翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
ID フェデレーションとシングルサインオン
コアシステム全体で一貫した ID 管理を確保することは、あらゆるテクノロジーを効果的かつ安全に採用するための鍵です。教育機関では、、Microsoft Entra ID (以前の Azure Active Directory)AWS IAM Identity Center
これらの機関の多くは、オンプレミス環境の Active Directory や Shibboleth などの ID 管理とディレクトリサービスを維持しています。これらをクラウドベースのソリューションと統合することで、学生、教員、スタッフの一元化された ID 管理とシングルサインオンが可能になります。クラウドソリューションプロバイダーには、クラウド ID プロバイダーを介して既存のアプリケーション、 SaaS easy-to-integrate ID 管理プラットフォームが必要です。次の図は、アーキテクチャの例を示しています。
このアーキテクチャは、次の推奨事項に従います。
-
主要な戦略的クラウドプロバイダーを選択します。 このアーキテクチャでは、プライマリクラウドプロバイダー AWS として を使用します。このアーキテクチャは、クラウド ID プロバイダーおよびオンプレミスの既存の ID 管理およびディレクトリサービスと統合することで、プライマリクラウドプロバイダーのサービス、他のアプリケーションや SaaS ソリューションの両方へのアクセスの自動プロビジョニングと管理をサポートします。これにより、より多くのアプリケーションとサービスが機関のテクノロジーポートフォリオに追加されるため、セキュリティとガバナンスの要件が一貫して管理しやすい方法で満たされます。
-
SaaS アプリケーションと基盤クラウドサービスを区別します。 このアーキテクチャは、複数のタイプのクラウドベースの SaaS およびオンプレミスの ID システムを統合して、 AWS クラウド サービスやその他のアプリケーションへのアクセスを提供します。多くのクラウドベースの ID プロバイダーとシングルサインオンソリューションも SaaS アプリケーションであり、ネイティブ統合や SAML などの標準プロトコルを使用して環境間で動作できます。
-
各クラウドサービスプロバイダーのセキュリティとガバナンスの要件を確立します。 このアーキテクチャは、米国国立標準技術研究所 (NIST) サイバーセキュリティフレームワーク (CSF)、NIST 800-171、NIST 800-53 など、多数のセキュリティフレームワークによって発行されたアイデンティティとアクセスの管理に関するガイダンスに準拠しています。AWS Organizations
、 AWS Identity and Access Management (IAM) 、およびその他のAWS セキュリティ、アイデンティティ、コンプライアンスサービスと の統合は、グループのアクセス許可に基づいて安全できめ細かなアクセスコントロールを提供するのに役立ちます。 -
可能な限り、実用的なクラウドネイティブのマネージドサービスを採用します。 このアーキテクチャでは、アイデンティティ管理とシングルサインオンにクラウドベースのマネージドサービスを使用します。これにより、インフラストラクチャ管理に費やす時間とエネルギーが減り、これらの重要なシステムの保守が容易になります。
-
既存のオンプレミス投資が継続的な使用にインセンティブを与える場合は、ハイブリッドアーキテクチャを実装します。 このアーキテクチャは、Active Directory、Lightweight Directory Access Control (LDAP)、および Shibboleth ワークロードをホストするためのインフラストラクチャへの既存のオンプレミス投資を統合し、最終的にコア ID サービスをクラウドベースのインフラストラクチャに移行する方法を提供します。さらに、オンプレミスワークロードで AWS リソースへの証明書ベースのアクセスが必要な場合は、AWS Identity and Access Management Roles Anywhere を使用できます。
