翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。 # Active Directory の自己管理型ディレクトリを IAM Identity Center に接続する Active Directory (AD) のセルフマネージドディレクトリのユーザーは、 AWS アクセスポータルの AWS アカウント およびアプリケーションへのシングルサインオンアクセスを持つこともできます。これらのユーザーのシングルサインオンアクセスを設定するには、次のいずれかを実行します。 + **双方向の信頼関係を作成する** – AWS Managed Microsoft AD と AD のセルフマネージドディレクトリとの間に双方向の信頼関係が作成されると、AD のセルフマネージドディレクトリのユーザーは、企業の認証情報を使用してさまざまな AWS サービスやビジネスアプリケーションにサインインできます。一方向の信頼は IAM Identity Center では機能しません。 AWS IAM アイデンティティセンター には双方向の信頼が必要です。これにより、ドメインからユーザーとグループの情報を読み取ってユーザーとグループのメタデータを同期するアクセス許可が付与されます。IAM Identity Center は、アクセス権限セットまたはアプリケーションへのアクセスを割り当てるときに、このメタデータを使用します。ユーザーおよびグループのメタデータは、ダッシュボードを別のユーザーやグループと共有する場合など、コラボレーションのためにアプリケーションによっても使用されます。 Directory Service for Microsoft Active Directory からドメインへの信頼により、IAM Identity Center は認証のためにドメインを信頼できます。逆方向の信頼は、ユーザーとグループのメタデータを読み取る AWS アクセス許可を付与します。 双方向の信頼関係の設定の詳細については、「*AWS Directory Service 管理者ガイド*」の「[信頼関係を作成する場合](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/setup_trust.html)」を参照してください。 **注記** IAM Identity Center などの AWS アプリケーションを使用して信頼されたドメインから Directory Service ディレクトリユーザーを読み取るには、 Directory Service アカウントで信頼されたユーザーの userAccountControl 属性に対するアクセス許可が必要です。この属性への読み取りアクセス許可がないと、 AWS アプリケーションはアカウントが有効か無効かを判断することができません。 この属性への読み取りアクセスは、信頼の作成時にデフォルトで提供されます。この属性へのアクセスを拒否すると (非推奨)、Identity Center などのアプリケーションが信頼できるユーザーを読み取れなくなります。この解決策は、 AWS リザーブド OU (プレフィックス AWS\$1) の下にある AWS サービスアカウントの `userAccountControl` 属性への読み取りアクセスを具体的に許可することです。 + **AD Connector を作成する** - AD Connector は、クラウドに情報をキャッシュすることなく、セルフマネージドの AD にディレクトリリクエストをリダイレクトできるディレクトリゲートウェイです。詳細については、「*AWS Directory Service 管理ガイド*」の [[ディレクトリへの接続]](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/directory_ad_connector.html)を参照してください。AD Connector を使用するときの考慮事項は次のとおりです。 + IAM Identity Center を AD Connector ディレクトリに接続している場合、今後のユーザーパスワードのリセットは、AD 内から行う必要があります。つまり、ユーザーは AWS アクセスポータルからパスワードをリセットできません。 + AD Connector を使用してアクティブディレクトリドメインサービスを IAM Identity Center に接続する場合、IAM Identity Center は AD Connector がアタッチされている単一ドメインのユーザーとグループにしかアクセスできません。複数のドメインやフォレストをサポートする必要がある場合は、Microsoft Active Directory の Directory Service をご利用ください。 **注記** IAM Identity Center は SAMBA4 ベースの Simple AD ディレクトリでは機能しません。