翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# IAM Identity Center AWS と AWS Control Tower の使用
<a name="sso"></a>

AWS Control Tower では、IAM Identity Center により、中央のクラウド管理者とエンドユーザーが複数の AWS アカウントとビジネスアプリケーションへのアクセスを管理できます。デフォルトでは、ID とアクセス制御を自己管理するオプションを選択していない限り、AWS Control Tower はこのサービスを使用して、Account Factory を通じて作成されたアカウントへのアクセスを設定および管理します。

ID プロバイダーの選択については、「[IAM Identity Center のガイダンス](sso-guidance.md)」を参照してください。

AWS Control Tower での IAM Identity Center ユーザーおよび許可のセットアップ方法に関する簡単なチュートリアルについては、こちらの動画 (所要時間: 6 分 23 秒) をご覧ください。動画の右下にあるアイコンを選択すると、全画面表示にできます。字幕を利用できます。

[![AWS Videos](http://img.youtube.com/vi/y_n9xN5mg1g/0.jpg)](http://www.youtube.com/watch?v=y_n9xN5mg1g)


**IAM Identity Center での AWS Control Tower のセットアップについて**

AWS Control Tower の初期セットアップの時点では、ルートユーザーと適切な許可を持つ IAM ユーザーのみ、IAM Identity Center ユーザーを追加できます。ただし、エンドユーザーが **[AWSAccountFactory]** グループに追加されると、Account Factory ウィザードから新しい IAM Identity Center ユーザーを作成できるようになります。詳細については、「[Account Factory でのアカウントのプロビジョニングと管理](account-factory.md)」を参照してください。

推奨されるデフォルトを選択した場合、AWS Control Tower は、ランディングゾーンを事前設定済みディレクトリでセットアップするため、ユーザーがアカウント間でフェデレーティッドアクセスを持つように、ユーザーアイデンティティとシングルサインオンを管理できます。ランディングゾーンのセットアップ時に、このデフォルトディレクトリはユーザーグループと許可セットを含むように作成されます。****

**注記**  
IAM Identity Center の委任管理者機能を使用して、組織 AWS IAM アイデンティティセンター 内の の管理を管理アカウント以外のアカウントに委任できます。この機能を使用する場合、メンバーシップを管理するアクセス権を持つ管理者は、管理アカウントに割り当てられたグループ**も管理できることに注意してください。詳細については、ブログ記事「Getting [started with AWS SSO delegated administration](https://aws.amazon.com/blogs//security/getting-started-with-aws-sso-delegated-administration/)」を参照してください。

## IAM Identity Center アカウントと AWS Control Tower に関する注意事項
<a name="sso-good-to-know"></a>

ここでは、AWS Control Tower で IAM Identity Center ユーザーアカウントを使用する際の注意事項をいくつか紹介します。
+ IAM Identity Center ユーザーアカウントが無効になっている場合、Account Factory AWS で新しいアカウントをプロビジョニングしようとすると、エラーメッセージが表示されます。IAM Identity Center コンソールで IAM Identity Center ユーザーを再度有効にすることができます。
+ Account Factory によって発行されたアカウントに関連付けられたプロビジョニング済み製品を更新するときに、新しい IAM Identity Center ユーザーの E メールアドレスを指定すると、AWS Control Tower によって新しい IAM Identity Center ユーザーアカウントが作成されます。以前に作成したユーザーアカウントは削除されません。 AWS IAM Identity Center から以前の IAM Identity Center ユーザーの E メールアドレスを削除する場合は、[Disabling a User](https://docs.aws.amazon.com//singlesignon/latest/userguide/disableuser.html) (ユーザーを無効にする) を参照してください。
+ AWS IAM Identity Center は [Azure Active Directory と統合](https://aws.amazon.com//blogs/aws/the-next-evolution-in-aws-single-sign-on/)されており、既存の Azure Active Directory を AWS Control Tower に接続できます。
+ AWS Control Tower の動作が IAM Identity Center およびさまざまな ID ソースと AWS どのように相互作用するかの詳細については、IAM Identity Center ドキュメントの[「ID ソースの変更に関する考慮事項](https://docs.aws.amazon.com//singlesignon/latest/userguide/manage-your-identity-source-considerations.html)」を参照してください。 AWS