの IAM アイデンティティセンターディレクトリを使用してユーザーアクセスを設定する
IAM アイデンティティセンターを初めて有効にすると、アイデンティティセンターディレクトリがデフォルトの ID ソースとして自動的に構成されるため、ID ソースを選択する必要はありません。組織が、Microsoft Active Directory、Microsoft Entra ID または Okta などの別の ID プロバイダーを使用している場合、デフォルト設定を使用する代わりに、その ID ソースを IAM アイデンティティセンターと統合することを検討してください。
**目的**
このチュートリアルでは、デフォルトのディレクトリを ID ソースとして使用し、IAM アイデンティティセンター組織インスタンスを使用して管理ユーザーをセットアップしてテストします。この管理ユーザーは、ユーザーとグループを作成および管理し、アクセス許可セットを使用して AWS アクセスを許可します。次のステップでは、以下を作成します。
+ *Nikki Wolf* という名前の管理ユーザー
+ *管理チーム* という名前のグループ。
+ *AdminAccess* という名前のアクセス許可セット
すべてが正しく作成されたことを確認するには、サインインして管理ユーザーのパスワードを設定します。このチュートリアルを完了すると、管理ユーザーを使用して IAM アイデンティティセンターにユーザーを追加したり、アクセス許可セットを追加したり、アプリケーションへの組織的なアクセスを設定したりできます。または、ユーザーにアプリケーションへのアクセスを許可する場合は、この手順の[ステップ 1](#gs-qs-step1) に従って[アプリケーションアクセスを設定できます](manage-your-applications.md)。
## 前提条件
このチュートリアルを完了するには、以下の前提条件が必要です。
+ [IAM Identity Center を有効にする](enable-identity-center.md) であり、[IAM アイデンティティセンターの組織インスタンス](organization-instances-identity-center.md)を持っている。
+ IAM アイデンティティセンターの[アカウントインスタンス](account-instances-identity-center.md)を持っていれば、ユーザーとグループを作成し、アプリケーションへのアクセス権を付与できます。詳細については、「[アプリケーションへのアクセス](manage-your-applications.md)」を参照してください。
+ にサインイン AWS マネジメントコンソール し、IAM Identity Center コンソールに次のようにアクセスします。
+ **New to AWS (ルートユーザー)** – **AWS アカウント ルートユーザー**を選択し、 AWS アカウント E メールアドレスを入力して、アカウント所有者としてサインインします。次のページでパスワードを入力します。
+ **( AWS IAM 認証情報) を既に使用** – 管理者権限を持つ IAM 認証情報を使用してサインインします。
+ へのサインインの詳細については AWS マネジメントコンソール、「 [AWS サインイン ガイド」を参照してください。](https://docs.aws.amazon.com//signin/latest/userguide/how-to-sign-in.html)
+ IAM アイデンティティセンターユーザーの多要素認証を設定できます。詳細については、「[IAM アイデンティティセンターでの MFA の設定](mfa-configure.md)」を参照してください。
## ステップ 1: ユーザーを追加する
1. [IAM Identity Center コンソール](https://console.aws.amazon.com/singlesignon)を開きます。
1. IAM アイデンティティセンターナビゲーションペインで、**[ユーザー]** を選択し、**[ユーザーの追加]** を選択します。
1. **[ユーザーの詳細を指定]** ページで、次の情報を入力します。
+ **[ユーザー名]** - このチュートリアルでは、*nikkiw* と入力します。
ユーザーを作成するときは、覚えやすいユーザー名を選択してください。アクセス AWS ポータルにサインインするには、ユーザーがユーザー名を覚えている必要があり、後で変更することはできません。
+ **[パスワード]** - **[このユーザーにパスワード設定の手順を記載した E メールを送信 (推奨)]** を選択します。
このオプションでは、Amazon Web Services からユーザーに「**Invitation to join IAM Identity Center**」という件名の E メールが送信されます。E メールは、`no-reply@signin.aws` または `no-reply@login.awsapps.com` から送信されます。これらの E メールアドレスを承認済み送信者リストに追加してください。
+ **[E メールアドレス]** - メールを受信できるユーザーの E メールアドレスを入力します。確認のため再入力します。各ユーザーは一意の E メールアドレスを持っている必要があります。
+ **[名]** - ユーザーの名を入力します。このチュートリアルでは、*Nikki* と入力します。
+ **[姓]** - ユーザーの姓を入力します。このチュートリアルでは、*Wolf* と入力します。
+ **[表示名]** - デフォルト値は、ユーザーの名と姓です。表示名を変更したい場合は、別の名前を入力できます。表示名はサインインポータルとユーザーリストに表示されます。
+ 必要に応じてオプション情報を入力します。このチュートリアルでは使用されないので、後で変更できます。
1. [**次へ**] を選択します。**[ユーザーをグループに追加]** ページが表示されます。*Nikki* に直接アクセス許可を与えるのではなく、管理者のアクセス許可を割り当てるグループを作成します。
**[グループを作成]** を選択する
新しいブラウザタブで **[グループの作成]** ページが開きます。
1. **[グループの詳細]** の **[グループ名]** に、グループの名前を入力します。グループのロールを識別するグループ名を使用することをおすすめします。このチュートリアルでは、*Admin team*と入力します。
1. **[グループを作成]** を選択する
1. **[グループ]** ブラウザータブを閉じて、**[ユーザーを追加]** ブラウザタブに戻ります。
1. **[グループ]** 領域で、**[更新]** ボタンを選択します。*管理チーム*グループがリストに表示されます。
*[管理チーム]* の横にあるチェックボックスをオンにし、**[次へ]** を選択します。
1. **[ユーザーの確認と追加]** ページで、次のことを確認します。
+ 主要情報は意図したとおりに表示されます。
+ グループには、作成したグループに追加されたユーザーが表示されます。
変更するには、[**Edit**] (編集) を選択します。すべての情報が正しければ、**[ユーザーを追加]** を選択します。
ユーザーが追加されたことを知らせる通知メッセージが表示されます。
次に、*管理チーム*グループの管理アクセス許可を追加して、*Nikki* がリソースにアクセスできるようにします。
## ステップ 2: 管理者アクセス許可を追加する
**重要**
[IAM アイデンティティセンターの組織インスタンス](identity-center-instances.md)を有効にした場合にのみ、以下の手順に従います。
1. IAM アイデンティティセンターのナビゲーションペインの **[マルチアカウントのアクセス許可]** で、**[AWS アカウント]** を選択します。
1. **[AWS アカウント]** ページの**[組織構造]** には、自分の組織とその下のアカウントが階層内で表示されます。管理アカウントのチェックボックスをオンにし、**[ユーザーまたはグループを割り当て]** を選択します。
1. **[ユーザーとグループを割り当てる]** のワークフローが表示されます。これは、3 つのステップから構成されています。
1. **[ステップ 1: ユーザーとグループの選択]** では、作成した*管理チーム*グループを選択します。次いで、**[次へ]** を選択します。
1. **[ステップ 2: アクセス許可セットの選択]** では、**[許可セットを作成]** を選択します。新しいタブが開き、アクセス許可セットを作成するための 3 つのサブステップが順を追って表示されます。
1. **[ステップ 1: 許可セットタイプを選択]** では、以下を完了します。
+ **[許可セットのタイプ]** で、**[事前定義された許可セット]** を選択します。
+ **[事前定義された許可セットのポリシー]** で **[AdministratorAccess]** を選択します。
[**次へ**] を選択します。
1. **[ステップ 2: 許可セットの詳細を指定]** では、デフォルト設定のままで、**[次へ]** を選択します。
デフォルト設定では、*AdministratorAccess* という名前の許可セットが作成され、セッション期間は 1 時間に設定されます。アクセス許可セットの名前を変更するには、**[許可セット名]** フィールドに新しい名前を入力します。
1. **ステップ 3: 確認して作成**するには、**アクセス許可セットタイプ**が AWS 管理ポリシー **AdministratorAccess** を使用していることを確認します。**[作成]** を選択します。**[アクセス許可セット]** ページに、アクセス許可セットが作成されたことを知らせる通知が表示されます。この時点で、ウェブブラウザでこのタブを閉じてもかまいません。
**[ユーザーとグループを割り当てる]** ブラウザタブでは、**[ステップ 2: 許可セットを選択]** でアクセス許可セットの作成ワークフローを開始した状態のままになっています。
**[アクセス許可セット]** 領域で、**[更新]** ボタンを選択します。作成した *AdministratorAccess* 許可セットがリストに表示されます。そのアクセス許可セットのチェックボックスを選択して、**[次へ]** を選択します。
1. **[ステップ 3: 割り当ての確認と送信]** ページで、*[管理者チーム]* グループが選択されていることと、*AdministratorAccess* 許可セットが選択されていることを確認し、**[送信]** を選択します。
ページが更新され、 AWS アカウント が設定されているというメッセージが表示されます。プロセスが完了するまで待ちます。
AWS アカウント ページに戻ります。が再プロビジョニングされ、更新されたアクセス許可セットが適用され AWS アカウント たことを通知する通知メッセージが表示されます。
**お疲れ様でした。**
最初のユーザー、グループ、アクセス許可セットが正常に設定されました。
このチュートリアルの次の部分では、管理者認証情報を使用して AWS アクセスポータルにサインインして *Nikki *のアクセスをテストし、パスワードを設定します。すぐにコンソールからサインアウトします。
## ステップ 3: ユーザーアクセスのテスト
これで *Nikki Wolf* は組織のユーザーになりました。Nikki Wolf は、サインインして、アクセス許可セットに従ってアクセス許可が付与されているリソースにアクセスできます。ユーザーが正しく設定されていることを確認するために、次のステップでは *Nikki* の認証情報を使用してサインインし、パスワードを設定します。ステップ 1 でユーザー *Nikki Wolf* を追加したときに、*Nikki* にパスワード設定手順が記載された E メールが送信されるように選択しました。この E メールを開いて、以下の操作を行います。
1. E メール内の **[招待を承認]** リンクを選択して招待を承諾します。
**注記**
E メールには、*Nikki* のユーザー名と、組織へのサインインに使用する AWS アクセスポータル URL も含まれています。将来使用するためにこの情報を記録します。
*Nikki* のパスワードを設定し、[MFA デバイスを登録](enable-mfa.md)できる **[新規ユーザーのサインアップ]** ページが表示されます。
1. *Nikki* のパスワードを設定すると、**[サインイン]** ページに移動します。*nikkiw* と入力して **[次へ]** を選択し、*Nikki* のパスワードを入力して **[サインイン]** を選択します。
1. AWS アクセスポータルが開き、アクセスできる組織とアプリケーションが表示されます。
組織を選択して のリストに展開 AWS アカウント し、アカウントを選択して、アカウントのリソースにアクセスするために使用できるロールを表示します。
各アクセス許可セットには、**ロール方式**と**アクセスキー方式**の 2 つの管理方式があります。
+ **ロール方式**、例えば*AdministratorAccess*の場合、 AWS Console Homeを開きます。
+ **アクセスキー** - AWS CLI または SDK および AWS SDK で使用できる認証情報を提供します。自動的に更新される短期認証情報または短期アクセスキーのいずれかを使用するための情報が含まれます。詳細については、「[AWS CLI AWS SDKs の IAM Identity Center ユーザー認証情報の取得](howtogetcredentials.md)」を参照してください。
1. **[ロール]** のリンクを選択して AWS Console Homeにサインインします。
サインインし、 AWS Console Home ページに移動します。コンソールを表示して、期待どおりのアクセス許可があることを確認します。
## 次の手順
IAM アイデンティティセンターで管理ユーザーを作成したため、次のことができるようになりました。
+ [アプリケーションを割り当てる](manage-your-applications.md)
+ [他のユーザーを追加する](addusers.md)
+ [ユーザーをアカウントに割り当てる](assignusers.md)
+ [追加のアクセス許可セットを設定する](howtocreatepermissionset.md)
**注記**
同じユーザーに複数のアクセス許可セットを割り当てることもできます。最小権限の権限を適用するというベストプラクティスに従うには、管理ユーザーを作成した後に、より制限の厳しいアクセス権限セットを作成して同じユーザーに割り当てます。これにより、管理アクセス許可ではなく、必要なアクセス許可のみ AWS アカウント を使用して にアクセスできます。
ユーザーが[招待を受け入れ](howtoactivateaccount.md)てアカウントをアクティブ化し、 AWS アクセスポータルにサインインすると、ポータルに表示される項目は、割り当てられている AWS アカウント、ロール、およびアプリケーションのみです。
## ビデオチュートリアル
追加のリソースとして、以下のビデオチュートリアルを使用して、外部 ID プロバイダーの設定について詳しく知ることができます。
+ [での外部 ID プロバイダー間の移行 AWS IAM アイデンティティセンター](https://www.youtube.com/watch?v=A87tSiBdSnU)
+ [を使用して既存の AWS IAM アイデンティティセンター インスタンスをフェデレーションする Microsoft Entra ID](https://www.youtube.com/watch?v=iSCuTJNeN6c)