この記事では、AWS IAM Identity Center (AWS シングル サインオンの後継) と、自動ユーザー プロビジョニングを構成するためにMicrosoft Entra IDの両方で実行する必要がある手順について説明します。 構成されたMicrosoft Entra IDは、Microsoft Entraプロビジョニングサービスを使用して、ユーザーとグループをAWS IAM Identity Centerに自動的にプロビジョニングおよび解除します。 このサービスの機能、しくみ、よく寄せられる質問の詳細については、「 Microsoft Entra ID を使用した SaaS アプリケーションへの自動ユーザー プロビジョニングとプロビジョニング解除」を参照してください。
サポートされている機能
- AWS IAM Identity Center でユーザーを作成する
- ACCESSが不要になった場合に AWS IAM Identity Center でユーザーを削除する
- Microsoft Entra IDと AWS IAM Identity Center の間でユーザー属性の同期を維持する
- AWS IAM Identity Center でグループとグループ メンバーシップをプロビジョニングする
- AWS IAM Identity Center への AWS Single Sign-On ドキュメント
[前提条件]
この記事で説明するシナリオでは、次の前提条件が既にあることを前提としています。
- アクティブなサブスクリプションを持つ Microsoft Entra ユーザー アカウント。 アカウントをまだお持ちでない場合は、無料でアカウントを作成。
- 次のいずれかのロール:
- チュートリアルの説明に従って、Microsoft Entra アカウントから AWS IAM Identity Center への SAML 接続
手順 1: プロビジョニングデプロイメントを計画する
- プロビジョニング サービスのしくみを確認します。
- プロビジョニングのスコープに誰が含まれるかを決定します。
- Microsoft Entra IDと AWS IAM Identity Center の間でマップするデータを決定します。
手順 2: Microsoft Entra IDを使用したプロビジョニングをサポートするように AWS IAM Identity Center を構成する
AWS IAM Identity Center を開きます。
左側のナビゲーション ペインで、 [Settings](設定) を選択します。
[設定] で、[自動プロビジョニング] セクションで [有効] を選択します。
[受信自動プロビジョニング] ダイアログ ボックスで、SCIM エンドポイントとAccess トークンをコピーして保存します ([トークンの表示] を選択した後に表示されます)。 これらの値は、AWS IAM Identity Center アプリケーションの [プロビジョニング] タブの [ テナント URL ] フィールドと [ シークレット トークン ] フィールドに入力されます。
手順 3: Microsoft Entra アプリケーション ギャラリーから AWS IAM Identity Center を追加する
Microsoft Entra アプリケーション ギャラリーから AWS IAM Identity Center を追加して、AWS IAM Identity Center へのプロビジョニングの管理を開始します。 以前に AWS IAM Identity Center を SSO 用に設定している場合は、同じアプリケーションを使用できます。 ギャラリー からアプリケーションを追加する方法の詳細については、を参照してください。
手順 4: プロビジョニングのスコープに含まれるユーザーを定義する
Microsoft Entra プロビジョニング サービスを使用すると、アプリケーションへの割り当てに基づいて、またはユーザーまたはグループの属性に基づいてプロビジョニングされるユーザーをスコープできます。 割り当てに基づいてアプリにプロビジョニングされるユーザーのスコープを設定する場合は、ステップを使用して、ユーザーとグループをアプリケーションに割り当てることができます。 ユーザーまたはグループの属性のみに基づいてプロビジョニングする対象を決定する場合、スコープフィルターを使用できます。
小規模から始めます。 すべてのユーザーとグループにロールアウトする前に、少数のユーザーとグループでテストします。 プロビジョニングのスコープが割り当てられたユーザーとグループに設定されている場合は、1 つまたは 2 つのユーザーまたはグループをアプリに割り当てることで、これを制御できます。 スコープがすべてのユーザーとグループに設定されている場合は、 属性ベースのスコープ フィルターを指定できます。
追加のロールが必要な場合は、 アプリケーション マニフェストを更新 して新しいロールを追加できます。
手順 5: AWS IAM Identity Center への自動ユーザー プロビジョニングを構成する (AWS シングル サインオンの後継)
このセクションでは、Microsoft Entra IDのユーザーおよびグループの割り当てに基づいて、AWS IAM アイデンティティ センター (旧 AWS シングル サインオン) においてユーザーおよびグループを作成、更新、無効化するようにMicrosoft Entra プロビジョニング サービスを構成する手順を案内します。
Microsoft Entra IDで AWS IAM Identity Center の自動ユーザー プロビジョニング (AWS シングル サインオンの後継) を構成するには:
Microsoft Entra 管理センターに少なくともアプリ所有者または Cloud アプリケーション管理者としてサインインします。
Entra ID>企業向けアプリケーションを参照する
![[エンタープライズ アプリケーション] ブレードのスクリーンショット。](common/enterprise-applications.png)
アプリケーションの一覧で、 AWS IAM Identity Center (AWS シングル サインオンの後継) を選択します。
[プロビジョニング] タブを選択します。
![[プロビジョニング] タブのスクリーンショット。](common/provisioning.png)
[ + 新しい構成] を選択します。
![[プロビジョニング] タブの [自動] のスクリーンショット。](common/application-provisioning.png)
[ テナント URL ] フィールドに、AWS IAM Identity Center (AWS シングル サインオンの後継) テナント URL とシークレット トークンを入力します。 Test Connection を選択してMicrosoft Entra IDが AWS IAM Identity Center に接続できることを確認します (AWS シングル サインオンの後継)。 接続に失敗した場合は、AWS IAM Identity Center (AWS シングル サインオンの後継) アカウントに必要な管理者アクセス許可があることを確認してから、やり直してください。
[ 作成] を選択して構成を作成します。
[概要] ページで [プロパティ] を選択します。
鉛筆を選択してプロパティを編集します。 通知メールを有効にし、検疫メールを受信する電子メールを提供します。 誤削除防止を有効にします。 適用を選択して、変更を保存します。
左側のパネルで [属性マッピング ] を選択し、ユーザーを選択 します。
Attribute-Mapping セクションで、Microsoft Entra IDから AWS IAM Identity Center (AWS シングル サインオンの後継) に同期されるユーザー属性を確認します。 [照合プロパティ] として選択された属性は、AWS IAM Identity Center (AWS シングル サインオンの後継) で更新操作のユーザー アカウントを照合するために使用されます。 一致するターゲット属性を変更する場合は、AWS IAM Identity Center (AWS シングル サインオンの後継) API で、その属性に基づくユーザーのフィルター処理がサポートされていることを確認する必要があります。 [保存] ボタンをクリックして変更をコミットします。
特性 タイプ フィルター処理のサポート ユーザー名 糸 ✓ 活動中 ブール値 ディスプレイ名 糸 タイトル 糸 emails[type eq "仕事"].value 糸 優先言語 糸 名前.名 糸 名前.姓 糸 名前.整形済み 糸 addresses[type eq "work"].フォーマット済み 糸 アドレス[タイプ eq "作業"].ストリートアドレス 糸 アドレス[タイプ eq "職場"].ローカリティ 糸 アドレス[タイプが"仕事"に等しい].地域 糸 addresses[タイプ eq "work"].郵便番号 糸 アドレス[タイプ Eq "仕事"].国 糸 phoneNumbers[タイプが "職場" の場合].値 糸 エクスターナルID 糸 ロケール 糸 タイムゾーン 糸 urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:従業員番号 (employeeNumber) 糸 urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:部門 糸 urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:division 糸 urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:コストセンター 糸 urn:ietf:params:scim:schemas:extension:enterprise:2.0:ユーザー:組織 糸 urn:ietf:params:scim:schemas:extension:enterprise:2.0:ユーザー:マネージャー リファレンス グループを選択 します。
Attribute-Mapping セクションで、Microsoft Entra IDから AWS IAM Identity Center (AWS シングル サインオンの後継) に同期されるグループ属性を確認します。 [照合プロパティ] として選択された属性は、AWS IAM Identity Center のグループとの照合 (AWS シングル サインオンの後継) で更新操作に使用されます。 [保存] ボタンをクリックして変更をコミットします。
特性 タイプ フィルター処理のサポート ディスプレイ名 糸 ✓ エクスターナルID 糸 メンバーズ リファレンス スコープ フィルターを構成するには、スコープ フィルターに関する記事に記載されている手順 を参照してください。
オンデマンド プロビジョニングを使用して、少数のユーザーとの同期を検証してから、組織内でより広範にデプロイします。
プロビジョニングの準備ができたら、[概要] ページから [プロビジョニングの開始] を選択します。
手順 6: デプロイを監視する
プロビジョニングを構成したら、次のリソースを使用してデプロイを監視します。
- プロビジョニング ログを使用して、どのユーザーが正常にプロビジョニングされたか、または正常にプロビジョニングされなかったかを判断する
- 進行状況バーを確認して、プロビジョニング サイクルの状態と完了までの近さを確認します
- プロビジョニング構成が異常な状態にあると思われる場合、アプリケーションは検疫に入ります。 検疫状態についての詳細は、アプリケーションプロビジョニングの隔離状態に関する記事をご覧ください。
ジャストインタイム (JIT) アプリケーションのアクセスにおけるグループ用の PIM
PIM for Groups を使用すると、Amazon Web Services のグループに Just-In-Time accessを提供し、AWS の特権グループに永続的なaccessを持つユーザーの数を減らすことができます。
SSO とプロビジョニング用にエンタープライズ アプリケーションを構成する
- AWS IAM Identity Center をテナントに追加し、上記の記事で説明したようにプロビジョニング用に構成し、プロビジョニングを開始します。
- AWS IAM Identity Center のシングル サインオンを構成します。
- すべてのユーザーがアプリケーションにアクセスできるようにする グループ を作成します。
- AWS IAM Identity Center アプリケーションにグループを割り当てます。
- 前の手順で作成したグループの直接メンバーとしてテスト ユーザーを割り当てるか、access パッケージを使用してグループにaccessを提供します。 このグループは、AWS の永続的な非管理者accessに使用できます。
グループの PIM を有効にする
- Microsoft Entra IDで 2 つ目のグループを作成します。 このグループは、AWS の管理者権限へのアクセスを提供します。
- グループを Microsoft Entra PIM の management の下に移動>。
- テストユーザーを「PIM」のグループの「メンバー」として割り当て、資格を付与します。
- AWS IAM Identity Center アプリケーションに 2 番目のグループを割り当てます。
- オンデマンド プロビジョニングを使用して、AWS IAM Identity Center でグループを作成します。
- AWS IAM Identity Center にサインインし、2 番目のグループに管理タスクを実行するために必要なアクセス許可を割り当てます。
PIM でグループの対象となったエンド ユーザーは、グループ メンバーシップをアクティブ化することで、AWS のグループに JIT accessを取得できるようになりました。
重要な考慮事項
- ユーザーがアプリケーションにプロビジョニングされるまでにかかる時間
- Microsoft Entra ID Privileged Identity Management (PIM) を使用してグループ メンバーシップをアクティブ化する以外のMicrosoft Entra IDのグループにユーザーが追加された場合:
- グループ メンバーシップは、次の同期サイクルの間に、アプリケーションでプロビジョニングされます。 同期サイクルは 40 分ごとに実行されます。
- ユーザーが Microsoft Entra ID の PIM でグループメンバーシップをアクティブ化する場合:
- グループ メンバーシップは 2 から 10 分で設定されます。 一度に行われる要求の数が多い場合、10 秒あたり 5 要求に調整されます。
- 特定のアプリケーションのグループ メンバーシップをアクティブにしようとするユーザーのうち、10 秒の期間内の最初の 5 人については、2 から 10 分以内にアプリケーションでグループ メンバーシップがプロビジョニングされます。
- 特定のアプリケーションのグループ メンバーシップをアクティブにしようとするユーザーのうち、10 秒の期間内の 6 人目以降については、次の同期サイクルの間にアプリケーションでグループ メンバーシップがプロビジョニングされます。 同期サイクルは 40 分ごとに実行されます。 エンタープライズ アプリケーションごとに調整の制限が適用されます。
- Microsoft Entra ID Privileged Identity Management (PIM) を使用してグループ メンバーシップをアクティブ化する以外のMicrosoft Entra IDのグループにユーザーが追加された場合:
- ユーザーが AWS で必要なグループをaccessできない場合は、以下のトラブルシューティングのヒント、PIM ログ、プロビジョニング ログを確認して、グループ メンバーシップが正常に更新されたことを確認してください。 ターゲット アプリケーションの設計方法によっては、グループ メンバーシップがアプリケーションで有効になるのにさらに時間がかかる場合があります。
- Azure Monitor を使用して、エラーのアラートを作成できます。
- 非アクティブ化は、通常の増分サイクル中に行われます。 オンデマンド プロビジョニングによってすぐには処理されません。
トラブルシューティングのヒント
不足している属性
ユーザーを AWS にプロビジョニングするときは、次の属性が必要です。
- ファーストネーム
- 苗字
- ディスプレイ名
- ユーザー名
これらの属性を持たないユーザーは、次のエラーで失敗します
複数値属性
AWS では、次の複数値の属性はサポートされていません。
- メール
- 電話番号
上記を複数値属性としてフローしようとすると、次のエラー メッセージが表示されます
これを解決するには、次の 2 つの方法があります。
- ユーザーが持つ電話番号/電子メールの値が 1 つのみであることを確認します。
- 重複する属性を削除します。 たとえば、2つの異なる属性がAWS側の"phoneNumber___"にマップされ、両方の属性にMicrosoft Entra IDで値がある場合、エラーが発生します。 "phoneNumber___" 属性にマップされている属性を 1 つのみにすると、エラーが解決されます。
無効な文字
現在、AWS IAM Identity Center は、Microsoft Entra ID がサポートする特定の文字、例えばタブ (\t)、改行 (\n)、リターンキャリッジ (\r)、および "<|>|;|:%" などの文字を許可していません。
AWS IAM Identity Center のトラブルシューティングのヒントこちらも確認できます。