翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# Microsoft Entra ID および IAM アイデンティティセンターによる SAML と SCIM の設定
AWS IAM アイデンティティセンター は、[Security Assertion Markup Language (SAML) 2.0 ](scim-profile-saml.md)との統合、およびクロスドメインアイデンティティ管理 (SCIM) 2.0 プロトコルを使用した Microsoft Entra ID (旧称 Azure Active Directoryまたは Azure AD) から IAM アイデンティティセンターへのユーザーおよびグループ情報[の自動プロビジョニング](provision-automatically.md) (同期) をサポートしています。 [SCIM プロファイル](scim-profile-saml.md#scim-profile)詳細については、「[外部 ID プロバイダーで SAML および SCIM ID フェデレーションを使用する](other-idps.md)」を参照してください。
**目的**
このチュートリアルでは、テストラボをセットアップし、Microsoft Entra ID と IAM アイデンティティセンター間の SAML 接続と SCIM プロビジョニングを設定します。最初の準備ステップでは、両方向の SAML 接続をテストするのに使用する Microsoft Entra ID と IAM アイデンティティセンターの両方にテストユーザー (Nikki Wolf) を作成します。後で SCIM の手順の一環として、別のテストユーザー (Richard Roe) を作成して、Microsoft Entra ID の新しい属性が想定どおりに IAM アイデンティティセンターと同期されていることを確認します。
## 前提条件
このチュートリアルを開始する前に、まず以下を設定する必要があります。
+ Microsoft Entra ID テナント。詳細については、Microsoft ドキュメントの「[Quickstart: Set up a tenant](https://docs.microsoft.com/en-us/azure/active-directory/develop/quickstart-create-new-tenant)」を参照してください。
+ AWS IAM アイデンティティセンターが有効なアカウント。詳細については、「*AWS IAM アイデンティティセンター ユーザーガイド*」の「[ IAM アイデンティティセンターを有効にする](https://docs.aws.amazon.com/singlesignon/latest/userguide/get-started-enable-identity-center.html)」を参照してください。
## 考慮事項
以下は、SCIM v2 プロトコルを使用して、本番環境内で IAM アイデンティティセンターを使用した[自動プロビジョニング](provision-automatically.md)を実装するための計画に影響を与える場合がある Microsoft Entra ID に関する重要な考慮事項です。
**自動プロビジョニング**
SCIM のデプロイを開始する前に、まず [自動プロビジョニングを使用する際の注意事項](provision-automatically.md#auto-provisioning-considerations) を確認することをお勧めします。
**アクセスコントロールの属性**
アクセスコントロールの属性は、ID ソース内の誰が AWS リソースにアクセスできる かを決定するアクセス 許可ポリシーで使用されます。Microsoft Entra ID のユーザーから属性を削除しても、IAM アイデンティティセンターの対応するユーザーからはその属性は削除されません。これは、Microsoft Entra ID の既知の制限事項です。ユーザーの属性が異なる (空でない) 値に変更された場合、その変更は IAM Identity Center に同期されます。
**ネストされたグループ**
Microsoft Entra ID ユーザープロビジョニングサービスは、ネストされたグループのユーザーを読み取ったりプロビジョニングしたりすることはできません。明示的に割り当てられたグループの直接のメンバであるユーザーのみが、読み取りとプロビジョニングを行うことができます。Microsoft Entra ID は、間接的に割り当てられたユーザまたはグループ(直接割り当てられたグループのメンバであるユーザまたはグループ)のグループ・メンバシップを再帰的に解凍することはありません。詳細については、「Microsoft ドキュメント」の「[割り当てベースのスコープ](https://learn.microsoft.com/en-us/azure/active-directory/app-provisioning/how-provisioning-works#assignment-based-scoping)」を参照してください。または、[IAM アイデンティティセンターで設定可能な AD Sync](https://aws.amazon.com/blogs//security/managing-identity-source-transition-for-aws-iam-identity-center/) を使用して、Active Directory グループを IAM アイデンティティセンターと統合できます。
**動的グループ**
Microsoft Entra ID ユーザープロビジョニングサービスは、「[動的グループ](https://learn.microsoft.com/en-us/azure/active-directory/enterprise-users/groups-create-rule)」のユーザーを読み取ってプロビジョニングできます。動的グループを使用する場合のユーザーとグループの構造と IAM Identity Center での表示方法を示す例については、以下を参照してください。これらのユーザーとグループは SCIM 経由で Microsoft Entra ID から IAM Identity Center にプロビジョニングされました。
たとえば、動的グループの Microsoft Entra ID 構造が以下のような場合:
1. メンバー ua1、ua2 を持つグループ A
1. メンバー ub1 を持つグループ B
1. メンバー uc1 を持つグループ C
1. グループ K (グループ A、B、C のメンバーを含むルールを持つ)
1. グループ L (グループ B と C のメンバーを含むルールを持つ)
ユーザとグループ情報が Microsoft Entra ID から SCIM を介して IAM Identity Center にプロビジョニングされた後、構造は以下のようになります。
1. メンバー ua1、ua2 を持つグループ A
1. メンバー ub1 を持つグループ B
1. メンバー uc1 を持つグループ C
1. メンバー ua1、ua2、ub1、uc1 を含むグループ K
1. メンバー ub1、uc1 を持つグループ L
動的グループを使用して自動プロビジョニングを設定する場合、次の考慮事項に留意してください。
+ 動的グループにはネストされたグループを含めることができます。ただし、Microsoft Entra ID プロビジョニングサービスはネストされたグループをフラット化しません。たとえば、Microsoft Entra ID 動的グループの構造が以下のような場合:
+ グループ A はグループ B の親です。
+ グループ A には ua1 がメンバーとしています。
+ グループ B には ub1 がメンバーとしています。
グループ A を含む動的グループには、グループ A の直接のメンバー (つまり ua1) のみが含まれます。グループ B のメンバーは再帰的に含まれません。
+ 動的グループには他の動的グループを含めることはできません。詳細については、Microsoft ドキュメントの「[プレビューに関する制限](https://learn.microsoft.com/en-us/azure/active-directory/enterprise-users/groups-dynamic-rule-member-of#preview-limitations)」を参照してください。
## ステップ 1: Microsoft テナントを準備する
このステップでは、 AWS IAM アイデンティティセンター エンタープライズアプリケーションをインストールして設定し、新しく作成したMicrosoft Entra IDテストユーザーにアクセス権を割り当てる方法について説明します。
------
#### [ Step 1.1 > ]
**ステップ 1.1: で AWS IAM アイデンティティセンター エンタープライズアプリケーションをセットアップする Microsoft Entra ID**
この手順では、 AWS IAM アイデンティティセンター エンタープライズアプリケーションを にインストールしますMicrosoft Entra ID。SAML 接続を設定するには、後でこのアプリケーションが必要になります AWS。
1. クラウドアプリケーション管理者以上の権限で、[Microsoft Entra 管理センター](https://entra.microsoft.com/)にサインインします。
1. **[ID] > [アプリケーション] > [エンタープライズアプリケーション]** に移動し、**[新しいアプリケーション]** を選択します。
1. **[Microsoft Entra ギャラリーの参照]** ページで、検索ボックスに ****AWS IAM アイデンティティセンター**** を入力します。
1. 検索結果から **AWS IAM アイデンティティセンター** を選択します。
1. **[作成]** を選択します。
------
#### [ Step 1.2 > ]
**ステップ 1.2: Microsoft Entra ID でテストユーザーを作成する**
Nikki Wolf は、この手順で作成する Microsoft Entra ID テストユーザーの名前です。
1. [Microsoft Entra 管理センター](https://entra.microsoft.com/)コンソールで、**[ID] > [ユーザー] > [すべてのユーザー]** に移動します。
1. **[新しいユーザー]** を選択し、画面上部の **[新しいユーザーの作成]** を選択します。
1. **[ユーザープリンシパル名]** に ****NikkiWolf**** と入力し、目的のドメインと拡張子を選択します。例えば、*NikkiWolf*@*example.org* と入力します。
1. **[表示名]** に ****NikkiWolf**** と入力します。
1. **[パスワード]** に、強力なパスワードを入力するか、目のアイコンを選択して自動生成されたパスワードを表示し、表示された値をコピーするか書き留めてください。
1. **[プロパティ]** を選択し、**[名]** に ****Nikki**** と入力します。**[姓]** に、****Wolf**** と入力します。
1. **[レビューと作成]** を選択したら、**[作成]** を選択します。
------
#### [ Step 1.3 ]
**ステップ 1.3: アクセス許可を に割り当てる前に Nikki のエクスペリエンスをテストする AWS IAM アイデンティティセンター**
この手順では、Nikki が Microsoft [マイアカウントポータル](https://myaccount.microsoft.com/)に正常にサインインできることを確認します。
1. 同じブラウザで新しいタブを開き、[[マイアカウントポータル]](https://myaccount.microsoft.com/) サインインページに移動して、Nikki 向けの完全なメールアドレスを入力します。例えば、*NikkiWolf*@*example.org* と入力します。
1. プロンプトが表示されたら、Nikki のパスワードを入力し、**[サインイン]** を選択します。これが自動生成されたパスワードの場合は、パスワードを変更するように求められます。
1. **[アクションが必要]** ページで **[後で確認する]** を選択すると、追加のセキュリティメソッドの入力を求めるプロンプトは表示されなくなります。
1. **[マイアカウント]** ページの左側のナビゲーションペインで、**[マイアプリ]** を選択します。現時点では、**アドイン**以外のアプリが表示されていないことに注意してください。後のステップでここに表示される **AWS IAM アイデンティティセンター** アプリを追加します。
------
#### [ Step 1.4 ]
**ステップ 1.4: Microsoft Entra ID で Nikki に権限を割り当てる**
Nikki が **[マイアカウントポータル]** に正常にアクセスできることを確認したので、次の手順に従って Nikki のユーザーを **AWS IAM アイデンティティセンター** アプリに割り当てます。
1. [Microsoft Entra 管理センター](https://entra.microsoft.com/)コンソールで、**[ID] > [アプリケーション] > [エンタープライズアプリケーション]** に移動し、リストから **AWS IAM アイデンティティセンター** を選択します。
1. 左側で **[ユーザーとグループ]** を選択します。
1. **[Add user/group]** (ユーザーとグループを追加) を選択します。グループを割り当てることができないというメッセージは無視してかまいません。このチュートリアルでは、割り当てにグループを使用しません。
1. **[割り当てを追加]** ページの **[ユーザー]** で、**[何も選択されていません]** を選択します。
1. **[NikkiWolf]** を選択し、次に **[選択]** を選択します。
1. **[Add Assignment]** (割り当てを追加) ページで、**[Assign]** (割り当て) を選択します。これで、**AWS IAM アイデンティティセンター** アプリに割り当てられたユーザーのリストに NikkiWolf が表示されるようになりました。
------
## ステップ 2: AWS アカウントを準備する
このステップでは、**IAM Identity Center** を使用して (許可セットにより) アクセス許可を設定する方法、対応する Nikki Wolf ユーザを手動で作成する方法、および AWSのリソースを管理するために必要な権限をそのユーザに割り当てる方法について説明します。
------
#### [ Step 2.1 > ]
**ステップ 2.1: IAM Identity Center で RegionalAdmin 許可セットを作成する**
このアクセス許可セットは、 内の AWS アカウントページからリージョンを管理するために必要な**アカウント**アクセス許可を Nikki に付与するために使用されます AWS マネジメントコンソール。Nikki のアカウントのその他の情報を閲覧または管理するその他の権限は、デフォルトではすべて拒否されています。
1. [IAM アイデンティティセンターコンソール](https://console.aws.amazon.com/singlesignon)を開きます。
1. [**マルチアカウント権限**] で、[**権限セット**] を選択します。
1. **[Create permission set]** (アクセス許可セットの作成) を選択します。
1. **[許可セットタイプを選択]** ページで **[カスタム許可セット]** を選択し、**[次へ]** を選択します。
1. **[インラインポリシー]** を選択して展開し、次の手順を使用してアクセス許可セットのポリシーを作成します。
1. **[新しいステートメントを追加]** を選択してポリシーステートメントを作成します。
1. **[ステートメントの編集]** で、リストから **[アカウント]** を選択し、次のチェックボックスを選択します。
+ **`ListRegions`**
+ **`GetRegionOptStatus`**
+ **`DisableRegion`**
+ **`EnableRegion`**
1. [**リソースの追加**] の横にある [**追加**] を選択します。
1. **[リソースを追加]** ページの **[リソースタイプ]** で、**[すべてのリソース]** を選択し、**[リソースを追加]** を選択します。ポリシーが次のようになっていることを確認します。
```
{
"Statement": [
{
"Sid": "Statement1",
"Effect": "Allow",
"Action": [
"account:ListRegions",
"account:DisableRegion",
"account:EnableRegion",
"account:GetRegionOptStatus"
],
"Resource": [
"*"
]
}
]
}
```
1. [**次へ**] を選択します。
1. **[許可セットの詳細を指定]** ページの **[許可セット名]** に ****RegionalAdmin**** と入力し、**[次へ]** を選択します。
1. **[確認して作成]** ページで、**[作成]** をクリックします。アクセス許可セットのリストに **RegionalAdmin** が表示されます。
------
#### [ Step 2.2 > ]
**ステップ 2.2: IAM Identity Center で対応する NikkiWolf ユーザーを作成する**
SAML プロトコルには IdP (Microsoft Entra ID) をクエリして IAM アイデンティティセンターで自動的にユーザーを作成するメカニズムがないため、次の手順に従って、Microsoft Entra ID の Nikki Wolfs ユーザーのコア属性をミラーリングするユーザーを IAM アイデンティティセンターに手動で作成します。
1. [IAM Identity Center コンソール](https://console.aws.amazon.com/singlesignon)を開きます。
1. **[ユーザー]** を選択し、**[ユーザーを追加]** を選択して、次の情報を入力します。
1. **[ユーザー名]** と **[メールアドレス]** の両方に、Microsoft Entra ID ユーザーの作成時に使用したのと同じ ****NikkiWolf**@*yourcompanydomain.extension*** を入力します。例えば、*NikkiWolf*@*example.org* と入力します。
1. **[メールアドレスの確認]** — 前のステップで使用したメールアドレスを再入力します。
1. **[名]** — ****Nikki**** と入力します。
1. **[姓]** — ****Wolf**** と入力します。
1. **[表示名]** — ****Nikki Wolf**** と入力します。
1. **[次へ]** を 2 回選択後、**[ユーザーの追加]** を選択します。
1. [**Close**] を選択します。
------
#### [ Step 2.3 ]
**ステップ 2.3: IAM Identity Center で RegionalAdmin 許可セットに Nikki を割り当てる**
ここでは、Nikki がリージョンを管理する AWS アカウント を見つけ、 AWS アクセスポータルに正常にアクセスするために必要なアクセス許可を割り当てます。
1. [IAM Identity Center コンソール](https://console.aws.amazon.com/singlesignon)を開きます。
1. **[マルチアカウント権限]** で、[**AWS アカウント**] を選択します。
1. Nikki にリージョンを管理するためのアクセス権を付与するアカウント名 (例えば、*Sandbox*) の横のチェックボックスを選択し、**[ユーザーとグループを割り当てる]** を選択します。
1. **[ユーザーとグループを割り当てる]** ページで **[ユーザー]** タブを選択し、Nikki の横にあるボックスを探してオンにし、**[次へ]** を選択します。
1.
**Example**
1. **[確認と送信]** ページで選択内容を確認し、**[送信]** を選択します。
------
## ステップ 3: SAML 接続を設定してテストする
このステップでは、 AWS IAM アイデンティティセンター エンタープライズアプリケーションMicrosoft Entra IDと IAM Identity Center の外部 IdP 設定を使用して SAML 接続を設定します。
------
#### [ Step 3.1 > ]
**ステップ 3.1: IAM アイデンティティセンターから必要なサービスプロバイダーのメタデータを収集する**
このステップでは、IAM Identity Center コンソール内から **ID ソースの変更**ウィザードを起動し、メタデータファイルと、次のステップMicrosoft Entra IDで との接続を設定するときに入力する必要がある AWS 特定のサインイン URL を取得します。
1. [[IAM アイデンティティセンターコンソール]](https://console.aws.amazon.com/singlesignon) で **[設定]** を選択します。
1. **[設定]** ページで **[ID ソース]** タブを選択し、**[アクション] > [ID ソースを変更]** を選択します。
1. **[ID ソースを選択]** ページで **[外部 ID プロバイダー]** を選択したら、**[次へ]** を選択します。
1. **外部 ID プロバイダーの設定**ページの**サービスプロバイダーメタデータ**で、**デフォルト IPv4** **またはデュアルスタック**を選択します。ID ソースの変更が完了したら、サービスプロバイダーメタデータファイルをダウンロードできます。
1. 同じセクションで、**[AWS アクセスポータルのサインイン URL]** 値を見つけてコピーします。この値は、次のステップで求められたときに入力します。
1. このページを開いたまま、次のステップ (**`Step 3.2`**) に移動して、 で AWS IAM アイデンティティセンター エンタープライズアプリケーションを設定しますMicrosoft Entra ID。後でこのページに戻り、プロセスを完了します。
------
#### [ Step 3.2 > ]
**ステップ 3.2: で AWS IAM アイデンティティセンター エンタープライズアプリケーションを設定する Microsoft Entra ID**
この手順では、前のステップで取得したメタデータファイルの値とサインオン URL を使用して、Microsoft 側の SAML 接続の半分を確立します。
1. [Microsoft Entra 管理センター](https://entra.microsoft.com/)コンソールで、**[ID] > [アプリケーション] > [エンタープライズアプリケーション]** に移動し、**[AWS IAM アイデンティティセンター]** を選択します。
1. 左側で、**2 を選択します。シングルサインオンをセットアップします**。
1. **[SAML でシングルサインオンを設定]** のページで、**[SAML]** を選択します。更に、**[メタデータファイルのアップロード]** を選択し、フォルダアイコンを選択し、前のステップでダウンロードしたサービスプロバイダーのメタデータファイルを選択して、**[追加]** を選択します。
1. **基本 SAML 設定**ページで、**識別子**と**返信 URL (Assertion Consumer Service URL)** の両方の値がエンドポイントを指していることを確認します AWS。
+ **識別子** - これは IAM アイデンティティセンターの**発行者 URL** です。IPv4-onlyエンドポイントとデュアルスタックエンドポイントのどちらを使用するかに関係なく、同じ値が適用されます。
+ **応答 URL (Assertion Consumer Service URL)** - ここでの値には、IAM アイデンティティセンターのすべての有効なリージョンからの IPv4-onlyエンドポイントとデュアルスタックエンドポイントの両方が含まれます。プライマリリージョンの ACS URL をデフォルトとして使用して、ユーザーが から Amazon Web Services アプリケーションを起動するときにプライマリリージョンにリダイレクトされるようにできますMicrosoft Entra ID。ACS URLs「」を参照してください[プライマリおよび追加の ACS エンドポイント AWS リージョン](multi-region-workforce-access.md#acs-endpoints)。
+ (オプション) IAM Identity Center を追加のリージョンにレプリケートした場合は、追加のリージョンごとに AWS アクセスポータルMicrosoft Entra IDのブックマークアプリを に作成することもできます。これにより、ユーザーは から追加のリージョンの AWS アクセスポータルにアクセスできますMicrosoft Entra ID。でブックマークアプリケーションにアクセスするためのアクセス許可をユーザーに付与してくださいMicrosoft Entra ID。詳細については、「 [Microsoft Entra IDドキュメント](https://learn.microsoft.com/en-us/entra/identity/enterprise-apps/configure-linked-sign-on)」を参照してください。後で IAM アイデンティティセンターを追加のリージョンにレプリケートする予定がある場合は、この初期設定後に追加のリージョンへのアクセスを有効にする方法について、[Microsoft Entra ID 追加のリージョンにアクセスするための 設定](#gs-microsoft-entra-multi-region)「」を参照してください。
1. **[サインオン URL (オプション)]** に、前のステップでコピーした **AWS アクセスポータルのサインイン URL** の値 (**`Step 3.1`**) を貼り付け、**[保存]** を選択したら、**[X]** を選択してウィンドウを閉じます。
1. でシングルサインオンをテストするように求められたら AWS IAM アイデンティティセンター、**後でテストしない**を選択します。この検証は、後のステップで行います。
1. **[SAML によるシングルサインオンの設定]** ページの **[SAML 証明書]** セクションで、**[フェデレーションメタデータ XML]** の横にある **[ダウンロード]** を選択し、メタデータファイルをシステムに保存します。次のステップでプロンプトが表示されたら、このファイルをアップロードする必要があります。
------
#### [ Step 3.3 > ]
**ステップ 3.3: AWS IAM アイデンティティセンターで Microsoft Entra ID の外部 IdP を設定する**
ここで、IAM アイデンティティセンターコンソールの **[ID ソースを変更]** ウィザードに戻り、 AWSの SAML 接続の後半を完了します。
1. IAM アイデンティティセンターコンソールで、**`Step 3.1`** で開いたままにしたブラウザセッションに戻ります。
1. **[外部 ID プロバイダーの設定]** ページの **[ID プロバイダーのメタデータ]** セクションの **[IdP SAML メタデータ]** で、**[ファイルを選択]** ボタンを選択し、前のステップで Microsoft Entra ID からダウンロードした ID プロバイダーのメタデータファイルを選択して、**[開く]** を選択します。
1. [**次へ**] を選択します。
1. 免責事項を読み、次に進む準備ができたら、****ACCEPT**** と入力してください。
1. **[ID ソースを変更]** を選択して変更を適用します。
------
#### [ Step 3.4 > ]
**ステップ 3.4: Nikki が AWS アクセスポータルにリダイレクトされることをテストする**
この手順では、Nikki の認証情報を使用して Microsoft の **[マイアカウントポータル]** にサインインして SAML 接続をテストします。認証されたら、Nikki を AWS アクセスポータルにリダイレクトする AWS IAM アイデンティティセンター アプリケーションを選択します。
1. [マイアカウントポータル](https://myaccount.microsoft.com/)のサインインページに移動し、Nikki の完全なメールアドレスを入力します。例えば、***NikkiWolf**@**example.org* と入力します。
1. プロンプトが表示されたら、Nikki のパスワードを入力し、**[サインイン]** を選択します。
1. **[マイアカウント]** ページの左側のナビゲーションペインで、**[マイアプリ]** を選択します。
1. **[マイアプリ]** ページで、**AWS IAM アイデンティティセンター** という名前のアプリを選択します。これにより、追加の認証を求めるプロンプトが表示されます。
1. Microsoft のサインインページで、NikkiWolf の認証情報を選択します。2 度目に認証を求められたら、NikkiWolf の認証情報をもう一度選択してください。これにより、自動的に AWS アクセスポータルにリダイレクトされます。
**ヒント**
正常にリダイレクトされない場合は、**[`Step 3.2`]** に入力した **AWS アクセスポータルのサインイン URL** の値がコピー元 **`Step 3.1`** の値と一致することを確認してください。
1. AWS アカウント ディスプレイを確認します。
**ヒント**
ページが空で AWS アカウント 表示されない場合は、Nikki が **RegionalAdmin** アクセス許可セットに正常に割り当てられていることを確認します (「」を参照**`Step 2.3`**)。
------
#### [ Step 3.5 ]
**ステップ 3.5: Nikki が AWS アカウントを管理するためのアクセスレベルをテストする**
このステップでは、Nikki が AWS アカウントのリージョン設定を管理するためのアクセスレベルを確認します。Nikki には、**[アカウント]** ページからリージョンを管理するための十分な管理者権限のみを持つことが期待されています。
1. AWS アクセスポータルで、**アカウント**タブを選択してアカウントのリストを表示します。アクセス許可セットを定義したアカウントに関連付けられているアカウント名、アカウント ID、メールアドレスが表示されます。
1. アクセス許可セットを適用したアカウント名 (*Sandbox* など) を選択します (**`Step 2.3`** をご覧ください)。これにより、Nikki が自分のアカウントを管理するために選択できるアクセス許可セットのリストが展開されます。
1. **RegionalAdmin** の横にある **[管理コンソール]** を選択し、**RegionalAdmin** 許可セットで定義したロールを引き継ぎます。これにより、 AWS マネジメントコンソール ホームページにリダイレクトされます。
1. コンソールの右上で、アカウント名を選択してから **[アカウント]** を選択します。これにより、**[アカウント]** ページに移動します。このページの他のすべてのセクションには、これらの設定を表示または変更するのに必要なアクセス許可がないことを示すメッセージが表示されます。
1. **[アカウント]** ページで、 **[AWS リージョン]** までスクロールダウンします。テーブル内の使用可能なリージョンのチェックボックスをオンにします。Nikki には、自分のアカウントのリージョンのリストを意図したとおりに **[有効化]** または **[無効化]** するために必要なアクセス許可が付与されています。
**よくできました\$1**
ステップ 1~3 は、SAML 接続の実装とテストを正常に実行するのに役立ちました。チュートリアルを完了するには、ステップ 4 に進んで自動プロビジョニングを実装することをお勧めします。
------
## ステップ 4: SCIM 同期を設定してテストする
このステップでは、SCIM v2.0 プロトコルを使用して Microsoft Entra ID から IAM アイデンティティセンターへのユーザー情報の[自動プロビジョニング](provision-automatically.md) (同期) を設定します。この接続を Microsoft Entra ID IAM アイデンティティセンター用の SCIM エンドポイントと IAM アイデンティティセンターで自動作成されたベアラートークンを使用して設定します。
SCIM 同期を設定すると、Microsoft Entra ID のユーザー属性と IAM Identity Center の名前付き属性のマッピングが作成されます。これにより、IAM アイデンティティセンターと Microsoft Entra ID の間で、期待される属性が一致します。
次のステップでは、Microsoft Entra ID の IAM アイデンティティセンターアプリを使って、主に Microsoft Entra ID に設置されたユーザーの IAM アイデンティティセンターへの自動プロビジョニングを有効にする方法を説明します。
------
#### [ Step 4.1 > ]
**ステップ 4.1: Microsoft Entra ID で 2 人目のテストユーザーを作成する**
テスト用に、Microsoft Entra ID で新しいユーザー (Richard Roe) を作成します。後で SCIM 同期を設定したら、このユーザーとすべての関連属性が IAM アイデンティティセンターと正常に同期されたことをテストします。
1. [Microsoft Entra 管理センター](https://entra.microsoft.com/)コンソールで、**[ID] > [ユーザー] > [すべてのユーザー]** に移動します。
1. **[新しいユーザー]** を選択し、画面上部の **[新しいユーザーの作成]** を選択します。
1. **[ユーザープリンシパル名]** に ****RichRoe**** と入力し、目的のドメインと拡張子を選択します。例えば、*RichRoe*@*example.org* と入力します。
1. **[表示名]** に ****RichRoe**** と入力します。
1. **[パスワード]** に、強力なパスワードを入力するか、目のアイコンを選択して自動生成されたパスワードを表示し、表示された値をコピーするか書き留めてください。
1. **[プロパティ]** を選択し、以下の値を指定します。
+ **[名]** - ****Richard**** と入力します。
+ **[姓]** - ****Roe**** と入力します。
+ **[役職名]** - ****Marketing Lead**** と入力します。
+ **[部門]** - ****Sales**** と入力します。
+ **[従業員 ID]** - ****12345**** と入力します。
1. **[レビューと作成]** を選択したら、**[作成]** を選択します。
------
#### [ Step 4.2 > ]
**ステップ 4.2: IAM アイデンティティセンターで自動プロビジョニングを有効にする**
この手順では、IAM アイデンティティセンターコンソールを使用して、ユーザーとグループの Microsoft Entra ID から IAM アイデンティティセンターへの自動プロビジョニングを有効にします。
1. [[IAM アイデンティティセンターコンソール]](https://console.aws.amazon.com/singlesignon) で、左のナビゲーションペインの **[設定]** を選択します。
1. **[設定]** ページの **[ID ソース]** タブで、**[プロビジョニング方法]** が **[手動]** に設定されていることに注目してください。
1. **[自動プロビジョニング]** 情報ボックスを見つけ、**[有効にする]** を選択します。これにより、すぐに IAM アイデンティティセンターの自動プロビジョニングが有効になり、必要な SCIM エンドポイントとアクセストークンの情報が表示されます。
1. **[インバウンド自動プロビジョニング]** ダイアログボックスで、以下のオプションの値をそれぞれコピーします。これらは、次のステップで Microsoft Entra ID でプロビジョニングを設定する際に貼り付ける必要があります。
1. **SCIM エンドポイント** - 例:
+ IPv4:`https://scim.aws-region.amazonaws.com/11111111111-2222-3333-4444-555555555555/scim/v2`
+ デュアルスタック: `https://scim.aws-region.api.aws/11111111111-2222-3333-4444-555555555555/scim/v2`
1. **[アクセストークン]** - **[トークンを表示]** を選択して値をコピーします。
**警告**
SCIM エンドポイントとアクセストークンを取得できるタイミングは、この時のみです。先に進む前に、これらの値をコピーしておいてください。
1. [**閉じる**] を選択してください。
1. **[ID ソース]** タブで、**[プロビジョニング方法]** が **[SCIM]** に設定されていることに注目してください。
------
#### [ Step 4.3 > ]
**ステップ 4.3: Microsoft Entra ID の自動プロビジョニングを設定する**
RichRoe テストユーザーが用意され、IAM アイデンティティセンターで SCIM を有効にしたので、Microsoft Entra ID で SCIM 同期設定の設定に進むことができます。
1. [Microsoft Entra 管理センター](https://entra.microsoft.com/)コンソールで、**[ID] > [アプリケーション] > [エンタープライズアプリケーション]** に移動し、**[AWS IAM アイデンティティセンター]** を選択します。
1. **[プロビジョニング]** を選択し、**[管理]** で **[プロビジョニング]** をもう一度選択します。
1. **[プロビジョニングモード]** で **[自動]** を選択します。
1. **[管理者認証情報]** の **[テナント URL]** に、**`Step 4.2`** で先ほどコピーした **[SCIM エンドポイント]** URL 値を貼り付けます。**[シークレットトークン]** に**アクセストークン**の値を貼り付けます。
1. **接続のテスト**を選択します。テストした認証情報が正常に認証され、プロビジョニングが可能になったことを示すメッセージが表示されます。
1. **[保存]** を選択します。
1. **[管理]** で **[ユーザーとグループ]** を選択し、**[ユーザー/グループの追加]** を選択します。
1. **[割り当てを追加]** ページの **[ユーザー]** で、**[何も選択されていません]** を選択します。
1. **[RichRoe]** を選択後、**[選択]** を選択します。
1. **[Add Assignment]** (割り当てを追加) ページで、**[Assign]** (割り当て) を選択します。
1. **[概要]** を選択したら、**[プロビジョニングの開始]** を選択します。
------
#### [ Step 4.4 ]
**ステップ 4.4: 同期が行われたことを確認する**
このセクションでは、Richard のユーザーが正常にプロビジョニングされ、すべての属性が IAM アイデンティティセンターに表示されていることを確認します。
1. [IAM アイデンティティセンターコンソール](https://console.aws.amazon.com/singlesignon)で **[ユーザー]** をクリックします。
1. **[ユーザー]** ページに **[RichRoe]** ユーザーが表示されているはずです。**[作成者]** 列の値が **[SCIM]** に設定されていることに注意してください。
1. **[RichRoe]** を選択し、**[プロファイル]** で以下の属性が Microsoft Entra ID からコピーされていることを確認します。
+ **[名]** - ****Richard****
+ **[姓]** - ****Roe****
+ **[部門]** - ****Sales****
+ **役職** - ****Marketing Lead****
+ **[従業員番号]** - ****12345****
これで Richard のユーザーが IAM アイデンティティセンターで作成されたので、そのユーザーを任意のアクセス許可セットに割り当てて、 AWS リソースに対する Richard のアクセスレベルを制御できます。例えば、以前に Nikki にリージョンを管理するためのアクセス許可 (**`Step 2.3`** をご覧ください) を付与するために使用した **RegionalAdmin** 許可セットを **[RichRoe]** に割り当てた後、**`Step 3.5`** で RichRoe のアクセスレベルをテストできます。
**お疲れ様でした。**
Microsoft と の間の SAML 接続を正常にセットアップ AWS し、自動プロビジョニングがすべてを同期させていることを確認しました。これで、学習した内容を応用して、本番環境をよりスムーズに設定できます。
------
## ステップ 5: ABAC を設定する - *オプション*
SAML と SCIM を正常に設定したので、属性ベースのアクセス制御 (ABAC) を任意で設定することができます。ABAC は、属性に基づいて権限を定義する認可戦略です。
Microsoft Entra ID では、次の 2 つの方法のいずれかを使用して、IAM アイデンティティセンターで使用するために ABAC を構成できます。
------
#### [ Configure user attributes in Microsoft Entra ID for access control in IAM Identity Center ]
**IAM アイデンティティセンターでのアクセスコントロール用に Microsoft Entra ID でユーザー属性を設定する**
次の手順では、 AWS リソースへのアクセスを管理するために IAM Identity Center で使用する Microsoft Entra ID の属性を決定します。定義されると、Microsoft Entra ID は SAML アサーションを通じてこれらの属性を IAM アイデンティティセンターに送信します。その後、IAM Identity Center で [アクセス権限セットを作成します。](howtocreatepermissionset.md) を行い、Microsoft Entra ID から渡された属性に基づいてアクセスを管理する必要があります。
この手順を始める前に、まず [アクセスコントロールの属性](attributesforaccesscontrol.md) 機能を有効にしておく必要があります。これを行う方法については、「[アクセスコントロールのための属性の有効化と設定](configure-abac.md)」を参照してください。
1. [Microsoft Entra 管理センター](https://entra.microsoft.com/)コンソールで、**[ID] > [アプリケーション] > [エンタープライズアプリケーション]** に移動し、**[AWS IAM アイデンティティセンター]** を選択します。
1. **[Single Sign-On]** を選択します。
1. **[属性とクレーム]** セクションで、**[編集]** を選択します。
1. **[属性とクレーム]** ページで、以下を実行します。
1. **[Add new claim]** (新しいクレームを追加する) を選択します。
1. **[Name]** (名前) に `AccessControl:AttributeName` を入力します。*AttributeName* を IAM アイデンティティセンターで想定している属性名に置き換えます。例えば、`AccessControl:Department`。
1. **[名前空間]** に ****https://aws.amazon.com/SAML/Attributes**** と入力します。
1. **[出典]** で、**[属性]** を選択します。
1. [**ソースの属性**] で、ドロップダウンリストを使用して、[Microsoft Entra ID ユーザー属性] を選択します。例えば、`user.department`。
1. SAML アサーションで IAM Identity Center に送信する必要のある各属性について、前のステップを繰り返します。
1. **[保存]** を選択します。
------
#### [ Configure ABAC using IAM Identity Center ]
**IAM アイデンティティセンターを使用して ABAC を構成する**
この方法では、IAM アイデンティティセンターの [アクセスコントロールの属性](attributesforaccesscontrol.md) 機能を使って、`Name` 属性を `https://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey}` に設定した `Attribute` 要素を渡します。この要素を使用すると、SAML アサーションで属性をセッションタグとして渡すことができます。セッションタグの詳細については、「*IAM ユーザーガイド*」の「[AWS STSでのタグ付けの規則 ](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_session-tags.html)」を参照してください。
属性をセッションタグとして渡すには、タグの値を指定する `AttributeValue` 要素を含めます。例えば、タグのキーバリューのペア `Department=billing` を渡すには、次の属性を使用します。
```
billing
```
複数の属性を追加する必要がある場合は、各タグに個別の `Attribute` 要素を含めます。
------
## へのアクセスを割り当てる AWS アカウント
次の手順は、 へのアクセスのみを許可する場合にのみ必要です AWS アカウント 。これらのステップは、 AWS アプリケーションへのアクセスを許可するためには必要ありません。
**注記**
このステップを完了するには、IAM アイデンティティセンターの組織インスタンスが必要です。詳細については、「[IAM アイデンティティセンターの組織インスタンスとアカウントインスタンス](identity-center-instances.md)」を参照してください。
### ステップ 1: IAM アイデンティティセンター: Microsoft Entra ID ユーザーにアカウントへのアクセスを付与する
1. **IAM アイデンティティセンター**コンソールに戻ります。IAM アイデンティティセンターのナビゲーションペインの **[マルチアカウントのアクセス許可]** で、**[AWS アカウント]** を選択します。
1. **AWS アカウント** ページの **[組織構造]** には、組織のルートと、その下にあるアカウントが階層内で表示されます。管理アカウントのチェックボックスをオンにし、**[ユーザーまたはグループを割り当て]** を選択します。
1. **[ユーザーとグループを割り当てる]** のワークフローが表示されます。これは、3 つのステップから構成されています。
1. **[ステップ 1: ユーザーとグループの選択]** では、管理者の職務を実行するユーザーを選択します。次いで、**[次へ]** を選択します。
1. **[ステップ 2: アクセス許可セットの選択]** では、**[許可セットを作成]** を選択します。新しいタブが開き、アクセス許可セットを作成するための 3 つのサブステップが順を追って表示されます。
1. **[ステップ 1: 許可セットタイプを選択]** では、以下を完了します。
+ **[許可セットのタイプ]** で、**[事前定義された許可セット]** を選択します。
+ **[事前定義された許可セットのポリシー]** で **[AdministratorAccess]** を選択します。
[**次へ**] を選択します。
1. **[ステップ 2: 許可セットの詳細を指定]** では、デフォルト設定のままで、**[次へ]** を選択します。
デフォルト設定では、*AdministratorAccess* という名前の許可セットが作成され、セッション期間は 1 時間に設定されます。
1. **ステップ 3: 確認して作成**するには、**アクセス許可セットタイプ**が AWS 管理ポリシー **AdministratorAccess** を使用していることを確認します。**[作成]** を選択します。**[アクセス許可セット]** ページに、アクセス許可セットが作成されたことを知らせる通知が表示されます。この時点で、ウェブブラウザでこのタブを閉じてもかまいません。
1. **[ユーザーとグループを割り当てる]** ブラウザタブでは、**[ステップ 2: 許可セットを選択]** でアクセス許可セットの作成ワークフローを開始した状態のままになっています。
1. **[アクセス許可セット]** 領域で、**[更新]** ボタンを選択します。作成した *AdministratorAccess* 許可セットがリストに表示されます。そのアクセス許可セットのチェックボックスを選択したら、**[次へ]** を選択します。
1. **[ステップ 3: 確認と送信]** では、選択したユーザーとアクセス許可セットを確認し、**[送信]** を選択します。
このページ AWS アカウント は、 が設定されているというメッセージで更新されます。プロセスが完了するまで待ちます。
AWS アカウント ページに戻ります。通知メッセージは、 AWS アカウント が再プロビジョニングされ、更新されたアクセス許可セットが適用されたことを通知します。ユーザーはサインインすると、*[AdministratorAccess]* ロールを選択できます。
### ステップ 2: Microsoft Entra ID: Microsoft Entra ID ユーザーが AWS リソースにアクセスできることを確認する
1. **Microsoft Entra ID** コンソールに戻り、IAM アイデンティティセンターの SAML ベースのサインオンアプリケーションに移動します。
1. **[ユーザーとグループ]** を選択し、**[ユーザーまたはグループの追加]** を選択します。このチュートリアルで作成したユーザーをステップ 4 で Microsoft Entra ID アプリケーションに追加します。ユーザーを追加することで、ユーザーに AWSへのサインインを許可します。ステップ 4 で作成したユーザーを検索します。このステップに従った場合、**RichardRoe** になります。
1. デモについては、「[既存の IAM アイデンティティセンターインスタンスを Microsoft Entra ID とフェデレーションさせる](https://youtu.be/iSCuTJNeN6c?si=29HSAK8DgBEhSVad)」を参照してください。
## Microsoft Entra ID IAM アイデンティティセンターの追加リージョンにアクセスするための設定 - オプション
IAM Identity Center を追加のリージョンにレプリケートした場合は、ID プロバイダーの設定を更新して、 AWS マネージドアプリケーションおよび追加のリージョン AWS アカウント 経由でアクセスできるようにする必要があります。以下の手順では、手順について説明します。前提条件を含むこのトピックの詳細については、「」を参照してください[複数の で IAM Identity Center を使用する AWS リージョン](multi-region-iam-identity-center.md)。
1. URLs を取得します[プライマリおよび追加の ACS エンドポイント AWS リージョン](multi-region-workforce-access.md#acs-endpoints)。
1. [Microsoft Entra 管理センター](https://entra.microsoft.com/)コンソールで、**[ID] > [アプリケーション] > [エンタープライズアプリケーション]** に移動し、**[AWS IAM アイデンティティセンター]** を選択します。
1. 左側で、**2 を選択します。シングルサインオンをセットアップします**。
1. **基本 SAML 設定**ページの**「返信 URL (アサーションコンシューマーサービス URL)**」セクションで、リージョンの **ACS URL を追加するごとに返信** URL を追加」を選択します。プライマリリージョンの ACS URL をデフォルトのままにしておくと、ユーザーは から AWS IAM アイデンティティセンター アプリケーションを起動するときにプライマリリージョンにリダイレクトされ続けますMicrosoft Entra ID。
1. ACS URLs の追加が完了したら、**AWS IAM アイデンティティセンター**アプリケーションを保存します。
1. 追加のリージョンごとに、 AWS アクセスポータルMicrosoft Entra IDのブックマークアプリを に作成できます。これにより、ユーザーは から追加のリージョンの AWS アクセスポータルにアクセスできますMicrosoft Entra ID。でブックマークアプリケーションにアクセスするためのアクセス許可をユーザーに付与してくださいMicrosoft Entra ID。詳細については、「 [Microsoft Entra IDドキュメント](https://learn.microsoft.com/en-us/entra/identity/enterprise-apps/configure-linked-sign-on)」を参照してください。
1. 追加のリージョンごとに AWS アクセスポータルにサインインできることを確認します。[AWS アクセスポータル URLs](multi-region-workforce-access.md#portal-endpoints) に移動するか、 からブックマークアプリを起動しますMicrosoft Entra ID。
## トラブルシューティング
Microsoft Entra ID を使用した一般的な SCIM および SAML のトラブルシューティングについては、以下のセクションを参照してください。
+ [Microsoft Entra ID と IAM アイデンティティセンターの同期に関する問題](#entra-scim-troubleshooting)
+ [特定のユーザーが、外部の SCIM プロバイダーからの IAM Identity Center に同期できません](troubleshooting.md#issue2)
+ [IAM Identity Center によって作成された SAML アサーションの内容に関する問題](troubleshooting.md#issue1)
+ [外部 ID プロバイダーを使用してユーザーまたはグループをプロビジョニングする際の重複ユーザーまたはグループのエラー](troubleshooting.md#duplicate-user-group-idp)
+ [その他のリソース](#entra-scim-troubleshooting-resources)
### Microsoft Entra ID と IAM アイデンティティセンターの同期に関する問題
Microsoft Entra ID ユーザーが IAM アイデンティティセンターと同期しないという問題が発生している場合は、IAM アイデンティティセンターに新しいユーザーを追加する際に IAM アイデンティティセンターがフラグを立てた構文の問題が原因である可能性があります。これは、`'Export'` などの失敗したイベントに関する Microsoft Entra ID 監査ログで確認できます。このイベントの **Status Reason** (ステータス理由) には、次のように記述されます。
```
{"schema":["urn:ietf:params:scim:api:messages:2.0:Error"],"detail":"Request is unparsable, syntactically incorrect, or violates schema.","status":"400"}
```
失敗したイベント AWS CloudTrail を確認することもできます。これは、CloudTrail の **Event History** (イベントの履歴) コンソールで以下のフィルターを使って検索できます。
```
"eventName":"CreateUser"
```
CloudTrail イベントのエラーには以下のように記載されます。
```
"errorCode": "ValidationException",
"errorMessage": "Currently list attributes only allow single item“
```
最終的に、この例外は、Microsoft Entra ID から渡された値の中に予想よりも多い値が含まれていたことを示しています。問題を解決するには、Microsoft Entra ID のユーザー属性を再確認し、重複した値が含まれていないかをチェックしてください。重複した値の一般的な例の一つは、**携帯電話**、**仕事**、**FAX** などの連絡先に複数の値が存在することです。別々の値ではありますが、これらはすべて 1 つの親属性 **phoneNumbers** として IAM Identity Center に渡されます。
一般的な SCIM のトラブルシューティングのヒントについては、「[Troubleshooting](troubleshooting.md#issue2)」を参照してください。
### Microsoft Entra ID ゲストアカウントの同期
Microsoft Entra ID ゲストユーザーを IAM アイデンティティセンターに同期する場合は、次の手順を参照してください。
Microsoft Entra ID ゲストユーザーの E メールは Microsoft Entra ID ユーザーとは異なります。この差異によって、Microsoft Entra ID ゲストユーザーを IAM アイデンティティセンターと同期しようとすると問題が発生します。例えば、ゲストユーザーの場合は、次の E メールアドレスを参照してください。
`exampleuser_domain.com#EXT#@domain.onmicrosoft.com.`
IAM アイデンティティセンターは、ユーザーのメールアドレスに *\$1EXT\$1@ドメイン* 形式が含まれないことを想定しています。
1. [Microsoft Entra 管理センター](https://entra.microsoft.com/)にサインインし、**[ID]** > **[アプリケーション]** > **[エンタープライズアプリケーション]** に移動し、**[AWS IAM アイデンティティセンター]** を選択します。
1. 左側ペインの **[シングルサインオン]** タブに移動します。
1. **[ユーザー属性とクレーム]** の横にある **[編集]** を選択します。
1. **[必須クレーム]** に続く **[一意のユーザー識別子 (名前 ID)]** を選択します。
1. Microsoft Entra ID ユーザーとゲストユーザーに 2 つのクレーム条件を作成します。
1. Microsoft Entra ID ユーザーの場合、ソース属性が ` user.userprincipalname` に設定されているメンバーのユーザータイプを作成します。
1. Microsoft Entra ID ゲストユーザーの場合、ソース属性を `user.mail` に設定して、外部ゲストのユーザータイプを作成します。
1. **[保存]** を選択し、Microsoft Entra ID ゲストユーザーとしてサインインを再試行します。
### その他のリソース
+ 一般的な SCIM のトラブルシューティングについては、「[IAM Identity Center の問題のトラブルシューティング](troubleshooting.md)」をご覧ください。
+ Microsoft Entra ID に関するトラブルシューティングについては、[Microsoft ドキュメント](https://learn.microsoft.com/en-us/entra/identity/saas-apps/aws-single-sign-on-provisioning-tutorial#troubleshooting-tips)を参照してください。
+ 複数の 間のフェデレーションの詳細については AWS アカウント、「 [AWS アカウント による保護Azure Active Directory Federation](https://aws.amazon.com//blogs/apn/securing-aws-accounts-with-azure-active-directory-federation/)」を参照してください。
以下のリソースは、作業中のトラブルシューティングに役立ちます AWS。
+ [AWS re:Post](https://repost.aws/) — 問題のトラブルシューティングに役立つ FAQ やその他のリソースへのリンクを検索できます。
+ [AWS サポート](https://aws.amazon.com/premiumsupport/) - テクニカルサポートを受ける