IAM Identity Center におけるユーザー、グループ、およびプロビジョニング
IAM Identity Center でユーザーとグループを管理し、アプリケーションと AWS アカウントへのアクセスを一元化できます。外部 ID プロバイダーから取得する場合、および IAM Identity Center 内で直接作成する場合の両方について、ユーザーとグループのプロビジョニング方法について説明します。
ユーザー名と E メールアドレスの一意性
IAM アイデンティティセンターのユーザーは一意に識別できる必要があります。IAM Identity Center では、ユーザーの主要な識別子となるユーザー名を実装しています。多くの人は、ユーザー名をユーザーの E メールアドレスと同じにしますが、IAM Identity Center と SAML 2.0 標準ではこれは必要ありません。ただ、SAML 2.0 ベースのアプリケーションの多くは、ユーザーの一意の識別子として E メールアドレスを使用しています。これらのアプリケーションは、SAML 2.0 ID プロバイダーが認証中に送信するアサーションからこの情報を取得します。このようなアプリケーションは、各ユーザーの E メールアドレスの一意性に依存します。この理由により、IAM アイデンティティセンターでは、ユーザーのサインインに E メールアドレス以外のものを指定することができます。IAM Identity Center では、ユーザーのすべてのユーザー名と E メールアドレスが、NULL ではない一意なものである必要があります。
グループ
グループは、定義するユーザーの論理的な組み合わせです。グループを作成し、グループにユーザーを追加できます。IAM Identity Center は、ネストされたグループ構成 (一つのグループを別のグループに追加すること) をサポートしていません。グループは、AWS アカウント やアプリケーションへのアクセスを割り当てる際に便利です。各ユーザーを個別に割り当てるのではなく、グループに権限を与えます。その後、グループにユーザーを追加したり削除したりすると、そのユーザーはグループに割り当てられたアカウントやアプリケーションへのアクセス権を動的に得たり、失ったりします。
ユーザーおよびグループのプロビジョニング
プロビジョニングは、ユーザーおよびグループの情報を IAM アイデンティティセンターおよび AWS マネージドアプリケーションまたはカスタマーマネージドアプリケーションで使用できるようにするプロセスです。IAM アイデンティティセンターでは、ユーザーやグループを直接作成することも、Active Directory や外部の ID プロバイダーに登録されているユーザーやグループを利用することもできます。IAM アイデンティティセンターを使用して AWS アカウント 内のユーザーとグループのアクセス許可を割り当てる前に、IAM アイデンティティセンターはまずユーザーとグループを認識する必要があります。同様に、AWS マネージドアプリケーションとカスタマーマネージドアプリケーションは、IAM アイデンティティセンターが認識しているユーザーやグループと連携することができます。
IAM Identity Center のプロビジョニングは、使用する ID ソースに応じて異なります。詳細については、「ID ソースを管理する」を参照してください。