翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# Google Workspace および IAM アイデンティティセンターによる SAML と SCIM の設定
<a name="gs-gwp"></a>

組織が を使用している場合はGoogle Workspace、 から IAM Identity Center Google Workspaceにユーザーを統合して、 AWS リソースへのアクセスを許可できます。この統合を実現するには、IAM アイデンティティセンターID ソースをデフォルトの IAM アイデンティティセンターID ソースから Google Workspace に変更します。

**注記**  
Google Workspace は現在、 AWS IAM アイデンティティセンター アプリケーションで SAML マルチアサーション消費サービス (ACS) URLsをサポートしていません。この SAML 機能は、IAM Identity Center の[マルチリージョンサポート](multi-region-iam-identity-center.md)を最大限に活用するために必要です。IAM Identity Center を追加のリージョンにレプリケートする場合は、単一の ACS URL を使用すると、それらの追加のリージョンのユーザーエクスペリエンスに影響する可能性があることに注意してください。プライマリリージョンは引き続き正常に機能します。IdP ベンダーと協力してこの機能を有効にすることをお勧めします。単一の ACS URL を持つ追加のリージョンでのユーザーエクスペリエンスの詳細については、[複数の ACS URL なしで AWS マネージドアプリケーションを使用する URLs](multi-region-workforce-access.md#aws-app-use-without-multiple-acs-urls)「」および「」を参照してください[AWS アカウント 複数の ACS URLs を使用せずに回復性にアクセスする](multi-region-failover.md#account-access-resiliency-without-multiple-acs-url)。

Google Workspace のユーザー情報は、[クロスドメイン ID 管理システム (SCIM) v2.0 プロトコル](scim-profile-saml.md#scim-profile)を使用して IAM アイデンティティセンターに同期されます。詳細については、「[外部 ID プロバイダーで SAML および SCIM ID フェデレーションを使用する](other-idps.md)」を参照してください。

Google Workspace で、この接続を IAM アイデンティティセンター用 SCIM エンドポイントと IAM アイデンティティセンターのベアラートークンを使用して設定します。SCIM 同期を設定すると、Google Workspace のユーザー属性と IAM Identity Center の名前付き属性のマッピングが作成されます。このマッピングは、IAM アイデンティティセンターと Google Workspace の間で、期待されるユーザー属性を照合します。そのためには、Google Workspace を ID プロバイダーとして設定し、IAM アイデンティティセンター ID プロバイダーに接続する必要があります。

**目的**

このチュートリアルのステップは、 Google Workspace と 間の SAML 接続を確立する方法を示しています AWS。後で、SCIM を使用して Google Workspace のユーザーを同期します。すべてが正しく設定されていることを確認するには、設定ステップを完了すると、Google Workspaceユーザーとしてサインインし、 AWS リソースへのアクセスを確認します。このチュートリアルは小規模 Google Workspace ディレクトリのテスト環境に基づいていることに注意してください。グループや組織単位などのディレクトリ構造はこのチュートリアルには含まれていません。このチュートリアルを完了すると、ユーザーはGoogle Workspace認証情報を使用して AWS アクセスポータルにアクセスできます。

**注記**  
Google Workspace の無料トライアルにサインアップするには、Google's Web サイトの [https://workspace.google.com/](https://workspace.google.com/) にアクセスしてください。  
IAM アイデンティティセンターをまだ有効にしていない場合は、「[IAM Identity Center を有効にする](enable-identity-center.md)」を参照してください。

## 考慮事項
<a name="gs-gwp-considerations"></a>
+ Google Workspace と IAM アイデンティティセンター間で SCIM プロビジョニングを設定する前に、まず「[自動プロビジョニングを使用する際の注意事項](provision-automatically.md#auto-provisioning-considerations)」を確認することをお勧めします。
+ Google Workspace からの SCIM 自動同期は、現在、ユーザープロビジョニングに限定されています。現在、自動グループプロビジョニングはサポートされていません。グループは、 AWS CLI Identity Store [の create-group](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/identitystore/create-group.html) コマンドまたは AWS Identity and Access Management (IAM) API [CreateGroup](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateGroup.html) を使用して手動で作成できます。または、[ssosync](https://github.com/awslabs/ssosync) を使用して Google Workspace ユーザーとグループを IAM アイデンティティセンターに同期することもできます。
+ すべての Google Workspace ユーザーにおいて、**[名]**、**[姓]**、**[ユーザー名]**、**[表示名]** の値を指定する必要があります。
+ 各 Google Workspace ユーザーには、E メールアドレスや電話番号などのデータ属性ごとに 1 つの値のみが割り当てられます。複数の値を持つユーザーは同期に失敗します。属性に複数の値を持つユーザーがいる場合は、IAM アイデンティティセンターでユーザーをプロビジョニングする前に、重複する属性を削除してください。例えば、同期できる電話番号属性は 1 つだけです。デフォルトの電話番号属性は「勤務先の電話」なので、ユーザーの電話番号が自宅の電話でも携帯電話でも、「勤務先の電話」属性を使用してユーザーの電話番号を保存します。
+ ユーザーが IAM Identity Center で無効化されていても、Google Workspace で有効化されていれば、属性は引き続き同期されます。
+ アイデンティティセンターディレクトリに同じユーザーネームと E メールアドレスを持つ既存のユーザーがいる場合、そのユーザーは上書きされ、Google Workspace から SCIM を介して同期されます。
+  ID ソースを変更する場合は、追加の考慮事項があります。詳細については、「[IAM アイデンティティセンターから外部 IdP への変更](manage-your-identity-source-considerations.md#changing-from-idc-and-idp)」を参照してください。

## ステップ 1: Google Workspace: SAML アプリケーションを設定する
<a name="gs-gwp-step1"></a>

1. スーパー管理者権限を持つアカウントを使用して **[Google 管理コンソール]** にサインインします。

1. **[Google 管理コンソール]** の左側のナビゲーションパネルで、**[アプリ]** を選択してから、**[ウェブとモバイルアプリ]** を選択します。

1. **[アプリの追加]** ドロップダウンリストで、**[アプリの検索]** を選択します。

1. 検索ボックスに **[Amazon Web Services]** と入力し、リストから **[Amazon Web Services (SAML)]** アプリを選択します。

1. **[Google Identity Provider の詳細 - Amazon Web Services]** ページで、次のいずれかを実行できます。

   1. IdP メタデータをダウンロードします。

   1. SSO URL、エンティティ ID URL、および証明書情報をコピーします。

   ステップ 2 では、XML ファイルまたは URL 情報が必要です。

1. Google 管理者コンソールの次のステップに進む前に、このページを開いたままにして、IAM アイデンティティセンターコンソールに移動します。

## ステップ 2: IAM アイデンティティセンターおよび Google Workspace : IAM アイデンティティセンターの ID ソースを変更し、Google Workspace を SAML ID プロバイダーとして設定する
<a name="gs-gwp-step2"></a>

1. 管理者権限を持つロールを使用して [IAM アイデンティティセンターコンソール](https://console.aws.amazon.com/singlesignon)にサインインします。

1. 左側のナビゲーションペインの **[設定]** を選択します。

1. **[設定]** ページで **[アクション]** タブを選択し、**[ID ソースを変更]** を選択します。
   + IAM アイデンティティセンターをまだ有効化していない場合、詳細については「[IAM Identity Center を有効にする](enable-identity-center.md)」を参照してください。IAM アイデンティティセンターを初めて有効にしてアクセスすると、**[ダッシュボード]** が表示され、**[ID ソースを選択]** を選択できます。

1. **[ID ソースを選択]** ページで **[外部 ID プロバイダー]** を選択したら、**[次へ]** を選択します。

1. **[外部 ID プロバイダーの設定]** ページが開きます。このページとステップ 1 の Google Workspace ページを完了するには、以下を完了する必要があります。

   1. **IAM アイデンティティセンター**コンソールの **[Identity Provider メタデータ]**セクションで、次のいずれかを実行する必要があります。

     1. IAM アイデンティティセンターコンソールで **[IdP SAML メタデータ]** として **[Google SAML メタデータ]** をアップロードします。

     1. **[Google SSO URL]** をコピーして **[IdP サインイン URL]** フィールドに貼り付け、**[Google 発行者 URL]** を **[IdP 発行者 URL]** フィールドに貼り付け、**Google 証明書**を **[IdP 証明書]** としてアップロードします。

1. **IAM アイデンティティセンター**コンソールの **[Identity Provider メタデータ]**セクションで Google メタデータを提供したら、**[IAM Identity Assertion Consumer Service (ACS) URL]** と **[IAM アイデンティティセンター発行者 URL]** をコピーします。これらの URL は、次のステップの Google 管理者コンソールで指定する必要があります。

1. IAM アイデンティティセンターコンソールでページを開いたままにして、Google 管理者コンソールに戻ります。**[Amazon Web Services - サービスプロバイダーの詳細]** ページが開いているはずです。**[Continue]** (続行) をクリックします。

1. **[サービスプロバイダーの詳細]** ページで、**[ACS URL]** と **[エンティティ ID]** の値を入力します。これらの値は前のステップでメモしたもので、IAM アイデンティティセンターコンソールで確認できます。
   + **[IAM アイデンティティセンターAssertion Consumer Service (ACS) URL]** を **[ACS URL]** フィールドに貼り付けます。
   + **[IAM アイデンティティセンター発行者 URL]** を**[エンティティ ID]** フィールドに貼り付けます。

1. **[サービスプロバイダーの詳細]** ページで、**[名前 ID]** のフィールドに次のように入力します。
   + **[名前 ID 形式]** で、**[E メール]** を選択します。
   + **[名前 ID]** で、**[基本情報] > [プライマリ E メールアドレス]** を選択します。

1. [**続行**] をクリックしてください。

1. **[属性マッピング]** ページの **[属性]** で、**[マッピングの追加]** を選択後、**[Google Directory 属性]** で次のフィールドを設定します。
   + `https://aws.amazon.com/SAML/Attributes/RoleSessionName` **[アプリ属性]** については、**[Google Directory 属性]** から**[基本情報、プライマリ E メール]** フィールドを選択します。
   + `https://aws.amazon.com/SAML/Attributes/Role` **[アプリ属性]** については、任意の**[Google Directory 属性]** を選択します。Google Directory 属性は、**[部門]** である可能性があります。

1. **[終了]** を選択します

1. **IAM アイデンティティセンター**コンソールに戻り、**[次へ]** を選択します。**[レビューと確定]** ページで情報を確認し、表示されたスペースに **[ACCEPT]** と入力します。**[IDソースの変更]** を選択します。

これで、Google Workspace で Amazon Web Services アプリを有効化して、ユーザーを IAM アイデンティティセンターにプロビジョニングする準備ができました。

## ステップ 3: Google Workspace: アプリを有効にする
<a name="gs-gwp-step3"></a>

1. **Google 管理者コンソール**と AWS IAM アイデンティティセンター アプリケーションに戻ります。アプリケーションとウェブ****およびモバイルアプリにあります。 ****

1. **[ユーザーアクセス]** の横にある **[ユーザーアクセス]** パネルで、下矢印を選択して **[ユーザーアクセス]** を展開し、**[サービスのステータス]** パネルを表示します。

1. **[サービスのステータス]** パネルで **[全員オン]** を選択し、次に **[保存]** を選択します。

**注記**  
最小特権の原則を維持するために、このチュートリアルの完了後、**[サービスのステータス]** を **[全員オフ]** に変更することをお勧めします。 AWS にアクセスする必要のあるユーザーのみに対して、このサービスを有効にしてください。Google Workspace グループまたは組織単位を使用して、ユーザーの特定のサブセットへのアクセス権をユーザーに付与できます。

## ステップ 4: IAM Identity Center: IAM アイデンティティセンターの自動プロビジョニングを設定する
<a name="gs-gwp-step4"></a>

1. IAM アイデンティティセンターコンソールに戻ります。

1. **[設定]** ページで、**[自動プロビジョニング]** 情報ボックスを探し、**[有効化]** を選択します。これにより、すぐに IAM アイデンティティセンターの自動プロビジョニングが有効になり、必要なエンドポイントとアクセストークンの情報が表示されます。

1. **[インバウンド自動プロビジョニング]** ダイアログボックスで、以下のオプションの値をそれぞれコピーします。このチュートリアルのステップ 5 では、Google Workspace でこれらの値を入力して自動プロビジョニングを設定します。

   1. **SCIM エンドポイント** - 例:
      + IPv4`https://scim.Region.amazonaws.com/11111111111-2222-3333-4444-555555555555/scim/v2`
      + デュアルスタック`https://scim.Region.api.aws/11111111111-2222-3333-4444-555555555555/scim/v2`

   1. **[アクセストークン]** - **[トークンを表示]** を選択して値をコピーします。
**警告**  
SCIM エンドポイントとアクセストークンを取得できるタイミングは、この時のみです。先に進む前に、これらの値をコピーしておいてください。

1. [**閉じる**] を選択してください。

   IAM アイデンティティセンターコンソールでプロビジョニングを設定したので、次のステップでは、Google Workspace で自動プロビジョニングを設定します。

## ステップ 5: Google Workspace: 自動プロビジョニングを設定する
<a name="gs-gwp-step5"></a>

1. Google 管理者コンソールに戻り、**[アプリ]** と **[Web およびモバイルアプリ]** の下にある AWS IAM アイデンティティセンター アプリケーションを確認します。**[自動プロビジョニング]** セクションで、**[自動プロビジョニングの設定]** を選択します。

1. 前の手順で、IAM アイデンティティセンターコンソールで **[アクセストークン]** の値をコピーしました。その値を **[アクセストークン]** フィールドに貼り付け、**[続行]** を選択します。また、前の手順で、IAM アイデンティティセンターコンソールで **[SCIM エンドポイント]** の値をコピーしました。その値を **[エンドポイント URL]** フィールドに貼り付け、**[続行]** を選択します。

1. すべての必須の IAM アイデンティティセンター属性 (\$1 の付いた属性) が Google Cloud Directory 属性にマップされていることを確認します。そうでない場合は、下矢印を選択して適切な属性にマップします。[**続行**] をクリックしてください。

1. **[プロビジョニング範囲]** セクションでは、Amazon Web Services アプリへのアクセスを付与する Google Workspace ディレクトリを含むグループを選択できます。このステップをスキップして **[続行]** を選択します。

1. **[プロビジョニング解除]** セクションでは、ユーザーのアクセス権取り消しにつながるさまざまなイベントへの対応方法を選択できます。状況ごとに、プロビジョニング解除を開始するまでの時間を指定できます。
   + 24 時間以内
   + 1 日後
   + 7 日後
   + 30 日後

   それぞれの状況には、アカウントのアクセスを一時停止するタイミングとアカウントを削除するタイミングがあります。
**ヒント**  
ユーザーのアカウントを削除するまでの時間は、必ずユーザーのアカウントを停止するよりも長く設定してください。

1. [**Finish**] を選択してください。Amazon Web Services アプリページに戻ります。

1. **[自動プロビジョニング]** セクションで、トグルスイッチを操作して **[非アクティブ]** から **[アクティブ]** に変更します。
**注記**  
IAM Identity Center がユーザーに対して有効になっていない場合、アクティベーションスライダーは無効になります。**[ユーザーアクセス]** を選択し、アプリをオンにしてスライダーを有効にします。

1. 確認ダイアログボックスで **[オンにする]** をクリックします。

1. ユーザーが IAM Identity Center と正常に同期されたことを確認するには、IAM Identity Center コンソールに戻り、**[ユーザー]** を選択します。**[ユーザー]** ページには、SCIM によって作成された Google Workspace ディレクトリのユーザーが一覧表示されます。ユーザーがまだリストに表示されていない場合は、プロビジョニングがまだ進行中である可能性があります。プロビジョニングには最長で 24 時間かかることがありますが、ほとんどの場合、数分以内に完了します。ブラウザウィンドウは数分おきに更新してください。

   ユーザーを選択し、その詳細を確認します。表示される情報が Google Workspace ディレクトリ内の情報と一致しているか確認すること。

**お疲れ様でした。**  
Google Workspace と の間の SAML 接続を正常にセットアップ AWS し、自動プロビジョニングが機能していることを検証しました。**[IAM Identity Center]** でこれらのユーザーをアカウントおよびアプリケーションに割り当てることができるようになりました。このチュートリアルでは、次のステップで、管理アカウントへの管理アクセス許可を付与して、ユーザーの 1 人を IAM アイデンティティセンター管理者として指定しましょう。

## アクセスコントロールの属性を渡す - *オプション*
<a name="gwp-passing-abac"></a>

IAM Identity Center の [アクセスコントロールの属性](attributesforaccesscontrol.md) 機能をオプションで使用して、`Name` 属性を `https://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey}` に設定した `Attribute` 要素を渡すことができます。この要素を使用すると、SAML アサーションでセッションタグとして属性を渡すことができます。セッションタグの詳細については、「*IAM ユーザーガイド*」の「[AWS STSでのタグ付けの規則 ](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_session-tags.html)」を参照してください。

属性をセッションタグとして渡すには、タグの値を指定する `AttributeValue` 要素を含めます。例えば、タグのキーバリューのペア `CostCenter = blue` を渡すには、次のような属性を使用します。

```
<saml:AttributeStatement>
<saml:Attribute Name="https://aws.amazon.com/SAML/Attributes/AccessControl:CostCenter">
<saml:AttributeValue>blue
</saml:AttributeValue>
</saml:Attribute>
</saml:AttributeStatement>
```

複数の属性を追加する必要がある場合は、各タグに個別の `Attribute` 要素を含めます。

## へのアクセスを割り当てる AWS アカウント
<a name="gs-gwp-acct-access"></a>

以下の手順は、 へのアクセスのみを許可するために必要です AWS アカウント 。これらのステップは、 AWS アプリケーションへのアクセスを許可するためには必要ありません。

**注記**  
このステップを完了するには、IAM アイデンティティセンターの組織インスタンスが必要です。詳細については、「[IAM アイデンティティセンターの組織インスタンスとアカウントインスタンス](identity-center-instances.md)」を参照してください。

### ステップ 1: IAM アイデンティティセンター: Google Workspace ユーザーにアカウントへのアクセスを付与する
<a name="gs-gwp-step6"></a>

1. **IAM アイデンティティセンター**コンソールに戻ります。IAM アイデンティティセンターのナビゲーションペインの **[マルチアカウントのアクセス許可]** で、**[AWS アカウント]** を選択します。

1. **AWS アカウント** ページの **[組織構造]** には、組織のルートと、その下にあるアカウントが階層内で表示されます。管理アカウントのチェックボックスをオンにし、**[ユーザーまたはグループを割り当て]** を選択します。

1. **[ユーザーとグループを割り当てる]** のワークフローが表示されます。これは、3 つのステップから構成されています。

   1. **[ステップ 1: ユーザーとグループの選択]** では、管理者の職務を実行するユーザーを選択します。次いで、**[次へ]** を選択します。

   1. **[ステップ 2: アクセス許可セットの選択]** では、**[許可セットを作成]** を選択します。新しいタブが開き、アクセス許可セットを作成するための 3 つのサブステップが順を追って表示されます。

      1. **[ステップ 1: 許可セットタイプを選択]** では、以下を完了します。
         + **[許可セットのタイプ]** で、**[事前定義された許可セット]** を選択します。
         + **[事前定義された許可セットのポリシー]** で **[AdministratorAccess]** を選択します。

         [**次へ**] を選択します。

      1. **[ステップ 2: 許可セットの詳細を指定]** では、デフォルト設定のままで、**[次へ]** を選択します。

         デフォルト設定では、*AdministratorAccess* という名前の許可セットが作成され、セッション期間は 1 時間に設定されます。

      1. **[ステップ 3: 確認して作成]** では、**[許可セットのタイプ]** が AWS 管理ポリシー **[AdministratorAccess]** を使用していることを確認します。**[作成]** を選択します。**[アクセス許可セット]** ページに、アクセス許可セットが作成されたことを知らせる通知が表示されます。この時点で、ウェブブラウザでこのタブを閉じてもかまいません。

      1. **[ユーザーとグループを割り当てる]** ブラウザタブでは、**[ステップ 2: 許可セットを選択]** でアクセス許可セットの作成ワークフローを開始した状態のままになっています。

      1. **[アクセス許可セット]** 領域で、**[更新]** ボタンを選択します。作成した *AdministratorAccess* 許可セットがリストに表示されます。そのアクセス許可セットのチェックボックスを選択したら、**[次へ]** を選択します。

   1. **[ステップ 3: 確認と送信]** では、選択したユーザーとアクセス許可セットを確認し、**[送信]** を選択します。

      ページが更新され、 AWS アカウント が設定されているというメッセージが表示されます。プロセスが完了するまで待ちます。

       AWS アカウント ページに戻ります。が再プロビジョニングされ、更新されたアクセス許可セットが適用され AWS アカウント たことを通知する通知メッセージが表示されます。ユーザーはサインインすると、*[AdministratorAccess]* ロールを選択できます。
**注記**  
Google Workspace からの SCIM 自動同期は、ユーザーのプロビジョニングのみをサポートしています。現在、自動グループプロビジョニングはサポートされていません。 AWS マネジメントコンソールを使用して Google Workspace ユーザーのグループを作成することはできません。ユーザーをプロビジョニングした後、 AWS CLI Identity Store [の create-group](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/identitystore/create-group.html) コマンドまたは IAM API [CreateGroup](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateGroup.html) を使用してグループを作成できます。

### ステップ 2: Google Workspace: Google Workspace ユーザーが AWS リソースにアクセスできることを確認する
<a name="gs-gwp-step7"></a>

1. テストユーザーアカウントを使用して Google にサインインします。Google Workspace にユーザーを追加する方法については、「[Google Workspace ドキュメント](https://knowledge.workspace.google.com/kb/how-to-create-a-new-user-000007668)」を参照してください。

1. Google apps ランチャー (ワッフル) アイコンを選択します。

1. カスタム Google Workspace アプリが置かれているアプリケーションリストの下部にスクロールします。**Amazon Web Services** アプリが表示されます。

1. **Amazon Web Services** アプリを選択します。 AWS アクセスポータルにサインインすると、 AWS アカウント アイコンが表示されます。そのアイコンを展開すると、 AWS アカウント ユーザーがアクセスできる のリストが表示されます。このチュートリアルでは 1 つのアカウントしか使用していなかったため、アイコンを展開しても 1 つのアカウントしか表示されません。

1. アカウントを選択すると、そのユーザーが利用可能なアクセス許可セットが表示されます。このチュートリアルでは、**AdministratorAccess** 許可セットを作成しました。

1. アクセス許可セットの横には、その許可セットで利用できるアクセスの種類を示すリンクがあります。アクセス許可セットを作成したときに、管理コンソールとプログラムによるアクセスの両方を有効にするように指定したので、これら 2 つのオプションが表示されます。**[管理コンソール]** を選択して AWS マネジメントコンソールを開きます。

1. ユーザーはコンソールにサインインしています。

## 次の手順
<a name="gs-gwp-next-steps"></a>

Google Workspace を ID プロバイダーとして設定し、IAM アイデンティティセンターにユーザーをプロビジョニングしたので、次のことが可能になります。
+  AWS CLI Identity Store の [create-group](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/identitystore/create-group.html) コマンドまたは IAM API [CreateGroup](https://docs.aws.amazon.com/singlesignon/latest/IdentityStoreAPIReference/API_CreateGroup.html) を使用して、ユーザーのグループを作成します。

  グループは、 AWS アカウント および アプリケーションへのアクセスを割り当てる場合に便利です。各ユーザーを個別に割り当てるのではなく、グループに権限を与えます。その後、グループにユーザーを追加したり削除したりすると、そのユーザーはグループに割り当てられたアカウントやアプリケーションへのアクセス権を動的に得たり、失ったりします。
+ 職務に基づいてアクセス許可を設定します。「[アクセス許可セットの作成](howtocreatepermissionset.md)」を参照してください。

  アクセス権限セットは、ユーザーおよびグループが持つこの AWS アカウントアカウントに対するアクセスのレベルを定義します。権限セットは IAM Identity Center に保存され、1 つまたは複数の AWS アカウントにプロビジョニングできます。複数のアクセス権限セットを 1 人のユーザーに割り当てることができます。

**注記**  
IAM アイデンティティセンターの管理者として、古い IdP 証明書を新しい証明書に置き換える必要がある場合があります。例えば、IdP 証明書の有効期限が近づいている場合は、証明書を交換する必要があります。古い証明書を新しい証明書に置き換えるプロセスは、証明書のローテーションと呼ばれています。Google Workspace については、[SAML 証明書の管理](managesamlcerts.md)方法を必ず確認してください。

## トラブルシューティング
<a name="gs-gwp-troubleshooting"></a>

Google Workspace を使用した一般的な SCIM および SAML のトラブルシューティングについては、以下のセクションを参照してください。
+ [特定のユーザーが、外部の SCIM プロバイダーからの IAM Identity Center に同期できません](troubleshooting.md#issue2)
+ [IAM Identity Center によって作成された SAML アサーションの内容に関する問題](troubleshooting.md#issue1)
+ [外部 ID プロバイダーを使用してユーザーまたはグループをプロビジョニングする際の重複ユーザーまたはグループのエラー](troubleshooting.md#duplicate-user-group-idp)
+ Google Workspace に関するトラブルシューティングについては、[Google Workspace ドキュメント](https://support.google.com/a/topic/7579248?sjid=11091727091254312767-NA)を参照してください。

以下のリソースは、作業中のトラブルシューティングに役立ちます AWS。
+ [AWS re:Post](https://repost.aws/) — 問題のトラブルシューティングに役立つ FAQ やその他のリソースへのリンクを検索できます。
+ [AWS サポート](https://aws.amazon.com/premiumsupport/) - テクニカルサポートを受ける