翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# AWS IAM アイデンティティセンター ID ソースの開始方法 (コンソール)
<a name="getting-started-aws-sso"></a>

 AWS IAM アイデンティティセンター ID ソースには、ユーザーとグループに関する情報が含まれています。これは、ユーザーコンテキストフィルタリングを設定するのに役立ちます。 は、ユーザーまたはそのグループのドキュメントへのアクセスに基づいて、さまざまなユーザーの検索結果を Amazon Kendra フィルタリングします。

IAM Identity Center のアイデンティティソースを作成するには、IAM Identity Center をアクティベートし、 AWS Organizationsで組織を作成する必要があります。IAM Identity Center をアクティベートし、組織を初めて作成すると、デフォルトのアイデンティティソースとして Identity Center ディレクトリが自動的に作成されます。アイデンティティソースとしてアクティブディレクトリ (Amazon が管理するまたは自己管理の) または外部アイデンティティプロバイダーに変更できます。このためには、正しいガイダンスに従う必要があります。「[Changing your IAM Identity Center identity source](https://docs.aws.amazon.com/kendra/latest/dg/changing-aws-sso-source.html)」を参照してください。ID ソースは 組織あたり 1 つのみ持つことができます。

ユーザーとグループにドキュメントに対するさまざまなレベルのアクセス権を割り当てるには、ドキュメントをインデックスに取り込むときに、アクセスコントロールリストにユーザーとグループを含める必要があります。これにより、ユーザーとグループはアクセスのレベルに応じて Amazon Kendra でドキュメントを検索できます。クエリを発行する場合、ユーザー ID は、IAM Identity Center のユーザー名と完全に一致する必要があります。

また、 で IAM Identity Center を使用するために必要なアクセス許可を付与する必要があります Amazon Kendra。詳細については、「[IAM roles for IAM Identity Center](https://docs.aws.amazon.com/kendra/latest/dg/iam-roles.html#iam-roles-aws-sso)」を参照してください。

**IAM Identity Center アイデンティティソースを設定するには**

1. [IAM Identity Center コンソール](https://console.aws.amazon.com/singlesignon)を開きます。

1. **「IAM Identity Center を有効にする**」を選択し、** AWS 「組織の作成**」を選択します。

   Identity Center ディレクトリがデフォルトで作成され、組織に関連付けられている E メールアドレスを検証するための E メールが送信されます。

1.  AWS 組織にグループを追加するには、ナビゲーションペインでグループを選択します****。

1. **[Groups page]** (グループページ) で、**[Create group]** (グループの作成) を選択し、ダイアログボックスにグループ名と説明を入力します。**[Create]** (作成) を選択します。

1. 組織にユーザーを追加するには、ナビゲーションペインで **[ユーザー]** を選択します。

1. **[Users]** (ユーザー) ページで、**[Add user]** (ユーザーを追加) を選択します。**[User details]** (ユーザーの詳細) で、すべての必須フィールドを指定します。**[Password]** (パスワード) で、**[Send an email to the user]** (ユーザーにメールを送信) を選択します。[**次へ**] を選択します。

1. ユーザーをグループに追加するには、**[Groups]** (グループ) をクリックし、グループを選択します。

1. グループの **[Details]** (詳細) ページにある **[Group members]** (グループメンバー) で、**[Add user]** (ユーザーの追加) をクリックします。

1. **[Add users to group]** (ユーザーをグループに追加) ページで、グループのメンバーとして追加するユーザーを選択します。複数のユーザーを選択してグループに追加できます。

1. ユーザーおよびグループのリストを IAM Identity Center と同期するには、アイデンティティソースをアクティブディレクトリまたは外部アイデンティティプロバイダーに変更します。

   Identity Center ディレクトリはデフォルトのアイデンティティソースであり、プロバイダーによって管理される独自のリストがない場合は、このソースを使用してユーザーおよびグループを手動で追加する必要があります。アイデンティティソースを変更するには、正しいガイダンスに従う必要があります。「[Changing your IAM Identity Center identity source](https://docs.aws.amazon.com/kendra/latest/dg/changing-aws-sso-source.html)」を参照してください。

**注記**  
アクティブディレクトリまたは外部アイデンティティプロバイダーをアイデンティティソースとして使用する場合は、ユーザーの E メールアドレスをクロスドメインアイデンティティ管理 (SCIM) プロトコルを指定する際の IAM Identity Center ユーザー名にマッピングする必要があります。詳細については、「[IAM Identity Center guide on SCIM for enabling IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/scim-profile-saml.html)」を参照してください。

IAM Identity Center アイデンティティソースをセットアップしたら、インデックスの作成または編集時に、コンソールでこれを有効にできます。インデックスの設定の **[ユーザーアクセスコントロール]** に移動し、IAM Identity Center からユーザーグループ情報を取得できるように設定を編集します。

[UserGroupResolutionConfiguration](https://docs.aws.amazon.com/kendra/latest/APIReference/API_UserGroupResolutionConfiguration.html) オブジェクトを使用して IAM Identity Center をアクティブ化することもできます。を `UserGroupResolutionMode`として指定`AWS_SSO`し、、`sso:ListDirectoryAssociations`、`sso-directory:SearchUsers`、、 を呼び出すアクセス許可を付与する `sso-directory:ListGroupsForUser` IAM ロールを作成します`sso-directory:DescribeGroups`。

**警告**  
Amazon Kendra は現在、IAM Identity Center ID ソースの組織メンバーアカウント`UserGroupResolutionConfiguration`での AWS の使用をサポートしていません。`UserGroupResolutionConfiguration` を使用するには、その組織の管理アカウントでインデックスを作成する必要があります。

次のものは、`UserGroupResolutionConfiguration` でデータソースを設定する方法、およびユーザーコンテキストで検索結果をフィルタリングするユーザーアクセス制御の概要です。これは、インデックスの と IAM ロールが既に作成されていることを前提としています。[CreateIndex](https://docs.aws.amazon.com/kendra/latest/APIReference/API_CreateIndex.html) API を使用してインデックスを作成し、 IAM ロールを指定します。

**`UserGroupResolutionConfiguration` およびユーザーコンテキストフィルタリングによるデータソースの設定**

1. IAM Identity Center アイデンティティソースにアクセスする権限を付与する [IAM ロール](https://docs.aws.amazon.com/kendra/latest/dg/iam-roles.html#iam-roles-aws-sso)を作成します。

1. モードを `AWS_SSO` に設定し、[UpdateIndex](https://docs.aws.amazon.com/kendra/latest/APIReference/API_UpdateIndex.html) を呼び出し、IAM Identity Center を使用するようにインデックスを更新して、[https://docs.aws.amazon.com/kendra/latest/APIReference/API_UserGroupResolutionConfiguration.html](https://docs.aws.amazon.com/kendra/latest/APIReference/API_UserGroupResolutionConfiguration.html) を構成します。

1. トークンベースのユーザーアクセス制御を使用してユーザーコンテキストで検索結果をフィルタリングする場合は、`UpdateIndex` の呼び出し時に [UserContextPolicy](https://docs.aws.amazon.com/kendra/latest/APIReference/API_UpdateIndex.html#Kendra-UpdateIndex-request-UserContextPolicy) を `USER_TOKEN` にセットします。それ以外の場合、 はほとんどのデータソースコネクタの各ドキュメントのアクセスコントロールリストを Amazon Kendra クロールします。また、`UserContext` にユーザーやグループの情報を入力して、[クエリ](https://docs.aws.amazon.com/kendra/latest/APIReference/API_Query.html) API のユーザーコンテキストに基づいて検索結果をフィルターすることもできます。クエリを発行するときにユーザー ID を指定するだけで済むようにするため、[PutPrincipalMapping](https://docs.aws.amazon.com/kendra/latest/APIReference/API_PutPrincipalMapping.html) を使用してユーザーをグループにマッピングすることもできます。

1. データソースにアクセスするためのアクセス許可を付与する [IAM ロール](https://docs.aws.amazon.com//kendra/latest/dg/iam-roles.html#iam-roles-ds) を作成します。

1. データソースを[設定](https://docs.aws.amazon.com/kendra/latest/APIReference/API_DataSourceConfiguration.html)します。データソースに接続するために必要な接続情報を提供する必要があります。

1. [CreateDataSource](https://docs.aws.amazon.com/kendra/latest/APIReference/API_CreateDataSource.html) API を使用してデータソースを作成します。`TemplateConfiguration`、インデックスの ID、データソースの IAM ロール、データソースタイプを含む `DataSourceConfiguration` オブジェクトを指定し、データソースに名前を付けます。データソースを更新することもできます。

# IAM Identity Center アイデンティティソースの変更
<a name="changing-aws-sso-source"></a>

**警告**  
IAM Identity Center の **[設定]** でアイデンティティソースを変更すると、ユーザーおよびグループ情報の保存が影響を受ける可能性があります。これを安全に行うには、[アイデンティティソースの変更に関する考慮事項](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source-considerations.html)を確認することをお勧めします。アイデンティティソースを変更する場合、新しいアイデンティティソース ID が生成されます。[UserGroupResolutionConfiguration](https://docs.aws.amazon.com/kendra/latest/APIReference/API_UserGroupResolutionConfiguration.html) でモードを `AWS_SSO` に設定する前に、正しい ID を使用していることを確認してください。

**IAM Identity Center アイデンティティソースを変更するには**

1. [[IAM Identity Center] > [コンソール]](https://console.aws.amazon.com/singlesignon) を開きます。

1. **[Settings]** (設定) を選択します。

1. **[Settings]** (設定) ページの **[Identity source]** (アイデンティティソース) で、**[Change]** (変更) を選択します。

1. **[Change identity source]** (アイデンティティソースの変更) ページで、優先するアイデンティティソースを選択し、**[Next]** (次へ) をクリックします。