Quick Suite でフェデレーティッドユーザーの E メール同期を設定する - Amazon Quick Suite
ステップ 1: IAM ロールの信頼関係を更新するステップ 2: SAML 属性または OIDC トークンを追加するステップ 3: E メール同期を有効にする

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Quick Suite でフェデレーティッドユーザーの E メール同期を設定する

 適用対象: Enterprise Edition 
   対象者: システム管理者と Amazon Quick Suite 管理者 
注記

IAM ID フェデレーションは、ID プロバイダーグループと Amazon Quick Suite の同期をサポートしていません。

Amazon Quick Suite Enterprise Edition では、管理者として、ID プロバイダー (IdP) を介して Quick Suite に直接プロビジョニングするときに、新しいユーザーが個人の E メールアドレスを使用することを制限できます。次に、Quick Suite は、アカウントに新しいユーザーをプロビジョニングするときに IdP を介して渡される事前設定された E メールアドレスを使用します。例えば、IdP を介してユーザーが Amazon Quick Suite アカウントにプロビジョニングされたときに、企業に割り当てられた E メールアドレスのみが使用されるようにすることができます。

注記

ユーザーが IdP を介して Amazon Quick Suite に直接フェデレーションしていることを確認します。IdP AWS マネジメントコンソール を介して にフェデレーションし、Amazon Quick Suite をクリックするとエラーが発生し、Amazon Quick Suite にアクセスできなくなります。

Amazon Quick Suite でフェデレーティッドユーザーの E メール同期を設定すると、Amazon Quick Suite アカウントに初めてログインするユーザーに E メールアドレスが事前に割り当てられます。これらのアドレスは、ユーザーのアカウントの登録に使用されます。この方法では、ユーザーはメールアドレスを入力することで手動でバイパスすることができる。また、管理者が指定したメールアドレスと異なるメールアドレスを使用することはできません。

Amazon Quick Suite は、SAML または OpenID Connect (OIDC) 認証をサポートする IdP を介したプロビジョニングをサポートしています。IdP 経由でのプロビジョニング時における新規ユーザー用の E メールアドレスを設定するには、新規ユーザーが AssumeRoleWithSAML または AssumeRoleWithWebIdentity で使用する IAM ロールの信頼関係を更新します。その後、新規ユーザーの IdP に SAML 属性または OIDC トークンを追加します。最後に、Amazon Quick Suite でフェデレーティッドユーザーの E メール同期を有効にします。

以下の手順では、これらのステップが詳しく説明されています。

ステップ 1: AssumeRoleWithSAML または AssumeRoleWithWebIdentity で IAM ロールの信頼関係を更新する

IdP を介して Amazon Quick Suite にプロビジョニングするときに使用する E メールアドレスを設定できます。これを行うには、AssumeRoleWithSAML または AssumeRoleWithWebIdentity で使用する IAM ロールの信頼関係に sts:TagSession アクションを追加します。そうすることで、ユーザーがロールを引き受けるときに principal タグを渡すことができます。

以下は、IdP が Okta である更新済みの IAM ロールの例です。この例を使用するには、サービスプロバイダー用の Amazon リソースネーム (ARN) で Federated ARN を更新します。赤の項目は、 AWS および IdP サービス固有の情報に置き換えることができます。

{
    "Version": "2012-10-17"		 	 	 ,
    "Statement": [
    {
        "Effect": "Allow",
        "Principal": {
        "Federated": "arn:aws:iam::account-id:saml-provider/Okta"
        },
        "Action": "sts:AssumeRoleWithSAML",
        "Condition": {
        "StringEquals": {
            "SAML:aud": "https://signin.aws.amazon.com/saml"
        }
        }
    },
    {
        "Effect": "Allow",
        "Principal": {
        "Federated": "arn:aws:iam::account-id:saml-provider/Okta"
        },
        "Action": "sts:TagSession",
        "Condition": {
        "StringLike": {
            "aws:RequestTag/Email": "*"
        }
        }
    }
    ]
    }

ステップ 2: IdP の IAM プリンシパルタグに SAML 属性または OIDC トークンを追加する

上記の説明どおりに IAM ロールの信頼関係を更新したら、IdP の IAM Principal タグに SAML 属性または OIDC トークンを追加します。

以下は、SAML 属性と OIDC トークンの例です。これらの例を使用するには、E メールアドレスを、ユーザーの E メールアドレスをポイントする IdP 内の変数に置き換えてください。赤色で強調表示されている項目は、独自の情報に置き換えることができます。

  • SAML 属性: 以下は、SAML 属性の例です。

    <Attribute Name="https://aws.amazon.com/SAML/Attributes/PrincipalTag:Email"><AttributeValue>john.doe@example.com</AttributeValue></Attribute>
    注記

    IdP として Okta を使用している場合は、SAML をするために Okta ユーザーアカウントで機能フラグをオンにするようにしてください。詳細については、Okta ブログの「Okta と AWS Partner to Simplify Access Via Session Tags」を参照してください。

  • OIDC トークン: 以下は、OIDC トークンの例です。

    "https://aws.amazon.com/tags": {"principal_tags": {"Email": ["john.doe@example.com"]

ステップ 3: Amazon Quick Suite でフェデレーティッドユーザーの E メール同期を有効にする

上記の説明どおり、IAM ロールの信頼関係を更新して、IdP の IAM Principal タグに SAML 属性または OIDC トークンを追加します。次に、次の手順で説明するように、Amazon Quick Suite でフェデレーティッドユーザーの E メール同期を有効にします。

フェデレーティッドユーザーに対する E メール同期を有効にする

  1. Amazon Quick Suite の任意のページから、右上のユーザー名を選択し、Amazon Quick Suite の管理を選択します。

  2. 左側のメニューで [Single sign-on (IAM フェデレーション)] をクリックします。

  3. [サービスプロバイダ主導の IAM フェデレーション] ページで、[連携ユーザーの電子メール同期][オン] を選択します。

    フェデレーティッドユーザーの E メール同期が有効になっている場合、Amazon Quick Suite は、アカウントに新しいユーザーをプロビジョニングするときにステップ 1 と 2 で設定した E メールアドレスを使用します。ユーザーが独自の E メールアドレスを入力することはできません。

    フェデレーティッドユーザーの E メール同期がオフの場合、Amazon Quick Suite は、アカウントに新しいユーザーをプロビジョニングするときに、E メールアドレスを手動で入力するようユーザーに求めます。ユーザーは、任意の E メールアドレスを使用できます。