この記事では、AWS IAM Identity Center (AWS シングル サインオンの後継) と Microsoft Entra ID の両方で実行して、自動ユーザー プロビジョニングを構成するために必要な手順について説明します。 構成すると、Microsoft Entra ID で、Microsoft Entra プロビジョニング サービスを使用して、AWS IAM Identity Center に対するユーザーとグループのプロビジョニングおよびプロビジョニング解除が自動的に行われます。 このサービスの機能、しくみ、よく寄せられる質問の重要な詳細については、「Microsoft Entra IDを使用して SaaS アプリケーションへのユーザー プロビジョニングとプロビジョニング解除を自動化する」を参照してください。
サポートされている機能
- AWS IAM Identity Center でユーザーを作成する
- アクセスが不要になったら AWS IAM Identity Center のユーザーを削除する
- Microsoft Entra ID と AWS IAM Identity Center の間でユーザー属性の同期を維持する
- AWS IAM Identity Center でグループとグループ メンバーシップをプロビジョニングする
- IAM Identity Center から AWS IAM Identity Center へ
[前提条件]
この記事で説明するシナリオでは、次の前提条件が既にあることを前提としています。
- アクティブなサブスクリプションを持つ Microsoft Entra ユーザー アカウント。 まだアカウントがない場合は、無料でアカウントを作成することができます。
- 次のいずれかのロール:
- Microsoft Entra アカウントから AWS IAM Identity Center への SAML 接続 (チュートリアルの説明のとおり)
手順 1: プロビジョニングデプロイメントを計画する
- プロビジョニング サービスのしくみを確認します。
- プロビジョニングのスコープに誰が含まれるかを決定します。
- Microsoft Entra ID と AWS IAM Identity Center の間でマップするデータを決定します。
手順 2: Microsoft Entra ID を使用したプロビジョニングをサポートするように AWS IAM Identity Center を構成する
AWS IAM Identity Center を開きます。
左側のナビゲーション ペインで、 [Settings](設定) を選択します。
[設定] で、[自動プロビジョニング] セクションで [有効] を選択します。
[受信自動プロビジョニング] ダイアログ ボックスで、 SCIM エンドポイント と アクセス トークン をコピーして保存します ([トークンの表示] を選択した後に表示されます)。 これらの値は、AWS IAM Identity Center アプリケーションの [プロビジョニング] タブの [ テナント URL ] フィールドと [ シークレット トークン ] フィールドに入力されます。
手順 3: Microsoft Entra アプリケーション ギャラリーから AWS IAM Identity Center を追加する
Microsoft Entra アプリケーション ギャラリーから AWS IAM Identity Center を追加して、AWS IAM Identity Center へのプロビジョニングの管理を開始します。 以前に AWS IAM Identity Center を SSO 用に設定している場合は、同じアプリケーションを使用できます。 ギャラリー からアプリケーションを追加する方法の詳細については、を参照してください。
手順 4: プロビジョニングのスコープに含まれるユーザーを定義する
Microsoft Entra プロビジョニング サービスを使用すると、アプリケーションへの割り当てに基づいて、またはユーザーまたはグループの属性に基づいてプロビジョニングされるユーザーをスコープできます。 割り当てに基づいてアプリにプロビジョニングされるユーザーのスコープを設定する場合は、 手順を使用してユーザーとグループをアプリケーションに割り当てることができます。 ユーザーまたはグループの属性のみに基づいてプロビジョニングする対象を決定する場合、スコープフィルターを使用できます。
小規模から始めます。 すべてのユーザーとグループにロールアウトする前に、少数のユーザーとグループでテストします。 プロビジョニングのスコープが割り当てられたユーザーとグループに設定されている場合は、1 つまたは 2 つのユーザーまたはグループをアプリに割り当てることで、これを制御できます。 スコープがすべてのユーザーとグループに設定されている場合は、 属性ベースのスコープ フィルターを指定できます。
追加のロールが必要な場合は、 アプリケーション マニフェストを更新 して新しいロールを追加できます。
手順 5: AWS IAM Identity Center への自動ユーザー プロビジョニングを構成する
このセクションでは、Microsoft Entra ID のユーザーやグループの割り当てに基づいて TestApp でユーザーやグループを作成、更新、無効化するように Microsoft Entra プロビジョニング サービスを構成する手順について説明します。
Microsoft Entra ID で AWS IAM Identity Center 用に自動ユーザー プロビジョニングを構成するには:
クラウド アプリケーション管理者以上として Microsoft Entra 管理センターにサインインします。
Entra ID>企業向けアプリケーションを参照する
アプリケーションの一覧で、[AWS IAM Identity Center] を選択します。
[プロビジョニング] タブを選択します。
[プロビジョニング モード] を [自動] に設定します。
[管理者資格情報] セクションで、手順 2 で先ほど取得した AWS IAM Identity Center のテナント URL とシークレット トークンを入力します。 [ テスト接続] を選択して、Microsoft Entra ID が AWS IAM Identity Center に接続できることを確認します。
[ 通知メール ] フィールドに、プロビジョニング エラー通知を受け取るユーザーまたはグループのメール アドレスを入力し、[ エラーが発生したときに電子メール通知を送信 する] チェック ボックスをオンにします。
保存 を選択します。
[マッピング] セクションで、[Synchronize Microsoft Entra users to AWS IAM Identity Center](Microsoft Entra ユーザーを AWS IAM Identity Center に同期する) を選択します。
[属性マッピング] セクションで、Microsoft Entra ID から AWS IAM Identity Center に同期されるユーザー属性を確認します。 [照合] プロパティとして選択されている属性は、更新操作のために AWS IAM Identity Center でユーザー アカウントを照合するために使用されます。 一致するターゲット属性を変更する場合は、AWS IAM Identity Center API で、その属性に基づくユーザーのフィルター処理がサポートされていることを確認する必要があります。 [保存] ボタンをクリックして変更をコミットします。
特性 タイプ フィルター処理のサポート ユーザー名 糸 ✓ 活動中 ボーリアン ディスプレイ名 糸 タイトル 糸 emails[type eq "仕事"].value 糸 優先言語 糸 名前.名 糸 名前.姓 糸 名前.整形済み 糸 addresses[type eq "work"].フォーマット済み 糸 アドレス[タイプ eq "作業"].ストリートアドレス 糸 アドレス[タイプ eq "職場"].ローカリティ 糸 アドレス[タイプが"仕事"に等しい].地域 糸 addresses[タイプ eq "work"].郵便番号 糸 アドレス[タイプ Eq "仕事"].国 糸 phoneNumbers[タイプが "職場" の場合].値 糸 エクスターナルID 糸 ロケール 糸 タイムゾーン 糸 urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:従業員番号 (employeeNumber) 糸 urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:部門 糸 urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:division 糸 urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:コストセンター 糸 urn:ietf:params:scim:schemas:extension:enterprise:2.0:ユーザー:組織 糸 urn:ietf:params:scim:schemas:extension:enterprise:2.0:ユーザー:マネージャー リファレンス [マッピング] セクションで、[Synchronize Microsoft Entra groups to AWS IAM Identity Center](Microsoft Entra グループを AWS IAM Identity Center に同期する) を選択します。
[属性マッピング] セクションで、Microsoft Entra ID から AWS IAM Identity Center に同期されるグループ属性を確認します。 [照合] プロパティとして選択されている属性は、更新処理で AWS IAM Identity Center でのグループの照合に使用されます。 [保存] ボタンをクリックして変更をコミットします。
特性 タイプ フィルター処理のサポート ディスプレイ名 糸 ✓ エクスターナルID 糸 メンバーズ リファレンス スコープ フィルターを構成するには、スコープ フィルターに関する記事に記載されている次の手順 を参照してください。
AWS IAM Identity Center に対して Microsoft Entra プロビジョニング サービスを有効にするには、[設定] セクションで [プロビジョニング状態] を [オン] に変更します。
[設定] セクションの [スコープ] で目的の値を選択することによって、AWS IAM Identity Center にプロビジョニングするユーザーやグループを定義します。
プロビジョニングの準備ができたら、 [保存] を選択します。
この操作により、[設定] セクションの [スコープ] で定義されているすべてのユーザーとグループの初期同期サイクルが開始されます。 最初のサイクルは、Microsoft Entra プロビジョニング サービスが実行されている限り、約 40 分ごとに発生する後続のサイクルよりも実行に時間がかかります。
手順 6: デプロイを監視する
プロビジョニングを構成したら、次のリソースを使用してデプロイを監視します。
- プロビジョニング ログを使用して、どのユーザーが正常にプロビジョニングされたか、または正常にプロビジョニングされなかったかを判断する
- 進行状況バーを確認して、プロビジョニング サイクルの状態と完了までの近さを確認します
- プロビジョニング構成が異常な状態にあると思われる場合、アプリケーションは検疫に入ります。 検疫状態についての詳細は、アプリケーションプロビジョニングの隔離状態に関する記事をご覧ください。
グループ用ジャストインタイム (JIT) アプリケーションアクセスを PIM を使用して実現する
グループの PIM を使用すると、Amazon Web Services のグループへの Just-In-Time アクセス権を提供し、AWS の特権グループに永続的にアクセスできるユーザーの数を減らすことができます。
SSO とプロビジョニング用にエンタープライズ アプリケーションを構成する
- AWS IAM Identity Center をテナントに追加し、上記の記事で説明したようにプロビジョニング用に構成し、プロビジョニングを開始します。
- AWS IAM Identity Center のシングル サインオンを構成します。
- すべてのユーザーがアプリケーションにアクセスできるようにするグループを作成します。
- AWS Identity Center アプリケーションにグループを割り当てます。
- 前の手順で作成したグループの直接メンバーとしてテスト ユーザーを割り当てるか、アクセス パッケージを使用してグループへのアクセスを提供します。 このグループは、AWS の永続的な管理者以外のアクセスに使用できます。
グループの PIM を有効にする
- Microsoft Entra ID で 2 つ目のグループを作成します。 このグループは、AWS の管理者アクセス許可へのアクセスを提供します。
- グループを Microsoft Entra PIM の管理下に置きます。
- ロールがメンバーに設定されている PIM のグループの対象としてテスト ユーザーを割り当てます。
- AWS IAM Identity Center アプリケーションに 2 番目のグループを割り当てます。
- オンデマンド プロビジョニングを使用して、AWS IAM Identity Center でグループを作成します。
- AWS IAM Identity Center にサインインし、2 番目のグループに管理タスクを実行するために必要なアクセス許可を割り当てます。
PIM のグループの対象となったエンド ユーザーは、グループ メンバーシップをアクティブ化することで、AWS のグループへの JIT アクセスを取得できるようになりました。
重要な考慮事項
- ユーザーがアプリケーションにプロビジョニングされるまでにどのくらいの時間がかかりますか?
- Microsoft Entra ID Privileged Identity Management (PIM) を使用してグループ メンバーシップをアクティブ化する以外に、ユーザーが Microsoft Entra ID のグループに追加された場合:
- グループ メンバーシップは、次の同期サイクルの間に、アプリケーションでプロビジョニングされます。 同期サイクルは 40 分ごとに実行されます。
- ユーザーが Microsoft Entra ID PIM でグループ メンバーシップをアクティブ化する場合:
- グループ メンバーシップは 2 から 10 分でプロビジョニングされます。 一度に行われる要求の数が多い場合、10 秒あたり 5 要求に調整されます。
- 特定のアプリケーションのグループ メンバーシップをアクティブにしようとするユーザーのうち、10 秒の期間内の最初の 5 人については、2 から 10 分以内にアプリケーションでグループ メンバーシップがプロビジョニングされます。
- 特定のアプリケーションのグループ メンバーシップをアクティブにしようとするユーザーのうち、10 秒の期間内の 6 人目以降については、次の同期サイクルの間にアプリケーションでグループ メンバーシップがプロビジョニングされます。 同期サイクルは 40 分ごとに実行されます。 調整の制限は、エンタープライズ アプリケーションごとに行われます。
- Microsoft Entra ID Privileged Identity Management (PIM) を使用してグループ メンバーシップをアクティブ化する以外に、ユーザーが Microsoft Entra ID のグループに追加された場合:
- ユーザーが AWS で必要なグループにアクセスできない場合は、以下のトラブルシューティングのヒント、PIM ログ、プロビジョニング ログを確認して、グループ メンバーシップが正常に更新されたことを確認してください。 ターゲット アプリケーションの設計方法によっては、グループ メンバーシップがアプリケーションで有効になるのにさらに時間がかかる場合があります。
- Azure Monitor を使用して、エラーのアラートを作成できます。
- 非アクティブ化は、通常の増分サイクル中に行われます。 オンデマンド プロビジョニングによってすぐには処理されません。
トラブルシューティングのヒント
不足している属性
ユーザーを AWS にプロビジョニングするときは、次の属性が必要です。
- ファーストネーム
- 苗字
- ディスプレイ名
- ユーザー名
これらの属性を持たないユーザーは、次のエラーで失敗します
複数値属性
AWS では、次の複数値の属性はサポートされていません。
- Eメール
- 電話番号
上記を複数値属性としてフローしようとすると、次のエラー メッセージが表示されます
これを解決するには、次の 2 つの方法があります。
- ユーザーが持つ電話番号/電子メールの値が 1 つのみであることを確認します。
- 重複する属性を削除します。 たとえば、2 つの異なる属性が Microsoft Entra ID から AWS 側の "phoneNumber___" にマップされていると、両方の属性に Microsoft Entra ID の値がある場合、エラーが発生します。 "phoneNumber___" 属性にマップされている属性を 1 つのみにすると、エラーが解決されます。
無効な文字
現在、AWS IAM Identity Center では、タブ (\t)、改行 (\n)、リターン キャリッジ (\r)、" <|>|;|:%" などの文字など、Microsoft Entra ID でサポートされている他の文字は許可されていません。
こちらで、AWS IAM Identity Center のトラブルシューティングのヒントをさらに確認できます