翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# Okta および IAM アイデンティティセンターによる SAML と SCIM の設定
<a name="gs-okta"></a>

[System for Cross-domain Identity Management (SCIM) v2.0 プロトコル](scim-profile-saml.md#scim-profile)を使用して、Okta からのユーザーとグループの情報を IAM アイデンティティセンターに自動的にプロビジョニングまたは同期できます。詳細については、「[外部 ID プロバイダーで SAML および SCIM ID フェデレーションを使用する](other-idps.md)」を参照してください。

この接続を Okta で設定するには、IAM Identity Center 用の SCIM エンドポイントと、IAM Identity Center で自動的に作成されるベアラートークンを使用します。SCIM 同期を設定すると、Okta のユーザー属性と IAM Identity Center の名前付き属性のマッピングが作成されます。これにより、想定されるユーザー属性を IAM アイデンティティセンターと Okta アカウントの間でマッチングします。

SCIM を介して IAM アイデンティティセンターに接続した場合、Okta は以下のプロビジョニング機能をサポートします。
+ ユーザーの作成 — Okta で IAM Identity Center アプリケーションに割り当てられたユーザーは IAM ID センターでプロビジョニングされます。
+ ユーザー属性の更新 — Okta で IAM Identity Center に割り当てられているユーザーの属性変更は、IAM Identity Center で更新されます。
+ ユーザーの無効化 — Okta で IAM Identity Center から割り当てられていないユーザーは、IAM Identity Center では無効になります。
+ グループプッシュ — Okta のグループ (およびそのメンバー) は、IAM Identity Center に同期されます。
**注記**  
Okta と IAM アイデンティティセンターの両方で管理上のオーバーヘッドを最小限に抑えるために、個々のユーザーではなくグループを割り当てを行い、*プッシュする*ことをお勧めします。
+ ユーザーのインポート – ユーザーは IAM Identity Center から にインポートできますOkta。

**目的**

このチュートリアルでは、Okta IAM アイデンティティセンターとの SAML 接続をセットアップする手順を順を追って説明します。後で、SCIM を使用して Okta からのユーザーを同期します。このシナリオでは、Okta 内のすべてのユーザーとグループを管理します。ユーザーは Okta ポータルを通じてサインインします。すべてが正しく設定されていることを確認するには、設定ステップを完了すると、 Okta ユーザーとしてサインインし、 AWS リソースへのアクセスを確認します。

SAML 経由で IAM Identity Center Oktaに接続する場合、次の機能がサポートされています。
+ IdP が開始した SAML サインイン – ユーザーはOktaポータルからサインインし、IAM Identity Center にアクセスします。
+ SP が開始した SAML サインイン – ユーザーは AWS アクセスポータルにアクセスし、Oktaポータルを介してサインインするようにリダイレクトされます。

**注記**  
Okta's [IAM アイデンティティセンターアプリケーション](https://www.okta.com/integrations/aws-single-sign-on/)がインストールされている Okta アカウント ([無料トライアル](https://www.okta.com/free-trial/)) にサインアップできます。有料の Okta 製品の場合は、Okta のライセンスが*ライフサイクル管理*やアウトバウンドプロビジョニングを可能にする同様の機能をサポートしているかどうかを確認する必要があるかもしれません。これらの機能は、Okta から IAM Identity Center に SCIM を設定する際に必要となる場合があります。  
IAM アイデンティティセンターをまだ有効にしていない場合は、「[IAM Identity Center を有効にする](enable-identity-center.md)」を参照してください。

## 考慮事項
<a name="gs-okta-considerations"></a>
+ Okta と IAM アイデンティティセンター間で SCIM プロビジョニングを設定する前に、まず「[自動プロビジョニングを使用する際の注意事項](provision-automatically.md#auto-provisioning-considerations)」を確認することをお勧めします。
+ すべての Okta ユーザーにおいて、**[名]**、**[姓]**、**[ユーザー名]**、**[表示名]** の値を指定する必要があります。
+ 各 Okta ユーザーには、E メールアドレスや電話番号などのデータ属性ごとに 1 つの値のみが割り当てられます。複数の値を持つユーザーは同期に失敗します。属性に複数の値を持つユーザーがいる場合は、IAM アイデンティティセンターでユーザーをプロビジョニングする前に、重複する属性を削除してください。例えば、同期できる電話番号属性は 1 つだけです。デフォルトの電話番号属性は「勤務先の電話」なので、ユーザーの電話番号が自宅の電話でも携帯電話でも、「勤務先の電話」属性を使用してユーザーの電話番号を保存します。
+  IAM アイデンティティセンターで Okta を使用する場合、IAM アイデンティティセンターは一般的に Okta のアプリケーションとして設定されます。これにより、Okta の単一のインスタンス内で複数の AWS Organizations へのアクセスをサポートする複数のアプリケーションとして、IAM アイデンティティセンターの複数のインスタンスを設定できます。
+ 資格とロール属性はサポートされていないため、IAM アイデンティティセンターと同期できません。
+ 同じ Okta グループを割り当てとグループプッシュの両方に使用することは、現在サポートされていません。Okta と IAM アイデンティティセンターの間で一貫したグループメンバーシップを維持するためには、別のグループを作成し、IAM アイデンティティセンターにグループをプッシュするように設定する必要があります。
+ IAM Identity Center を追加のリージョンにレプリケートした場合は、ID プロバイダーの設定を更新して、 AWS マネージドアプリケーションへのアクセスと追加のリージョン AWS アカウント を介したアクセスを有効にする必要があります。前提条件を含む詳細については、「」を参照してください[複数の で IAM Identity Center を使用する AWS リージョン](multi-region-iam-identity-center.md)。Okta 固有の手順については、「」を参照してください。 [Okta 追加のリージョンにアクセスするための設定](#gs-okta-multi-region)

## ステップ 1: Okta: Okta アカウントから SAML メタデータを取得する
<a name="gs-okta-step1"></a>

1. Okta admin dashboard にログインして **[アプリケーション]** を展開し、**[アプリケーション]** を選択します。

1. **[Applications]** (アプリケーション) ページで、**[Browse App Catalog]** (アプリケーションカタログを参照) を選択します。

1. 検索ボックスに「」と入力し** AWS IAM アイデンティティセンター**、IAM Identity Center アプリを追加するアプリを選択します。

1. **[サインオン]** タブを選択します。

1. **[SAML 署名証明書]** で、**[アクション]** を選択し、**[IdP メタデータの表示]** を選択します。新しいブラウザタブが開き、XML ファイルのドキュメントツリーが表示されます。`<md:EntityDescriptor>` から `</md:EntityDescriptor>` まで XML をすべて選択し、テキストファイルにコピーします。

1. `metadata.xml` としてテキストファイルを保存します。

Okta admin dashboard は開いたままにしておき、後のステップでもそのコンソールを引き続き使用します。

## ステップ 2: IAM Identity Center: Okta を IAM アイデンティティセンターの ID ソースとして設定する
<a name="gs-okta-step2"></a>

1. 管理者権限を持つユーザーとして [IAM アイデンティティセンターコンソール](https://console.aws.amazon.com/singlesignon)を開きます。

1. 左側のナビゲーションペインの **[設定]** を選択します。

1. **[設定]** ページで **[アクション]** タブを選択し、**[ID ソースを変更]** を選択します。

1. **[ID ソースの選択]** で **[外部 ID プロバイダー]** を選択し、**[次へ]** を選択します。

1. **[外部 ID プロバイダーの設定]** で、次の操作を行います。

   1. **サービスプロバイダーメタデータ**で、以下の項目をテキストファイルにコピーして簡単にアクセスできるようにします。
      + **IAM Identity Center Assertion Consumer Service (ACS) URL** – IPv4-onlyとデュアルスタックの ACS URLs を選択できます。また、IAM Identity Center インスタンスが複数のリージョンで有効になっている場合、追加の各リージョンには独自の IPv4-onlyおよびデュアルスタックの ACS URLs。ACS URLs「」を参照してください[プライマリおよび追加の ACS エンドポイント AWS リージョン](multi-region-workforce-access.md#acs-endpoints)。
      + **[IAM アイデンティティセンター発行者 URL]**

      これらの値は、このチュートリアルの後半で必要になります。

   1. **[ID プロバイダーからのメタデータ]** の **[IdP SAML メタデータ]** で **[ファイルの選択]** を選択し、前の手順で作成した `metadata.xml` ファイルを選択します。

   1. [**次へ**] を選択します。

1. 免責事項を読み、次に進む準備ができたら、**[ACCEPT]** (許諾) を押してください。

1. **[Change identity source]** (ID ソースの変更) を選択します。

    AWS コンソールを開いたままにしておき、次のステップでこのコンソールを引き続き使用します。

1. に戻りOkta admin dashboard、 AWS IAM アイデンティティセンター アプリの**サインオン**タブを選択し、**編集**を選択します。

1. **[詳細なサインオン設定]** で、次のように入力します。
   + **ACS URL** には、**IAM Identity Center Assertion Consumer Service (ACS) URL** にコピーした値 (複数可) を入力します。プライマリリージョンの ACS URL をデフォルトとして使用して、ユーザーが から Amazon Web Services アプリケーションを起動するときにプライマリリージョンにリダイレクトされるようにできますOkta。
   + (オプション) IAM Identity Center を追加のリージョンにレプリケートした場合は、追加のリージョンごとに AWS アクセスポータルOktaのブックマークアプリを に作成することもできます。これにより、ユーザーは から追加のリージョンの AWS アクセスポータルにアクセスできますOkta。でブックマークアプリケーションにアクセスするためのアクセス許可をユーザーに付与してくださいOkta。詳細については、「 [Oktaドキュメント](https://support.okta.com/help/s/article/create-a-bookmark-app)」を参照してください。後で IAM アイデンティティセンターを追加のリージョンにレプリケートする予定がある場合は、この初期設定後に追加のリージョンへのアクセスを有効にする方法について、[Okta 追加のリージョンにアクセスするための設定](#gs-okta-multi-region)「」を参照してください。
   + **[発行者 URL]** には、**[IAM アイデンティティセンターの発行者 URL]** でメモしておいた値を入力します。
   +  **[アプリケーションのユーザー名形式]** で、メニューからいずれかのオプションを選択します。

     選択する値が各ユーザーに固有となることを確認します。このチュートリアルでは、**[Okta ユーザー名]** を選択します。

1. **[保存]** を選択します。

これで、Okta から IAM アイデンティティセンターにユーザーをプロビジョニングする準備が整いました。Okta admin dashboard を開いたままにして、IAM アイデンティティセンターコンソールに戻って次の手順に進みます。

## ステップ 3: IAM アイデンティティセンターと Okta: Okta ユーザーをプロビジョニングする
<a name="gs-okta-step3"></a>

1. IAM アイデンティティセンターコンソールの **[設定]** ページで、**[自動プロビジョニング]** 情報ボックスを見つけて、**[有効にする]** を選択します。これにより、IAM アイデンティティセンターの自動プロビジョニングが有効になり、必要な SCIM エンドポイントとアクセストークンの情報が表示されます。

1. **[インバウンド自動プロビジョニング]** ダイアログボックスで、以下のオプションの値をそれぞれコピーします。

   1. **SCIM エンドポイント** - エンドポイント形式は設定によって異なります。
      + IPv4: https://scim.*us-east-2*.amazonaws.com/*111111111-2222-3333-4444-55555555555555/*scim/v2
      + デュアルスタック: https://scim.*us-east-2*.api.aws/*11111111111-2222-3333-4444-55555555555555/*scim/v2

   1. **[アクセストークン]** - **[トークンを表示]** を選択して値をコピーします。
**警告**  
SCIM エンドポイントとアクセストークンを取得できるタイミングは、この時のみです。先に進む前に、これらの値をコピーしておいてください。このチュートリアルの後半で、Okta でこれらの値を入力してプロビジョニングを設定します。

1. [**閉じる**] を選択してください。

1. Okta admin dashboard に戻り、IAM アイデンティティセンターアプリに移動します。

1. **[IAM アイデンティティセンターアプリ]** ページで、**[プロビジョニング]** タブを選択し、左側のナビゲーションペインにある **[設定]** の下で **[統合]** を選択します。

1. **[編集]** を選択し、**[API 統合を有効にする]** の横にあるチェックボックスを選択して自動プロビジョニングを有効にします。

1. このステップの前半でコピー AWS IAM アイデンティティセンター した の SCIM プロビジョニング値Oktaを使用して を設定します。

   1. **[ベース URL]** フィールドに **[SCIM エンドポイント]** の値を入力します。

   1. **[API トークン]** フィールドに、**[アクセストークン]** の値を入力します。

1. **[Test API Credentials]** (API 認証情報をテストする) を選択して、入力された認証情報が有効であることを確認します。

   **[AWS IAM アイデンティティセンター は正常に検証されました]** というメッセージが表示されます。

1. **[保存]** を選択します。引き続き **[統合]** が選択されている状態で、**[設定]** セクションに移動します。

1. **[設定]** の下で **[アプリへ]** を選択し、**[アプリへのプロビジョニング]** の有効にしたい各項目について **[有効にする]** チェックボックスをオンにします。このチュートリアルでは、すべてのオプションを選択します。

1. **[保存]** を選択します。

これで、IAM アイデンティティセンターでユーザーを Okta から同期する準備が整いました。

## ステップ 4: Okta: Okta から IAM アイデンティティセンターとユーザーを同期する
<a name="gs-ok-step4"></a>

デフォルトでは、Okta IAM アイデンティティセンターアプリにはグループやユーザーは割り当てられていません。プロビジョニンググループは、グループのメンバーであるユーザーをプロビジョニングします。グループとユーザーを と同期するには、次の手順を実行します AWS IAM アイデンティティセンター。

1. **[Okta IAM アイデンティティセンターアプリ]** ページで **[割り当て]** タブを選択します。IAM アイデンティティセンターアプリにはユーザーとグループの両方を割り当てることができます。

   1. ユーザーを割り当てるには:
      + **[割り当て]** ページで、**[割り当てる]** を選択し、**[人に割り当てる]** を選択します。
      + IAM アイデンティティセンターアプリへのアクセスを付与する Okta ユーザーを選択します。**[Assign]** (割り当て)、**[Save and Go Back]** (保存して戻る)、**[Done]** (完了) の順に選択します。

      これにより、IAM アイデンティティセンターへのユーザーのプロビジョニングプロセスが開始されます。

   1. グループを割り当てるには:
      + **[割り当て]** ページで、**[割り当てる]** を選択し、**[グループに割り当てる]** を選択します。
      + IAM アイデンティティセンターアプリへのアクセスを付与する Okta グループを選択します。**[Assign]** (割り当て)、**[Save and Go Back]** (保存して戻る)、**[Done]** (完了) の順に選択します。

      これにより、IAM Identity Center へのグループ内のユーザーのプロビジョニングプロセスが開始されます。
**注記**  
グループに追加の属性がすべてのユーザーレコードに含まれていない場合は、その属性を指定する必要がある場合があります。グループに指定された属性は、個々の属性値よりも優先されます。

1. **[Push Groups]** (プッシュグループ) タブを選択します。IAM アイデンティティセンターと同期する Okta グループを選択します。**[保存]** を選択します。

   グループとそのメンバーが IAM アイデンティティセンターに正常にプッシュされると、グループのステータスが **[アクティブ]** に変わります。

1. **[割り当て]** タブに戻ります。

1. IAM アイデンティティセンターに個別の Okta ユーザーを追加するには、次の手順を実行します。

   1. **[Assignments]** (割り当て) ページで、**[Assign]** (割り当て) を選択し、**[Assign to People]** (人に割り当てる) を選択します。

   1. IAM アイデンティティセンターアプリへのアクセスを付与する Okta ユーザーを選択します。**[Assign]** (割り当て)、**[Save and Go Back]** (保存して戻る)、**[Done]** (完了) の順に選択します。

      これにより、IAM アイデンティティセンターへの個人ユーザーのプロビジョニングプロセスが開始されます。
**注記**  
の AWS IAM アイデンティティセンター アプリケーション****ページから、アプリにユーザーとグループを割り当てることもできますOkta admin dashboard。これを行うには、**[設定]** アイコンを選択し、**[ユーザーに割り当てる]** または **[グループに割り当てる]** を選択し、ユーザーまたはグループを指定します。

1. IAM アイデンティティセンターコンソールに戻ります。左側のナビゲーションで **[ユーザー]** を選択すると、Okta ユーザーが入力したユーザーリストが表示されます。

**お疲れ様でした。**  
Okta と の間の SAML 接続を正常にセットアップ AWS し、自動プロビジョニングが機能していることを検証しました。**[IAM Identity Center]** でこれらのユーザーをアカウントおよびアプリケーションに割り当てることができるようになりました。このチュートリアルでは、次のステップで、管理アカウントへの管理アクセス許可を付与して、ユーザーの 1 人を IAM アイデンティティセンター管理者として指定しましょう。

## アクセスコントロールの属性を渡す - *オプション*
<a name="okta-passing-abac"></a>

IAM Identity Center の [アクセスコントロールの属性](attributesforaccesscontrol.md) 機能をオプションで使用して、`Name` 属性を `https://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey}` に設定した `Attribute` 要素を渡すことができます。この要素を使用すると、SAML アサーションでセッションタグとして属性を渡すことができます。セッションタグの詳細については、「*IAM ユーザーガイド*」の「[AWS STSでのタグ付けの規則 ](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_session-tags.html)」を参照してください。

属性をセッションタグとして渡すには、タグの値を指定する `AttributeValue` 要素を含めます。例えば、タグのキーバリューのペア `CostCenter = blue` を渡すには、次のような属性を使用します。

```
<saml:AttributeStatement>
<saml:Attribute Name="https://aws.amazon.com/SAML/Attributes/AccessControl:CostCenter">
<saml:AttributeValue>blue
</saml:AttributeValue>
</saml:Attribute>
</saml:AttributeStatement>
```

複数の属性を追加する必要がある場合は、各タグに個別の `Attribute` 要素を含めます。

## へのアクセスを割り当てる AWS アカウント
<a name="gs-okta-acct-access"></a>

以下の手順は、 へのアクセスのみを許可するために必要です AWS アカウント 。これらのステップは、 AWS アプリケーションへのアクセスを許可するためには必要ありません。

**注記**  
このステップを完了するには、IAM アイデンティティセンターの組織インスタンスが必要です。詳細については、「[IAM アイデンティティセンターの組織インスタンスとアカウントインスタンス](identity-center-instances.md)」を参照してください。

### ステップ 1: IAM アイデンティティセンター: Okta ユーザーにアカウントへのアクセスを付与する
<a name="gs-okta-step5"></a>

1. IAM アイデンティティセンターのナビゲーションペインの **[マルチアカウントのアクセス許可]** で、**[AWS アカウント]** を選択します。

1. **AWS アカウント** ページの **[組織構造]** には、組織のルートと、その下にあるアカウントが階層内で表示されます。管理アカウントのチェックボックスをオンにし、**[ユーザーまたはグループを割り当て]** を選択します。

1. **[ユーザーとグループを割り当てる]** のワークフローが表示されます。これは、3 つのステップから構成されています。

   1. **[ステップ 1: ユーザーとグループの選択]** では、管理者の職務を実行するユーザーを選択します。次いで、**[次へ]** を選択します。

   1. **[ステップ 2: 許可セットの選択]** で、**[許可セットを作成する]** を選択します。新しいタブが開き、許可セットを作成するための 3 つの手順が順に表示されます。

      1. **[ステップ 1: 許可セットタイプを選択]** では、以下を完了します。
         + **[許可セットのタイプ]** で、**[事前定義された許可セット]** を選択します。
         + **[事前定義された許可セットのポリシー]** で **[AdministratorAccess]** を選択します。

         [**次へ**] を選択します。

      1. **[ステップ 2: 許可セットの詳細を指定]** では、デフォルト設定のままで、**[次へ]** を選択します。

         デフォルト設定では、*AdministratorAccess* という名前の許可セットが作成され、セッション期間は 1 時間に設定されます。

      1. **ステップ 3: 確認して作成**するには、**アクセス許可セットタイプ**が AWS 管理ポリシー **AdministratorAccess** を使用していることを確認します。**[作成]** を選択します。**[許可セット]** ページに、許可セットが作成されたことを知らせる通知が表示されます。この時点で、ウェブブラウザでこのタブを閉じてもかまいません。

      **[ユーザーとグループを割り当てる]** ブラウザタブでは、**[ステップ 2: 許可セットを選択]** でアクセス許可セットの作成ワークフローを開始した状態のままになっています。

      **[アクセス許可セット]** 領域で、**[更新]** ボタンを選択します。作成した *AdministratorAccess* 許可セットがリストに表示されます。そのアクセス許可セットのチェックボックスを選択したら、**[次へ]** を選択します。

   1. **[ステップ 3: 確認と送信]** では、選択されているユーザと許可セットを確認して、**[送信]** を選択します。

      ページ AWS アカウント が更新され、 が設定されているというメッセージが表示されます。プロセスが完了するまで待ちます。

       AWS アカウント ページに戻ります。通知メッセージは、 AWS アカウント が再プロビジョニングされ、更新されたアクセス許可セットが適用されたことを通知します。ユーザーがサインインすると、*AdministratorAccess* ロールを選択できます。

### ステップ 2: Okta: Okta ユーザーが AWS リソースにアクセスできることを確認する
<a name="w2aac15c23c33b9"></a>

1. テストアカウントを使用して Okta dashboard にサインインします。

1. **[マイアプリ]** で、AWS IAM アイデンティティセンター アイコンを選択します。

1.  AWS アカウント アイコンが表示されます。そのアイコンを展開すると、 AWS アカウント ユーザーがアクセスできる のリストが表示されます。このチュートリアルでは 1 つのアカウントしか使用していなかったため、アイコンを展開しても 1 つのアカウントしか表示されません。

1. アカウントを選択すると、そのユーザーが利用可能なアクセス許可セットが表示されます。このチュートリアルでは、**AdministratorAccess** 許可セットを作成しました。

1. アクセス許可セットの横には、その許可セットで利用できるアクセスの種類を示すリンクがあります。アクセス許可セットの作成時に、 AWS マネジメントコンソール とプログラムによるアクセスの両方へのアクセスを指定しました。**[管理コンソール]** を選択して AWS マネジメントコンソールを開きます。

1. ユーザーは、 AWS マネジメントコンソールにサインインされます。

 AWS アクセスポータルを使用することもできます。これにより、 AWS アクセスOktaポータルに移動する前に、ポータルからサインインするようにリダイレクトされます。このパスは、SP が開始した SAML サインインフローに従います。

## Okta IAM アイデンティティセンターの追加リージョンにアクセスするための設定 - オプション
<a name="gs-okta-multi-region"></a>

IAM Identity Center を追加のリージョンにレプリケートした場合は、ID プロバイダーの設定を更新して、 AWS マネージドアプリケーションおよび追加のリージョン AWS アカウント 経由でアクセスできるようにする必要があります。以下の手順では、手順について説明します。前提条件を含むこのトピックの詳細については、「」を参照してください[複数の で IAM Identity Center を使用する AWS リージョン](multi-region-iam-identity-center.md)。

1. URLs を取得します[プライマリおよび追加の ACS エンドポイント AWS リージョン](multi-region-workforce-access.md#acs-endpoints)。

1. Okta 管理ダッシュボードのナビゲーションペインで、アプリケーションを選択し****、展開されたリストで**アプリケーション**を再度選択します。

1. **AWS IAM アイデンティティセンター** アプリケーションを選択します。

1. **[Sign On]** タブを選択します。

1. **高度なサインオン設定**、**およびその他のリクエスト可能な SSO URLs**で、追加のリージョンの ACS URL ごとに**別の を追加** を選択し、ACS URL をテキストフィールドに貼り付けます。

1. ACS URLs の追加が完了したら、**AWS IAM アイデンティティセンター**アプリケーションを保存します。

1. 追加のリージョンごとに、 AWS アクセスポータルOktaのブックマークアプリを に作成できます。これにより、ユーザーは から追加のリージョンの AWS アクセスポータルにアクセスできますOkta。でブックマークアプリケーションにアクセスするためのアクセス許可をユーザーに付与してくださいOkta。詳細については、「 [Oktaドキュメント](https://support.okta.com/help/s/article/create-a-bookmark-app)」を参照してください。

1. 追加のリージョンごとに AWS アクセスポータルにサインインできることを確認します。[AWS アクセスポータル URLs](multi-region-workforce-access.md#portal-endpoints) に移動するか、 からブックマークアプリを起動しますOkta。

## 次の手順
<a name="gs-okta-next-steps"></a>

Okta を ID プロバイダーとして設定し、IAM アイデンティティセンターにユーザーをプロビジョニングしたので、次のことが可能になります。
+ へのアクセス権を付与するには AWS アカウント、「」を参照してください[ユーザーまたはグループのアクセスを に割り当てる AWS アカウント](assignusers.md)。
+ クラウドアプリケーションへのアクセスを許可し、「[IAM Identity Center コンソールでアプリケーションへのユーザーアクセスを割り当てます。](assignuserstoapp.md)」を参照してください。
+ 職務に基づいてアクセス許可を設定します。「[許可セットの作成](howtocreatepermissionset.md)」を参照してください。

## トラブルシューティング
<a name="gs-okta-troubleshooting"></a>

Okta を使用した一般的な SCIM および SAML のトラブルシューティングについては、以下のセクションを参照してください。
+ [IAM アイデンティティセンターから削除されたユーザーとグループの再プロビジョニング](#reprovisioning-deleted-users-groups)
+ [Okta の自動プロビジョニングエラー](#okta-auto-provisioning-error)
+ [特定のユーザーが、外部の SCIM プロバイダーからの IAM Identity Center に同期できません](troubleshooting.md#issue2)
+ [IAM Identity Center によって作成された SAML アサーションの内容に関する問題](troubleshooting.md#issue1)
+ [外部 ID プロバイダーを使用してユーザーまたはグループをプロビジョニングする際の重複ユーザーまたはグループのエラー](troubleshooting.md#duplicate-user-group-idp)
+ [その他のリソース](#gs-okta-troubleshooting-resources)

### IAM アイデンティティセンターから削除されたユーザーとグループの再プロビジョニング
<a name="reprovisioning-deleted-users-groups"></a>
+ 一旦同期した後に IAM アイデンティティセンターから削除された Okta のユーザーまたはグループを変更しようとすると、Okta コンソールに次のエラーメッセージが表示されることがあります。
  + Automatic profile push of user *Jane Doe* to app AWS IAM アイデンティティセンター failed: Error while trying to push profile update for *jane\$1doe@example.com*: No user returned for user *xxxxx-xxxxxx-xxxxx-xxxxxxx* 
  + リンクされたグループが にありません AWS IAM アイデンティティセンター。Change the linked group to resume pushing group memberships.
+ また、同期後に削除された IAM アイデンティティセンターユーザーまたはグループについて、Okta のシステムログに次のエラーメッセージが表示される場合もあります。
  + Okta Error: Eventfailed application.provision.user.push\$1profile : No user returned for user *xxxxx-xxxxxx-xxxxx-xxxxxxx*
  + Okta エラー: application.provision.group\$1push.mapping.update.or.delete.failed.with.error : リンクされたグループがありません AWS IAM アイデンティティセンター。リンク済みグループを変更して、グループメンバーシップのプッシュを再開します。

**警告**  
SCIM を使用して Okta と IAM アイデンティティセンターを同期している場合は、IAM アイデンティティセンターではなく Okta からユーザーとグループを削除する必要があります。

**削除された IAM アイデンティティセンターユーザーに関するトラブルシューティング**  
削除された IAM アイデンティティセンターユーザーに関する問題に対処するには、そのユーザーをいったん Okta から削除する必要があります。その後、必要に応じてこれらのユーザーを Okta で再作成してください。ユーザーが Okta で再作成されると、SCIM を介して IAM アイデンティティセンターにも再プロビジョニングされます。ユーザ削除の詳細については、「[Okta ドキュメント](https://help.okta.com/en-us/content/topics/users-groups-profiles/usgp-deactivate-user-account.htm)」を参照してください。

**注記**  
IAM アイデンティティセンターへの Okta ユーザーのアクセスを削除する必要がある場合は、まずグループプッシュから削除してから、Okta で割り当てグループを削除する必要があります。これにより、ユーザーは IAM アイデンティティセンターの関連付けられたグループメンバーシップから削除されます。グループプッシュのトラブルシューティングの詳細については、「[Okta ドキュメント](https://help.okta.com/en-us/content/topics/users-groups-profiles/usgp-group-push-troubleshoot.htm)」を参照してください。

**削除された IAM アイデンティティセンターグループに関するトラブルシューティング**  
削除された IAM アイデンティティセンターグループに関する問題に対処するには、そのグループを Okta からいったん削除する必要があります。その後、必要に応じてグループプッシュを使用してそれらのグループを Okta で再作成してください。ユーザーが Okta で再作成されると、SCIM を介して IAM アイデンティティセンターにも再プロビジョニングされます。グループの削除の詳細については、[Okta のドキュメント](https://help.okta.com/oie/en-us/content/topics/users-groups-profiles/usgp-group-push-troubleshoot.htm)を参照してください。

### Okta の自動プロビジョニングエラー
<a name="okta-auto-provisioning-error"></a>

Okta で以下のエラーメッセージが表示された場合、次の操作を行います。

ユーザー Jane Doe からアプリへの自動プロビジョニング AWS IAM アイデンティティセンター に失敗しました: 一致するユーザーが見つかりません

詳細については、「[Okta ドキュメント](https://support.okta.com/help/s/article/aws-iam-identity-center-provisioning-error-automatic-provisioning-of-user-name-of-user-to-app-aws-iam-identity-center-failed-matching-user-not-found?language=en_US)」を参照してください。

### その他のリソース
<a name="gs-okta-troubleshooting-resources"></a>
+ 一般的な SCIM のトラブルシューティングについては、「[IAM Identity Center の問題のトラブルシューティング](troubleshooting.md)」をご覧ください。

以下のリソースは、作業中のトラブルシューティングに役立ちます AWS。
+ [AWS re:Post](https://repost.aws/) — 問題のトラブルシューティングに役立つ FAQ やその他のリソースへのリンクを検索できます。
+ [AWS サポート](https://aws.amazon.com/premiumsupport/) - テクニカルサポートを受ける