翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
IAM アイデンティティセンターを使用した認証
ユーザーは、ユーザー名を使用して AWS アクセスポータルにサインインします。その際、IAM Identity Center は、ユーザーの E メールアドレスに関連付けられたディレクトリに基づいて、IAM Identity Center 認証サービスにリクエストをリダイレクトします。認証されると、 AWS アカウントとサードパーティー製の SaaS (Software as a Service) アプリケーションが、追加のサインインプロンプトなしでポータルに表示されて、それらへの単一サインオンアクセスが可能になります。つまり、ユーザーは毎日使用するさまざまな割り当てられた AWS アプリケーションの複数のアカウント認証情報を追跡する必要がなくなります。
認証セッション
IAM Identity Center によって維持される認証セッションには、IAM Identity Center へのユーザーのサインインを表す認証セッションと、Amazon SageMaker AI Studio や Amazon Managed Grafana などの AWS マネージドアプリケーションへのユーザーのアクセスを表す認証セッションの 2 種類があります。ユーザーが IAM アイデンティティセンターにサインインするたびに、IAM アイデンティティセンターで設定した期間 (最大 90 日間) のサインインセッションが作成されます。詳細については、「AWS アクセスポータルと IAM アイデンティティセンター統合アプリケーションのセッション期間を設定する」を参照してください。ユーザーがアプリケーションにアクセスするたびに、IAM アイデンティティセンターのサインインセッションを使用して、そのアプリケーションの IAM アイデンティティセンターアプリケーションセッションが作成されます。IAM Identity Center アプリケーションセッションの有効期間は 1 時間で、リフレッシュできます。ですので、IAM Identity Center アプリケーションセッションは、取得元の IAM Identity Center サインインセッションが有効である限り、1 時間ごとに自動的に更新されます。ユーザーが AWS アクセスポータルを使用してサインアウトすると、ユーザーのサインインセッションは終了します。アプリケーションがその後セッションを更新すると、アプリケーションセッションは終了します。
ユーザーが IAM アイデンティティセンターを使用して AWS Management Console または にアクセスする場合 AWS CLI、IAM アイデンティティセンターのサインインセッションを使用して、対応する IAM アイデンティティセンターのアクセス許可セットで指定された IAM セッションを取得します (具体的には、IAM アイデンティティセンターは、IAM アイデンティティセンターが管理する IAM ロールをターゲットアカウントで引き受けます)。IAM セッションは、無条件に、権限セットで指定された時間だけ持続します。
注記
IAM Identity Center は、ID ソースとして機能する ID プロバイダーによって開始された SAML シングルログアウトをサポートしていません。また、IAM Identity Center を ID プロバイダーとして使用する SAML アプリケーションに SAML シングルログアウトを送信しません。
IAM Identity Center 管理者がユーザーを削除または無効にすると、ユーザーはすぐに AWS アクセスポータルにアクセスできなくなり、新しいアプリケーションまたは IAM ロールセッションを開始するためにサインインし直すことができなくなります。ユーザーは 30 分以内に既存のアプリケーションセッションにアクセスできなくなります。既存の IAM ロールセッションは、IAM Identity Center アクセス許可セットで設定されたセッション期間に基づいて続行されます。最大セッション期間は 12 時間です。
IAM Identity Center 管理者がユーザーのセッションを取り消すか、ユーザーがサインアウトすると、ユーザーはすぐに AWS アクセスポータルにアクセスできなくなり、新しいアプリケーションまたは IAM ロールセッションを開始するためにサインインし直す必要があります。ユーザーは 30 分以内に既存のアプリケーションセッションにアクセスできなくなります。既存の IAM ロールセッションは、IAM Identity Center アクセス許可セットで設定されたセッション期間に基づいて続行されます。最大セッション期間は 12 時間です。
次の表は、前述の IAM Identity Center の動作をまとめたものです。
| アクション | ユーザーが IAM Identity Center アクセスを失った | ユーザーが新しいアプリケーションセッションを作成できない | ユーザーが既存のアプリケーションセッションにアクセスできない | ユーザーが既存の AWS アカウント セッションにアクセスできなくなる |
|---|---|---|---|---|
| ユーザーが無効 | 即時に有効 | 即時に有効 | 30 分以内 | 12 時間以内。期間は、アクセス許可セット用に設定された IAM ロールセッションの有効期限によって異なります。 |
| ユーザーの削除 | 即時に有効 | 即時に有効 | 30 分以内 | 12 時間以内。期間は、アクセス許可セット用に設定された IAM ロールセッションの有効期限によって異なります。 |
| ユーザーセッションが取り消されました | アクセスを回復するには、ユーザーが再度サインインする必要があります | 即時に有効 | 30 分以内 | 12 時間以内。期間は、アクセス許可セット用に設定された IAM ロールセッションの有効期限によって異なります。 |
| ユーザーがサインアウトする | アクセスを回復するには、ユーザーが再度サインインする必要があります | 即時に有効 | 30 分以内 | 12 時間以内。期間は、アクセス許可セット用に設定された IAM ロールセッションの有効期限によって異なります。 |
IAM Identity Center 管理者がアプリケーションアクセスを削除すると、ユーザーは既存のアプリケーションにアクセスできなくなります。既存のアプリケーションへのユーザーのアクセスは、アプリケーションアクセスの削除後 1 時間以内に失われます。既存の IAM ロールセッションは、IAM Identity Center アクセス許可セットで設定されたセッション期間に基づいて続行されます。最大セッション期間は 12 時間です。
次の表は、前述の IAM Identity Center の動作をまとめたものです。
| アクション | ユーザーが IAM Identity Center アクセスを失った | ユーザーが新しいアプリケーションセッションを作成できない | ユーザーが既存のアプリケーションセッションにアクセスできない | ユーザーが既存の AWS アカウント セッションにアクセスできなくなる |
|---|---|---|---|---|
| ユーザーから削除されたアプリケーションまたは AWS アカウント アクセス | いいえ - ユーザーは引き続き IAM Identity Center にアクセスできます | 即時に有効 | 1 時間以内 | 12 時間以内。期間は、アクセス許可セット用に設定された IAM ロールセッションの有効期限によって異なります。 |
| アプリケーションまたは が割り当てられたグループから削除されたユーザー AWS アカウント | いいえ - ユーザーは引き続き IAM Identity Center にアクセスできます | 1 時間以内 | 2 時間以内 | 12 時間以内。期間は、アクセス許可セット用に設定された IAM ロールセッションの有効期限によって異なります。 |
| グループから削除されたアプリケーションまたは AWS アカウント アクセス | いいえ - ユーザーは引き続き IAM Identity Center にアクセスできます | 即時に有効 | 1 時間以内 | 12 時間以内。期間は、アクセス許可セット用に設定された IAM ロールセッションの有効期限によって異なります。 |
