チュートリアル: 自動ユーザー プロビジョニング用に AWS IAM Identity Center を構成する
このチュートリアルでは、自動ユーザー プロビジョニングを構成するために AWS IAM Identity Center (AWS Single Sign-On の後継) と Microsoft Entra ID の両方で行う必要がある手順について説明します。 構成すると、Microsoft Entra ID で、Microsoft Entra プロビジョニング サービスを使用して、AWS IAM Identity Center に対するユーザーとグループのプロビジョニングおよびプロビジョニング解除が自動的に行われます。 このサービスが実行する内容、しくみ、よく寄せられる質問の重要な詳細については、「Microsoft Entra ID による SaaS アプリへのユーザー プロビジョニングとプロビジョニング解除の自動化」を参照してください。
サポートされる機能
- AWS IAM Identity Center でユーザーを作成する
- アクセスが不要になったら AWS IAM Identity Center のユーザーを削除する
- Microsoft Entra ID と AWS IAM Identity Center の間でユーザー属性の同期を維持する
- AWS IAM Identity Center でグループとグループ メンバーシップをプロビジョニングする
- IAM Identity Center から AWS IAM Identity Center へ
前提条件
このチュートリアルで説明するシナリオでは、次の前提条件目があることを前提としています。
- Microsoft Entra テナント
- アプリケーション管理者ロール、クラウド アプリケーション管理者ロール、またはアプリケーション所有者ロールのいずれか。
- Microsoft Entra アカウントから AWS IAM Identity Center への SAML 接続 (チュートリアルの説明のとおり)
手順 1:プロビジョニングのデプロイを計画する
- プロビジョニング サービスのしくみを確認します。
- プロビジョニングの対象ユーザーを決めます。
- Microsoft Entra ID と AWS IAM Identity Center の間でマップするデータを決定します。
手順 2: Microsoft Entra ID を使用したプロビジョニングをサポートするように AWS IAM Identity Center を構成する
AWS IAM Identity Center を開きます。
左側のナビゲーション ペインで、 [Settings](設定) を選択します。
[設定] で、[自動プロビジョニング] セクションの [有効にする] をクリックします。
[受信自動プロビジョニング] ダイアログ ボックスで、SCIM エンドポイントとアクセス トークン ([トークンの表示] をクリックすると表示されます) をコピーして保存します。 これらの値を、AWS IAM Identity Center アプリケーションの [プロビジョニング] タブにある [テナント URL] および [シークレット トークン] フィールドに入力します。
手順 3: Microsoft Entra アプリケーション ギャラリーから AWS IAM Identity Center を追加する
Microsoft Entra アプリケーション ギャラリーから AWS IAM Identity Center を追加して、AWS IAM Identity Center へのプロビジョニングの管理を開始します。 以前に AWS IAM Identity Center を SSO 用に設定している場合は、同じアプリケーションを使用できます。 ギャラリーからアプリケーションを追加する方法の詳細については、こちらを参照してください。
手順 4: プロビジョニングの対象となるユーザーを定義する
Microsoft Entra プロビジョニング サービスを使用すると、アプリケーションへの割り当てやユーザー/グループの属性に基づいてプロビジョニングされるユーザーのスコープを設定できます。 割り当てに基づいてアプリにプロビジョニングされるユーザーのスコープを設定する場合、以下の手順を使用して、ユーザーとグループをアプリケーションに割り当てることができます。 ユーザーまたはグループの属性のみに基づいてプロビジョニングされるユーザーのスコープを設定する場合、こちらで説明されているスコープ フィルターを使用できます。
小さいところから始めましょう。 全員にロールアウトする前に、少数のユーザーとグループでテストします。 プロビジョニングのスコープが割り当て済みユーザーとグループに設定される場合、これを制御するには、1 つまたは 2 つのユーザーまたはグループをアプリに割り当てます。 スコープがすべてのユーザーとグループに設定されている場合は、属性ベースのスコープ フィルターを指定できます。
追加のロールが必要な場合は、アプリケーション マニフェストを更新して新しいロールを追加できます。
手順 5: AWS IAM Identity Center への自動ユーザー プロビジョニングを構成する
このセクションでは、Microsoft Entra ID でのユーザー割り当てやグループ割り当てに基づいて、TestApp でユーザーが作成、更新、無効化されるように Microsoft Entra プロビジョニング サービスを構成する手順について説明します。
Microsoft Entra ID で AWS IAM Identity Center 用に自動ユーザー プロビジョニングを構成するには:
クラウド アプリケーション管理者以上として Microsoft Entra 管理センターにサインインします。
[ID]>[アプリケーション]>[エンタープライズ アプリケーション] の順に移動します
![[エンタープライズ アプリケーション] ブレード](common/enterprise-applications.png)
アプリケーションの一覧で、[AWS IAM Identity Center] を選択します。
![アプリケーション一覧での [AWS IAM Identity Center] のリンクのスクリーンショット。](common/all-applications.png)
[プロビジョニング] タブを選択します。
![[プロビジョニング] タブ](common/provisioning.png)
[プロビジョニング モード] を [自動] に設定します。
![[プロビジョニング] タブの [自動]](common/provisioning-automatic.png)
[管理者資格情報] セクションで、手順 2 で先ほど取得した AWS IAM Identity Center のテナント URL とシークレット トークンを入力します。 [接続テスト] をクリックして、Microsoft Entra ID で AWS IAM Identity Center に接続できることを確認します。
[通知用メール] フィールドに、プロビジョニングのエラー通知を受け取るユーザーまたはグループの電子メール アドレスを入力して、 [エラーが発生したときにメール通知を送信します] チェック ボックスをオンにします。
[保存] を選択します。
[マッピング] セクションで、[Synchronize Microsoft Entra users to AWS IAM Identity Center](Microsoft Entra ユーザーを AWS IAM Identity Center に同期する) を選択します。
[属性マッピング] セクションで、Microsoft Entra ID から AWS IAM Identity Center に同期されるユーザー属性を確認します。 [照合] プロパティとして選択されている属性は、更新操作のために AWS IAM Identity Center でユーザー アカウントを照合するために使用されます。 照合するターゲット属性を変更することを選択する場合は、その属性に基づいたユーザーのフィルター処理が AWS IAM Identity Center API で確実にサポートされるようにする必要があります。 [保存] ボタンをクリックして変更をコミットします。
属性 Type フィルター処理のサポート userName String ✓ active Boolean displayName String title String emails[type eq "work"].value String preferredLanguage String name.givenName String name.familyName String name.formatted String addresses[type eq "work"].formatted String addresses[type eq "work"].streetAddress String addresses[type eq "work"].locality String addresses[type eq "work"].region String addresses[type eq "work"].postalCode String addresses[type eq "work"].country String phoneNumbers[type eq "work"].value String externalId String locale String timezone String urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:employeeNumber String urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:department String urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:division String urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:costCenter String urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:organization String urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:manager リファレンス [マッピング] セクションで、[Synchronize Microsoft Entra groups to AWS IAM Identity Center](Microsoft Entra グループを AWS IAM Identity Center に同期する) を選択します。
[属性マッピング] セクションで、Microsoft Entra ID から AWS IAM Identity Center に同期されるグループ属性を確認します。 [照合] プロパティとして選択されている属性は、更新処理で AWS IAM Identity Center でのグループの照合に使用されます。 [保存] ボタンをクリックして変更をコミットします。
属性 Type フィルター処理のサポート displayName String ✓ externalId String members リファレンス スコープ フィルターを構成するには、スコープ フィルターのチュートリアルの次の手順を参照してください。
AWS IAM Identity Center に対して Microsoft Entra プロビジョニング サービスを有効にするには、[設定] セクションで [プロビジョニング状態] を [オン] に変更します。
![プロビジョニングの状態を [オン] に切り替える](common/provisioning-toggle-on.png)
[設定] セクションの [スコープ] で目的の値を選択することによって、AWS IAM Identity Center にプロビジョニングするユーザーやグループを定義します。
プロビジョニングの準備ができたら、 [保存] をクリックします。
この操作により、 [設定] セクションの [スコープ] で定義したすべてのユーザーとグループの初期同期サイクルが開始されます。 初期サイクルは後続の同期よりも実行に時間がかかります。後続のサイクルは、Microsoft Entra のプロビジョニング サービスが実行されている限り約 40 分ごとに実行されます。
手順 6:デプロイを監視する
プロビジョニングを構成したら、次のリソースを使用してデプロイを監視します。
- プロビジョニング ログを使用して、正常にプロビジョニングされたユーザーと失敗したユーザーを特定します
- 進行状況バーを確認して、プロビジョニング サイクルの状態と完了までの時間を確認します。
- プロビジョニング構成が異常な状態になったと考えられる場合、アプリケーションは検疫されます。 検疫状態の詳細については、こちらを参照してください。
グループの PIM を使用した Just-In-Time (JIT) アプリケーション アクセス
グループの PIM を使用すると、Amazon Web Services のグループへの Just-In-Time アクセス権を提供し、AWS の特権グループに永続的にアクセスできるユーザーの数を減らすことができます。
SSO とプロビジョニング用にエンタープライズ アプリケーションを構成する
- AWS IAM Identity Center をテナントに追加し、上記のチュートリアルで説明したようにプロビジョニング用に構成し、プロビジョニングを開始します。
- AWS IAM Identity Center のシングル サインオンを構成します。
- すべてのユーザーがアプリケーションにアクセスできるようにするグループを作成します。
- AWS Identity Center アプリケーションにグループを割り当てます。
- 前の手順で作成したグループの直接メンバーとしてテスト ユーザーを割り当てるか、アクセス パッケージを使用してグループへのアクセスを提供します。 このグループは、AWS の永続的な管理者以外のアクセスに使用できます。
グループの PIM を有効にする
- Microsoft Entra ID で 2 つ目のグループを作成します。 このグループは、AWS の管理者アクセス許可へのアクセスを提供します。
- グループを Microsoft Entra PIM の管理下に置きます。
- ロールがメンバーに設定されている PIM のグループの対象としてテスト ユーザーを割り当てます。
- AWS IAM Identity Center アプリケーションに 2 番目のグループを割り当てます。
- オンデマンド プロビジョニングを使用して、AWS IAM Identity Center でグループを作成します。
- AWS IAM Identity Center にサインインし、2 番目のグループに管理タスクを実行するために必要なアクセス許可を割り当てます。
PIM のグループの対象となったエンド ユーザーは、グループ メンバーシップをアクティブ化することで、AWS のグループへの JIT アクセスを取得できるようになりました。
重要な考慮事項
- ユーザーがアプリケーションにプロビジョニングされるまでにかかる時間はどれくらいですか?:
- Microsoft Entra ID Privileged Identity Management (PIM) を使用したグループ メンバーシップのアクティブ化の外部で、ユーザーを Microsoft Entra ID のグループに追加するとき:
- グループ メンバーシップは、次の同期サイクルの間に、アプリケーションでプロビジョニングされます。 同期サイクルは 40 分ごとに実行されます。
- ユーザーが Microsoft Entra ID PIM でグループ メンバーシップをアクティブにするとき:
- グループ メンバーシップは 2 から 10 分でプロビジョニングされます。 一度に行われる要求の数が多い場合、10 秒あたり 5 要求に調整されます。
- 特定のアプリケーションのグループ メンバーシップをアクティブにしようとするユーザーのうち、10 秒の期間内の最初の 5 人については、2 から 10 分以内にアプリケーションでグループ メンバーシップがプロビジョニングされます。
- 特定のアプリケーションのグループ メンバーシップをアクティブにしようとするユーザーのうち、10 秒の期間内の 6 人目以降については、次の同期サイクルの間にアプリケーションでグループ メンバーシップがプロビジョニングされます。 同期サイクルは 40 分ごとに実行されます。 調整の制限は、エンタープライズ アプリケーションごとに行われます。
- Microsoft Entra ID Privileged Identity Management (PIM) を使用したグループ メンバーシップのアクティブ化の外部で、ユーザーを Microsoft Entra ID のグループに追加するとき:
- ユーザーが AWS で必要なグループにアクセスできない場合は、以下のトラブルシューティングのヒント、PIM ログ、プロビジョニング ログを確認して、グループ メンバーシップが正常に更新されたことを確認してください。 ターゲット アプリケーションの設計方法によっては、グループ メンバーシップがアプリケーションで有効になるのにさらに時間がかかる場合があります。
- Azure Monitor を使用して失敗に対するアラートを作成できます。
- 非アクティブ化は、通常の増分サイクル中に行われます。 オンデマンド プロビジョニングによってすぐには処理されません。
トラブルシューティングのヒント
不足している属性
ユーザーを AWS にプロビジョニングするときは、次の属性が必要です。
- firstName
- lastName
- displayName
- userName
これらの属性を持たないユーザーは、次のエラーで失敗します
複数値の属性
AWS では、次の複数値の属性はサポートされていません。
- 電話番号
上記を複数値の属性として渡そうとすると、次のエラーメッセージが表示されます。
これを解決するには、次の 2 つの方法があります。
- ユーザーが持つ電話番号/電子メールの値が 1 つのみであることを確認します。
- 重複する属性を削除します。 たとえば、2 つの異なる属性が Microsoft Entra ID から AWS 側の "phoneNumber___" にマップされていると、両方の属性に Microsoft Entra ID の値がある場合、エラーが発生します。 "phoneNumber___" 属性にマップされている属性を 1 つのみにすると、エラーが解決されます。
無効な文字
現在、AWS IAM Identity Center では、Microsoft Entra ID がサポートしているタブ (\t)、改行 (\n)、復帰文字 (\r)、および " <|>|;|:% " などの文字は許可されていません。
こちらで、AWS IAM Identity Center のトラブルシューティングのヒントをさらに確認できます