AWS IAM Identity Center を ID プロバイダーとして構成する (プレビュー)

注

2025 年 4 月 1 日より、Microsoft Entra Permissions Management は購入できなくなります。2025 年 10 月 1 日に、この製品のサポートを廃止し、中止します。 詳細については、 こちらをご覧ください。

AWS IAM Identity Center を使用するアマゾン ウェブ サービス (AWS) のお客様は、アクセス許可管理で ID プロバイダーとして Identity Center を構成できます。 AWS IAM Identity Center の情報を構成すると、Permissions Management で ID のより正確なデータを受け取ることができます。

注

AWS IAM Identity Center を ID プロバイダーとして構成することは、オプションの手順です。 アクセス許可管理では、ID プロバイダー情報を構成することで、AWS IAM Identity Center で構成されたユーザーとロールのアクセスを読み取ることができます。 管理者は、ID に割り当てられたアクセス許可の拡張ビューを表示できます。 これらの手順に戻って、いつでも IdP を構成できます。

AWS IAM Identity Center を ID プロバイダーとして構成する方法

1. アクセス許可管理の起動時に データ コレクター ダッシュボードが表示されない場合は、[ 設定] (歯車アイコン) を選択し、[ データ コレクター ] サブタブを選択します。

2. [データ コレクター] ダッシュボードで、[AWS] を選択し、[構成の作成] を選択します。 データコレクターが既に AWS アカウントに存在し、AWS IAM 統合を追加する場合は、次のようにします。

   • AWS IAM を構成するデータコレクターを選択します。
   • 承認システムステータスの横にある省略記号をクリックします。
   • [ ID プロバイダーの統合] を選択します。

3. [ 統合 ID プロバイダー (IdP)] ページで、 AWS IAM Identity Center のボックスを選択します。

4. 以下の項目に入力してください。

   • AWS IAM Identity Center リージョン。 AWS IAM Identity Center がインストールされているリージョンを指定します。 IAM Identity Center で構成されたすべてのデータ
     は IAM Identity Center がインストールされているリージョンに格納されます。
   • あなたの AWS 管理アカウント ID
   • あなたのAWS 管理アカウントロール

5. [ 管理アカウント テンプレートの起動] を選択します。 テンプレートが新しいウィンドウで開きます。

6. 前のオンボード手順の一部として CloudFormation テンプレートを使用して管理アカウント スタックが作成された場合は、 EnableSSO を true として実行してスタックを更新します。 このコマンドを実行すると、管理アカウント テンプレートの実行時に新しいスタックが作成されます。

テンプレートの実行により、AWS マネージド ポリシー AWSSSOReadOnly と、新しく作成されたカスタム ポリシー SSOPolicy が AWS IAM ロールにアタッチされます。これにより、Microsoft Entra Permissions Management が組織の情報を収集できるようになります。 テンプレートでは、次の詳細が要求されます。 すべてのフィールドが事前に設定されており、必要に応じてデータを編集できます。

• スタック名 – スタック名は、組織の情報を収集するために Permissions Management に必要な AWS リソースを作成するための AWS スタックの名前です。 既定値は mciem-org-<tenant-id> です。

• CFT パラメーター

  • OIDC プロバイダーロール名 – ロールを引き受けることができる IAM ロール OIDC プロバイダーの名前。 既定値は OIDC アカウント ロールです ([アクセス許可の管理] に入力)。

  • 組織アカウントロール名 - IAM ロールの名前。 既定値には、管理アカウントのロール名が事前設定されています (Microsoft Entra PM に入力)。

  • true – AWS SSO を有効にします。 既定値は、[ID プロバイダーの構成 (IdP)] ページからテンプレートを起動したときに true されます。それ以外の場合、既定値は falseです。

  • OIDC プロバイダー アカウント ID – OIDC プロバイダーが作成されるアカウント ID。 既定値は OIDC プロバイダー アカウント ID です ([アクセス許可の管理] に入力)。

  • テナント ID – アプリケーションが作成されるテナントの ID。 既定値は tenant-id (構成済みのテナント) です。

7. [ 次へ ] をクリックして、入力した情報を確認して確認します。

8. [ 今すぐ確認] & [保存] をクリックします。

次のステップ

• AWS ID のアクセス許可をアタッチおよびデタッチする方法については、「AWS ID の ポリシーをアタッチおよびデタッチする」を参照してください。