翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Active Directory の自己管理型ディレクトリを IAM Identity Center に接続する
Active Directory (AD) のセルフマネージドディレクトリのユーザーも、AWS のアクセスポータルで AWS アカウント やアプリケーションへのシングルサインオンアクセスが可能です。これらのユーザーのシングルサインオンアクセスを設定するには、次のいずれかを実行します。
-
双方向の信頼関係の構築 – AWS Managed Microsoft AD とセルフマネージド AD ディレクトリの間に双方向の信頼関係が構築されると、セルフマネージド AD ディレクトリのユーザーは、企業の認証情報を使ってさまざまな AWS のサービスやビジネスアプリケーションにサインインすることができます。一方向の信頼は IAM Identity Center では機能しません。
AWS IAM アイデンティティセンター には、ユーザーとグループのメタデータを同期するためにドメインからユーザーとグループの情報を読み取るアクセス許可があるように、双方向の信頼が必要です。IAM Identity Center は、アクセス権限セットまたはアプリケーションへのアクセスを割り当てるときに、このメタデータを使用します。ユーザーおよびグループのメタデータは、ダッシュボードを別のユーザーやグループと共有する場合など、コラボレーションのためにアプリケーションによっても使用されます。Microsoft Active Directory の Directory Service から顧客のドメインへの信頼により、IAM Identity Center が顧客のドメインを信頼して認証を行うことを可能にします。逆方向の信頼は、AWS にユーザーとグループのメタデータを読み込む権限を与えます。
双方向の信頼関係の設定の詳細については、「AWS Directory Service 管理者ガイド」の「信頼関係を作成する場合」を参照してください。
注記
IAM アイデンティティセンターなどの AWS アプリケーションを使用して信頼されたドメインからの Directory Service ディレクトリユーザーを読み取るには、Directory Service アカウントが信頼されたユーザーの userAccountControl 属性に対するアクセス許可を持っている必要があります。この属性への読み取りアクセス許可がないと、AWS アプリケーションはアカウントが有効か無効かを判断することができません。
この属性への読み取りアクセスは、信頼の作成時にデフォルトで提供されます。この属性へのアクセスを拒否すると (非推奨)、Identity Center などのアプリケーションが信頼できるユーザーを読み取れなくなります。問題を解決するには、AWS リザーブド OU (先頭に AWS_ 付き) の下にある AWS サービスアカウントの
userAccountControl属性への読み取りアクセスを明示的に許可してください。 -
AD Connector を作成する - AD Connector は、クラウドに情報をキャッシュすることなく、セルフマネージドの AD にディレクトリリクエストをリダイレクトできるディレクトリゲートウェイです。詳細については、「AWS Directory Service 管理ガイド」の [ディレクトリへの接続]を参照してください。AD Connector を使用するときの考慮事項は次のとおりです。
-
IAM Identity Center を AD Connector ディレクトリに接続している場合、今後のユーザーパスワードのリセットは、AD 内から行う必要があります。つまり、ユーザーは AWS アクセスポータルからパスワードをリセットできません。
-
AD Connector を使用してアクティブディレクトリドメインサービスを IAM Identity Center に接続する場合、IAM Identity Center は AD Connector がアタッチされている単一ドメインのユーザーとグループにしかアクセスできません。複数のドメインやフォレストをサポートする必要がある場合は、Microsoft Active Directory の Directory Service をご利用ください。
注記
IAM Identity Center は SAMBA4 ベースの Simple AD ディレクトリでは機能しません。
-
