翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# ID ソースを管理する
<a name="manage-your-identity-source"></a>

IAM Identity Center の ID ソースは、ユーザーやグループがどこで管理されているかを定義します。ID ソースを設定したら、ユーザーまたはグループを検索して、、アプリケーション AWS アカウント、またはその両方へのシングルサインオンアクセスを許可できます。

ID ソースは AWS Organizationsで組織あたり 1 つのみ持つことができます。ID ソースとして以下のいずれかを選択できます。


+ **[外部 ID プロバイダー](manage-your-identity-source-idp.md) –** Okta や Microsoft Entra ID などの外部 ID プロバイダー (IdP) でユーザーを管理したい場合は、このオプションを選択します。
+ **[オンプレミスまたは AWS マネージド Active Directory](manage-your-identity-source-ad.md) –** を接続する場合は、このオプションを選択しますActive Directory (AD)。
+ **[アイデンティティセンターディレクトリ](manage-your-identity-source-sso.md) —** IAM アイデンティティセンターを初めて有効にすると、別の ID ソースを選択しない限り、デフォルトの ID ソースとしてアイデンティティセンターディレクトリで自動的に設定されます。Identity Center ディレクトリを使用して、ユーザーとグループを作成し、そのアクセスレベルを AWS アカウント およびアプリケーションに割り当てます。

**注記**  
IAM Identity Center は SAMBA4 ベースの Simple AD をアイデンティティソースとしてサポートしていません。

**Topics**
+ [

# ID ソースの変更に関する注意事項
](manage-your-identity-source-considerations.md)
+ [

# アイデンティティソースを変更する
](manage-your-identity-source-change.md)
+ [

# IAM アイデンティティセンターでサポートされるユーザー属性とグループ属性
](manage-your-identity-source-attribute-use.md)
+ [

# 外部 ID プロバイダー
](manage-your-identity-source-idp.md)
+ [

# Microsoft AD ディレクトリ
](manage-your-identity-source-ad.md)

# ID ソースの変更に関する注意事項
<a name="manage-your-identity-source-considerations"></a>

アイデンティティソースはいつでも変更できますが、この変更が現在のデプロイにどのように影響するかを検討することをお勧めします。

あるアイデンティティソースですでにユーザーとグループを管理している場合、別のアイデンティティソースに変更すると、IAM アイデンティティセンターで設定したユーザーとグループの割り当てがすべて削除される可能性があります。この場合、IAM Identity Center の管理ユーザーを含むすべてのユーザーは、 AWS アカウント およびアプリケーションへのシングルサインオンアクセスを失います。

IAM アイデンティティセンターの ID ソースを変更する前に、以下の考慮事項を確認してください。ID ソースの変更を続行する場合は、詳細について [アイデンティティソースを変更する](manage-your-identity-source-change.md) を参照してください。

## IAM アイデンティティセンターディレクトリと Active Directory 間の切り替え
<a name="changing-between-sso-and-active-directory"></a>

すでに Active Directory でユーザーとグループを管理している場合は、IAM アイデンティティセンターを有効にして ID ソースを選択するときに、ディレクトリの接続を検討することをお勧めします。デフォルトの Identity Center ディレクトリにユーザーやグループを作成して割り当てを行う前に、この作業を行ってください。

**重要**  
IAM アイデンティティセンターの ID ソースタイプを Active Directory との間で変更する場合は、ID ストア ID が変更されることに注意してください。これには、以下のような影響が考えられます。  
デフォルトの AWS アクセスポータル URL が変更されます。新しい URL をワークフォースに伝え、ブックマーク、ゲートウォールまたはファイアウォールの許可リスト、およびこの URL が参照される設定を更新する必要があります。この変更は、ユーザーの中断を最小限に抑えるために、スケジュールされたメンテナンスウィンドウで実行することをお勧めします。
IAM アイデンティティセンターで保管時の暗号化にカスタマーマネージド KMS キーを使用していて、暗号化コンテキストで KMS キーポリシーを設定している場合は、ID ストアの暗号化コンテキストが変更されることに注意してください。例えば、ID ストア ARN の「arn:aws:identitystore::123456789012:identitystore/d-922763e9b3」では、「d-922763e9b3」は ID ストア ID です。この移行中のサービスの中断を防ぐには、ワイルドカードパターン「arn:aws:identitystore::123456789012:identitystore/\$1」を使用するように KMS キーポリシーを一時的に変更します。

既に Identity Center のデフォルトディレクトリでユーザーとグループを管理している場合は、次の点を考慮してください。
+ **割り当ての削除、ユーザーとグループの削除** — ID ソースを Active Directory に変更すると、ユーザーとグループが Identity Center ディレクトリから削除されます。この変更により、割り当ても削除されます。この場合、Active Directory に変更した後に、Active Directory のユーザーとグループを Identity Center ディレクトリに同期してから、それらの割り当てを再適用する必要があります。

  Active Directory を使用しない場合は、Identity Center のディレクトリにユーザーとグループを作成し、割り当てを行う必要があります。
+ **ID が削除されても割り当ては削除されない** — アイデンティティセンターディレクトリで ID が削除されると、IAM アイデンティティセンターでも対応する割り当てが削除されます。しかし Active Directory では、(Active Directory または同期された ID のどちらかで) ID が削除されても、対応する割り当ては削除されません。
+ **API のアウトバウンド同期なし** — Active Directory をアイデンティティソースとして使用する場合、「[作成、更新、および削除](https://docs.aws.amazon.com/singlesignon/latest/APIReference/API_Operations.html)」API は注意して使用することをお勧めします。IAM アイデンティティセンターはアウトバウンド同期をサポートしていないため、これらの API を使用してユーザーまたはグループに加えた変更によってアイデンティティソースが自動的に更新されることはありません。
+ **アクセスポータル URL が変更される** – IAM Identity Center と Active Directory 間で ID ソースを変更すると、 AWS アクセスポータルの URL も変更されます。
+ IAM アイデンティティセンターコンソールで ID ストア API を使用してユーザーが削除または無効化された場合、アクティブなセッションを持つユーザーは、 統合されたアプリケーションおよびアカウントに引き続きアクセスできます。認証セッションの期間とユーザー動作については、「[IAM アイデンティティセンターの認証セッションについて](authconcept.md)」を参照してください。

IAM アイデンティティセンターがユーザーとグループをどのようにプロビジョニングするかについては、「[Microsoft AD ディレクトリ](manage-your-identity-source-ad.md)」を参照してください。

## IAM アイデンティティセンターから外部 IdP への変更
<a name="changing-from-idc-and-idp"></a>

ID ソースを IAM アイデンティティセンターから外部 ID プロバイダー (IdP) に変更する場合は、次の点を考慮してください。
+ **割り当てとメンバーシップは正しいアサーションで機能する** – 新しい IdP が正しいアサーション (SAML nameID など) を送信する限り、ユーザー割り当て、グループ割り当て、グループメンバーシップは引き続き機能します。これらのアサーションは、IAM アイデンティティセンターのユーザー名およびグループと一致する必要があります。
+ **アウトバウンド同期なし** — IAM アイデンティティセンターはアウトバウンド同期をサポートしていないため、IAM アイデンティティセンターで行ったユーザーやグループの変更によって外部 IdP が自動的に更新されることはありません。
+ **SCIM プロビジョニング** – SCIM プロビジョニングを使用している場合、ID プロバイダーのユーザーおよびグループに対する変更は、ID プロバイダーがそれらの変更を IAM アイデンティティセンターに送信した後にのみ IAM アイデンティティセンターに反映されます。「[自動プロビジョニングを使用する際の注意事項](provision-automatically.md#auto-provisioning-considerations)」を参照してください。
+ **ロールバック** – IAM アイデンティティセンターを使用して ID ソースをいつでも元に戻すことができます。「[IAM アイデンティティセンターから外部 IdP への変更](#changing-from-idp-and-idc)」を参照してください。
+ **セッション期間の有効期限が切れると、既存のユーザーセッションを取り消し** – ID ソースを外部 ID プロバイダーに変更すると、アクティブなユーザーセッションは、コンソールで設定された最大セッション期間の残りの間、継続します。例えば、 AWS アクセスポータルセッションの期間を 8 時間に設定し、4 時間以内に ID ソースを変更した場合、アクティブなユーザーセッションはさらに 4 時間保持されます。ユーザーセッションを取り消すには、「[ワークフォースユーザーのアクティブなセッションを表示および終了する](end-active-sessions.md)」を参照してください。

  IAM アイデンティティセンターコンソールで ID ストア API を使用してユーザーが削除または無効化された場合、アクティブなセッションを持つユーザーは、 統合されたアプリケーションおよびアカウントに引き続きアクセスできます。認証セッションの期間とユーザー動作については、「[IAM アイデンティティセンターの認証セッションについて](authconcept.md)」を参照してください。
**注記**  
ユーザーの削除後、IAM アイデンティティセンターコンソールからユーザーセッションを取り消すことはできません。

IAM アイデンティティセンターがユーザーとグループをどのようにプロビジョニングするかについては、「[外部 ID プロバイダー](manage-your-identity-source-idp.md)」を参照してください。

## IAM アイデンティティセンターから外部 IdP への変更
<a name="changing-from-idp-and-idc"></a>

ID ソースを IAM アイデンティティセンターから外部 ID プロバイダー (IdP) に変更する場合は、次の点を考慮してください。
+ IAM アイデンティティセンターセンターではすべての割り当てが保持されます。
+ **パスワードリセットを強制する** — IAM アイデンティティセンターでパスワードを持っていたユーザーは、以前のパスワードでサインインを続けることができます。外部 IdP にいて、IAM アイデンティティセンターにいなかったユーザーに対して、パスワードリセットを強制する必要があります。
+ **セッション期間の有効期限が切れると、既存のユーザーセッションが取り消される** – ID ソースを IAM アイデンティティセンターに変更すると、アクティブなユーザーセッションは、コンソールで設定された最大セッション期間の残りの時間の間、継続されます。例えば、 AWS アクセスポータルセッションの所要時間が 8 時間で、4 時間目に ID ソースを変更した場合、アクティブなユーザーセッションはさらに 4 時間実行されます。ユーザーセッションを取り消すには、「[ワークフォースユーザーのアクティブなセッションを表示および終了する](end-active-sessions.md)」を参照してください。

  IAM アイデンティティセンターコンソールで ID ストア API を使用してユーザーが削除または無効化された場合、アクティブなセッションを持つユーザーは、 統合されたアプリケーションおよびアカウントに引き続きアクセスできます。認証セッションの期間とユーザー動作については、「[IAM アイデンティティセンターの認証セッションについて](authconcept.md)」を参照してください。
**注記**  
ユーザーの削除後、IAM アイデンティティセンターコンソールからユーザーセッションを取り消すことはできなくなります。
+ **マルチリージョンのサポート** – IAM Identity Center を追加のリージョンにレプリケートした場合、またはレプリケートする予定がある場合は、外部 ID プロバイダーを ID ソースとして使用する必要があります。その他の前提条件を含む詳細については、「」を参照してください[複数の で IAM Identity Center を使用する AWS リージョン](multi-region-iam-identity-center.md)。

IAM Identity Center がユーザーとグループをどのようにプロビジョニングするかについては、「[アイデンティティセンターディレクトリでユーザーを管理する](manage-your-identity-source-sso.md)」を参照してください。

## ある外部 IdP から別の外部 IdP への変更
<a name="changing-from-one-idp-to-another-idp"></a>

IAM アイデンティティセンターの ID ソースとして既に外部 IdP を使用していて、別の外部 IdP に変更する場合は、次の点を考慮してください。
+ **アサインメントとメンバーシップは正しいアサーションで機能する** – IAM アイデンティティセンターはアサインメントをすべて保持します。新しい IdP が正しいアサーション (SAML nameID など) を送信する限り、ユーザー割り当て、グループ割り当て、グループメンバーシップは引き続き機能します。

   これらのアサーションは、ユーザーが新しい外部 IdP を介して認証する際に、IAM アイデンティティセンターのユーザー名と一致する必要があります。
+ **SCIM プロビジョニング** – IAM アイデンティティセンターへのプロビジョニングに SCIM を使用している場合は、本ガイドの IdP 固有の情報や IdP のドキュメントを確認して、SCIM を有効にしたときに新しいプロバイダーでユーザーやグループが正しく一致するかどうかを確認するようお勧めします。
+ **セッション期間の有効期限が切れると、既存のユーザーセッションが取り消される** – ID ソースを別の外部 ID プロバイダーに変更すると、アクティブなユーザーセッションは、コンソールで設定された最大セッション期間の残り時間の間、継続します。例えば、 AWS アクセスポータルセッションの所要時間が 8 時間で、4 時間目に ID ソースを変更した場合、アクティブなユーザーセッションはさらに 4 時間保持されます。ユーザーセッションを取り消すには、「[ワークフォースユーザーのアクティブなセッションを表示および終了する](end-active-sessions.md)」を参照してください。

  IAM アイデンティティセンターコンソールで ID ストア API を使用してユーザーが削除または無効化された場合、アクティブなセッションを持つユーザーは、 統合されたアプリケーションおよびアカウントに引き続きアクセスできます。認証セッションの期間とユーザー動作については、「[IAM アイデンティティセンターの認証セッションについて](authconcept.md)」を参照してください。
**注記**  
ユーザーの削除後、IAM アイデンティティセンターコンソールからユーザーセッションを取り消すことはできません。

IAM Identity Center がユーザーとグループをどのようにプロビジョニングするかについては、「[外部 ID プロバイダー](manage-your-identity-source-idp.md)」を参照してください。

## IAM アイデンティティセンターと Active Directory の切り替え
<a name="changing-between-microsoft-ad-and-azure-active-directory"></a>

アイデンティティソースを外部 IdP から Active Directory に、または Active Directory から外部 IdP に変更する場合は、次の点を考慮してください。
+ **ユーザー、グループ、割り当てが削除される** — すべてのユーザー、グループ、および割り当てが IAM アイデンティティセンターから削除されます。外部の IdP や Active Directory のユーザーやグループの情報は影響を受けません。
+ **ユーザーのプロビジョニング** — 外部 IdP に変更した場合、ユーザーのプロビジョニングに IAM アイデンティティセンターを設定する必要があります。または、外部 IdP のユーザーやグループを手動でプロビジョニングしてから、割り当てを設定する必要があります。
+ **アサインメントとグループの作成** — Active Directory に変更する場合は、Active Directory 内のディレクトリにあるユーザーとグループを使用してアサインメントを作成する必要があります。
+ IAM アイデンティティセンターコンソールで ID ストア API を使用してユーザーが削除または無効化された場合、アクティブなセッションを持つユーザーは、 統合されたアプリケーションおよびアカウントに引き続きアクセスできます。認証セッションの期間とユーザー動作については、「[IAM アイデンティティセンターの認証セッションについて](authconcept.md)」を参照してください。
+ **マルチリージョンのサポート** – IAM Identity Center を追加のリージョンにレプリケートした場合、またはレプリケートする予定がある場合は、外部 ID プロバイダーを ID ソースとして使用する必要があります。その他の前提条件を含む詳細については、「」を参照してください[複数の で IAM Identity Center を使用する AWS リージョン](multi-region-iam-identity-center.md)。

IAM Identity Center がユーザーとグループをどのようにプロビジョニングするかについては、「[Microsoft AD ディレクトリ](manage-your-identity-source-ad.md)」を参照してください。

# アイデンティティソースを変更する
<a name="manage-your-identity-source-change"></a>

以下の手順では、IAM アイデンティティセンターが提供するディレクトリ (デフォルトの ID センターディレクトリ) から Active Directory または外部 ID プロバイダ、またはその逆に変更する方法について説明します。次に進む前に、[ID ソースの変更に関する注意事項](manage-your-identity-source-considerations.md)の情報を確認してください。この手順を完了するには、IAM アイデンティティセンターの組織インスタンスが必要です。詳細については、「[IAM アイデンティティセンターの組織インスタンスとアカウントインスタンス](identity-center-instances.md)」を参照してください。

**警告**  
現在のデプロイメントによっては、この変更により IAM アイデンティティセンターで設定したユーザーとグループの割り当てがすべて削除されます。この変更により、アクセス許可セットの IAM ロールも から削除されます AWS アカウント。その結果、リソースポリシーを更新する必要がある場合があります。これにより、 AWS KMS キーと Amazon EKS クラスターへのアクセスが中断されないようにする必要があります。詳細については[リソースポリシー、Amazon EKS クラスター設定マップ、および AWS KMS キーポリシーでのアクセス許可セットの参照](referencingpermissionsets.md)を参照してください。  
この場合、IAM Identity Center の管理ユーザーを含むすべてのユーザーとグループは、 AWS アカウント およびアプリケーションへのシングルサインオンアクセスを失います。

**アイデンティティソースを変更するには**

1. [IAM アイデンティティセンターコンソール](https://console.aws.amazon.com/singlesignon) を開きます。

1. **[設定]** を選択します。

1. [**設定**] ページの [**ID ソース**] タブを選択します。**[アクション]** を選択し、**[ID ソースの変更]** を選択します。

1. [**ID ソースを変更**] ページで、切り替え先のソースを選択し、[**次へ**] を選択します。

   Active Directory に変更する場合は、次のページのメニューから使用可能なディレクトリを選択します。
**重要**  
ID ソースを Active Directory に変更したり、Active Directory から変更したりすると、ID センターのディレクトリからユーザーとグループが削除されます。この変更により、IAM アイデンティティセンターで設定した割り当てもすべて削除されます。
**注記**  
IAM Identity Center を追加のリージョンにレプリケートした場合、ID ソースタイプを変更することはできません。現在の外部 IdP は別の外部 IdP のみに置き換えることができます。ID ソースタイプを変更するには、まず追加のリージョンをすべて削除する必要があります。詳細については、[複数の で IAM Identity Center を使用する AWS リージョン](multi-region-iam-identity-center.md)を参照してください。

   外部 ID プロバイダーに切り替えるには、[外部 ID プロバイダに接続する方法](how-to-connect-idp.md)の手順を実施することをお勧めします。

1. 免責事項を読み、次に進む準備ができたら、**[許諾]** と入力してください。

1. **[IDソースの変更]** を選択します。アイデンティティソースを Active Directory に変更する場合は、次のステップに進んでください。

1. ID ソースを Active Directory に変更すると、**[設定]** ページが表示されます。[**設定**] ページでは、次のいずれかの操作を行います。
   + [**ガイド付きセットアップ**] を選択します。ガイド付きセットアッププロセスを完了する方法についての詳細は、[ガイド付きセットアップ](manage-sync-configurable-ADsync.md#manage-sync-guided-setup-configurable-ADsync)を参照してください。
   + **[アイデンティティソース]** セクションで、**[アクション]** を選択し、**[同期の管理]** を選択して、[同期範囲]、つまり同期するユーザーとグループのリストを設定します。

# IAM アイデンティティセンターでサポートされるユーザー属性とグループ属性
<a name="manage-your-identity-source-attribute-use"></a>

 このガイドでは、IAM アイデンティティセンターでの SCIM 属性のサポートに関するリファレンスを提供します。SCIM 仕様のユーザー属性とグループ属性が IAM アイデンティティセンター ID ストアでサポートされていることをリストし、サポートされていない特定の属性とサブ属性を識別します。

属性とは、`name`、`email`、`members` など、個々のユーザーやグループのオブジェクトを定義し、識別するための情報のことです。IAM アイデンティティセンターは、手動入力と自動 SCIM プロビジョニングの両方を通じて、最も一般的に使用される属性をサポートします。
+ System for Cross-Domain Identity Management (SCIM) 仕様の詳細については、[https://tools.ietf.org/html/rfc7642](https://tools.ietf.org/html/rfc7642) を参照してください。
+ 手動および自動プロビジョニングの詳細については、「[ユーザーが外部の IdP から来た場合のプロビジョニング](manage-your-identity-source-idp.md#provisioning-when-external-idp)」を参照してください。
+ 属性のマッピングの詳細については、「[IAM アイデンティティセンターと外部 ID プロバイダーディレクトリ間の属性マッピング](attributemappingsconcept.md)」を参照してください。

IAM アイデンティティセンターは自動プロビジョニングのユースケースのために SCIM をサポートしているので、アイデンティティセンターは、いくつかの例外を除いて、SCIM 仕様に記載されているのと同じユーザーとグループの属性をすべてサポートしています。次のセクションでは、IAM アイデンティティセンターでサポートしていない属性について説明します。

## サポートされていないユーザーオブジェクト
<a name="user-object-attributes"></a>

SCIM ユーザースキーマ ([https://tools.ietf.org/html/rfc7643\$1section-8.3](https://tools.ietf.org/html/rfc7643#section-8.3)) のすべての属性は、IAM Identity Center ID ストアでサポートされていますが、以下を除きます。
+ `password`
+ `ims`
+ `photos`
+ `entitlements`
+ `x509Certificates`

ユーザーのすべてのサブ属性がサポートされていますが、以下の項目はサポートされていません。
+ 複数の値を持つ属性のうち、`'display'` の副属性 (例えば、`emails` や `phoneNumbers` など)
+ `'meta'` 属性の `'version'` サブ属性

## グループオブジェクトはサポートされていません
<a name="group-object-attributes"></a>

SCIM グループスキーマ ([https://tools.ietf.org/html/rfc7643\$1section-8.4](https://tools.ietf.org/html/rfc7643#section-8.4)) のすべての属性がサポートされています。

グループのすべてのサブ属性は、以下を除いてサポートされています。
+ 多値属性 (例: メンバー) の `'display'` サブ属性。

# 外部 ID プロバイダー
<a name="manage-your-identity-source-idp"></a>

IAM アイデンティティセンターでは、Security Assertion Markup Language (SAML) 2.0 および System for Cross-Domain Identity Management (SCIM) プロトコルを使用して、外部 ID プロバイダー (IdP) から既存のワークフォース ID を接続できます。これにより、ユーザーは AWS アクセスポータルにサインインできるようになります。そして、外部の IdP でホストされている、割り当てられたアカウント、ロール、アプリケーションにナビゲートすることができます。

例えば、Okta や Microsoft Entra ID などの外部 IdP を IAM アイデンティティセンターに接続できます。その後、ユーザーは既存の Oktaまたは Microsoft Entra ID認証情報を使用して AWS アクセスポータルにサインインできます。ユーザーがサインインした後に実行できる操作を制御するには、 AWS 組織内のすべてのアカウントとアプリケーションに一元的にアクセス許可を割り当てることができます。さらに、開発者は既存の認証情報を使用して AWS Command Line Interface (AWS CLI) にサインインするだけで、認証情報の自動的な短期生成とローテーションを利用できます。

Active Directory または でセルフマネージドディレクトリを使用している場合は AWS Managed Microsoft AD、「」を参照してください[Microsoft AD ディレクトリ](manage-your-identity-source-ad.md)。

**注記**  
SAML プロトコルは、ユーザーやグループについての情報を得るために IdP へクエリする方法は提供していません。そのため、IAM アイデンティティセンターがこれらのユーザーやグループを IAM アイデンティティセンターにプロビジョニングして認識する必要があります。

## ユーザーが外部の IdP から来た場合のプロビジョニング
<a name="provisioning-when-external-idp"></a>

外部 IdP を使用する場合は、 AWS アカウント または アプリケーションに割り当てる前に、該当するすべてのユーザーとグループを IAM Identity Center にプロビジョニングする必要があります。これを行うには、ユーザーやグループに合わせて [SCIM を使用して外部 ID プロバイダーからユーザーとグループをプロビジョニングする](provision-automatically.md) を設定するか、[手動のプロビジョニング](provision-automatically.md#provision-manually) を使用します。ユーザーのプロビジョニング方法に関係なく、IAM Identity Center は AWS マネジメントコンソール、、コマンドラインインターフェイス、およびアプリケーション認証を外部 IdP にリダイレクトします。IAM アイデンティティセンターでは、IAM アイデンティティセンターセンターで作成したポリシーに基づいて、それらのリソースへのアクセス権を付与します。プロビジョニングの詳細については、「[ユーザーおよびグループのプロビジョニング](users-groups-provisioning.md#user-group-provision)」を参照してください。

**Topics**
+ [

## ユーザーが外部の IdP から来た場合のプロビジョニング
](#provisioning-when-external-idp)
+ [

# 外部 ID プロバイダに接続する方法
](how-to-connect-idp.md)
+ [

# IAM アイデンティティセンターで外部 ID プロバイダーからのメタデータを変更するには
](how-to-change-idp-metadata.md)
+ [

# 外部 ID プロバイダーで SAML および SCIM ID フェデレーションを使用する
](other-idps.md)
+ [

# SCIM プロファイルおよび SAML 2.0 の実装
](scim-profile-saml.md)

# 外部 ID プロバイダに接続する方法
<a name="how-to-connect-idp"></a>

サポートされている外部 IdP ごとに、さまざまな前提条件、考慮事項、プロビジョニング手順があります。複数の IdP 向けに、ステップバイステップのチュートリアルが用意されています。
+ [CyberArk](cyberark-idp.md)
+ [Google Workspace](gs-gwp.md)
+ [JumpCloud](jumpcloud-idp.md)
+ [Microsoft Entra ID](idp-microsoft-entra.md)
+ [Okta](gs-okta.md)
+ [OneLogin](onelogin-idp.md)
+ [Ping Identity](pingidentity.md)

IAM アイデンティティセンターがサポートする外部 IdP に関する考慮事項については、「[外部 ID プロバイダーで SAML および SCIM ID フェデレーションを使用する](other-idps.md)」を参照してください。

 以下の手順は、すべての外部 ID プロバイダーで使用される手順の概要を示しています。

**外部 ID プロバイダに接続する方法には**

1. [IAM アイデンティティセンターコンソール](https://console.aws.amazon.com/singlesignon)を開きます。

1. **[設定]** を選択します。

1. **[設定]** ページで **[ID ソース]** タブを選択し、**[アクション] > [ID ソースを変更]** を選択します。

1. **[ID ソースの選択]** で **[外部 ID プロバイダー]** を選択し、**[次へ]** を選択します。

1. **[外部 ID プロバイダーの設定]** で、次の操作を行います。

   1. [**サービスプロバイダーメタデータ**] で、[**Download metadata file**] (メタデータファイルのダウンロード) を選択すると、メタデータファイルがダウンロードされ、システムに保存されます。IAM アイデンティティセンター SAML メタデータファイルは、外部の ID プロバイダーに必要です。
**注記**  
ダウンロードする SAML メタデータファイルには、IPv4-onlyとデュアルスタックの両方のアサーションコンシューマーサービス (ACS) URLs。さらに、IAM Identity Center が追加のリージョンにレプリケートされている場合、メタデータファイルには追加のリージョンごとに ACS URLsが含まれます。外部 IdP に ACS URLs の数に制限がある場合は、不要な ACS URLs を削除する必要があります。たとえば、組織でデュアルスタックエンドポイントが完全に採用されており、IP4v-onlyエンドポイントを使用しなくなった場合は、後者を削除できます。別の方法は、メタデータファイルを使用するのではなく、ACS URLs をコピーして外部 IdP に貼り付けることです。

   1. **[ID プロバイダのメタデータ]** で、**[ファイルを参照]** を選択し、外部の ID プロバイダからダウンロードしたメタデータファイルを検索します。次に、ファイルをアップロードします。このメタデータファイルには，IdP から送信されるメッセージを信頼を得るための公開 x509 証明書が含まれています。

   1. [**次へ**] を選択します。
**重要**  
ソースをアクティブディレクトリとの間で変更すると、既存のユーザーやグループの割り当てがすべて削除されます。ソースの変更が成功したら、手動で割り当てを再適用する必要があります。

1. 免責事項を読み、次に進む準備ができたら、**[ACCEPT]** (許諾) を押してください。

1. **[Change identity source]** (ID ソースの変更) を選択します。ID ソースを正常に変更したことを知らせるメッセージが表示されます。

# IAM アイデンティティセンターで外部 ID プロバイダーからのメタデータを変更するには
<a name="how-to-change-idp-metadata"></a>

IAM アイデンティティセンターに提供済みの外部 ID プロバイダーからのメタデータを変更することができます。これらの変更は、ユーザーが IAM Identity Center を介してサインインし、 AWS リソースにアクセスする機能に影響します。以下の手順では、IAM アイデンティティセンターに保存されている外部 IdP からのメタデータを更新する方法について説明します。この手順を完了するには、IAM アイデンティティセンターの組織インスタンスが必要です。詳細については、「[IAM アイデンティティセンターの組織インスタンスとアカウントインスタンス](identity-center-instances.md)」を参照してください。

**外部 ID プロバイダーからのメタデータを変更するには**

1. [IAM アイデンティティセンターコンソール](https://console.aws.amazon.com/singlesignon)を開きます。

1. **[設定]** を選択します。

1. [**設定**] ページの [**ID ソース**] タブを選択します。**[アクション]** > **[認証の管理]** を選択します。

1. **[アイデンティティプロバイダーのメタデータ]** セクションで、**[IdP メタデータを編集]** を選択します。このページでは、外部 IdP の IdP サインイン URL や IdP 発行者 URL を変更できます。必要な変更をすべて行ったら、**[変更を保存]** を選択します。

# 外部 ID プロバイダーで SAML および SCIM ID フェデレーションを使用する
<a name="other-idps"></a>

IAM アイデンティティセンターは、ID フェデレーションのために以下の標準ベースのプロトコルを実装しています。
+ ユーザー認証用の SAML 2.0
+ SCIM のプロビジョニング

これらの標準的なプロトコルを実装している ID プロバイダー (IdP) は、以下の特別な注意事項を除き、IAM アイデンティティセンターと正常に相互運用できると考えられます。
+ **SAML**
  + IAM Identity Center では、SAML の nameID 形式のメールアドレス (つまり `urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress`) が必要です。
  + アサーション内の nameID フィールドの値は、RFC 2822 ([https://tools.ietf.org/html/rfc2822](https://tools.ietf.org/html/rfc2822)) のアドレス仕様準拠 (「`name@domain.com`」) の文字列 ([https://tools.ietf.org/html/rfc2822\$1section-3.4.1](https://tools.ietf.org/html/rfc2822#section-3.4.1)) でなければなりません。
  + メタデータファイルは 75000 文字を超えることはできません。
  + メタデータには、サインイン URL の一部として EntityID、X509 証明書、および SingleSignOnService が含まれている必要があります。
  + 暗号化キーはサポートされていません。
  + IAM アイデンティティセンターは、外部 IdPs に送信する SAML 認証リクエストの署名をサポートしていません。
  + IAM アイデンティティセンターを追加のリージョンにレプリケートし、マルチリージョン IAM アイデンティティセンターの利点を最大限に活用する場合は、IdP は複数のアサーションコンシューマーサービス (ACS) URLs をサポートする必要があります。詳細については、「[複数の で IAM Identity Center を使用する AWS リージョン](multi-region-iam-identity-center.md)」を参照してください。単一の ACS URL を使用すると、追加のリージョンでのユーザーエクスペリエンスに影響する可能性があります。プライマリリージョンは引き続き正常に機能します。単一の ACS URL を持つ追加のリージョンでのユーザーエクスペリエンスの詳細については、[複数の ACS URL なしで AWS マネージドアプリケーションを使用する URLs](multi-region-workforce-access.md#aws-app-use-without-multiple-acs-urls)「」および「」を参照してください[AWS アカウント 複数の ACS URLs を使用せずに回復性にアクセスする](multi-region-failover.md#account-access-resiliency-without-multiple-acs-url)。
+ **SCIM**
  + IAM アイデンティティセンター SCIM の実装は、SCIM RFCs 7642 ([https://tools.ietf.org/html/rfc7642](https://tools.ietf.org/html/rfc7642)), 7643 ([https://tools.ietf.org/html/rfc7643](https://tools.ietf.org/html/rfc7643)) および 7644 ([https://tools.ietf.org/html/rfc7644](https://tools.ietf.org/html/rfc7644))と、2020 年 3 月にドラフトされた FastFed Basic SCIM Profile 1.0 ([https://openid.net/specs/fastfed-scim-1\$10-02.html\$1rfc.section.4](https://openid.net/specs/fastfed-scim-1_0-02.html#rfc.section.4)) で定められた相互運用性の要件に基づいています。これらのドキュメントと現在の IAM アイデンティティセンターでの実装との違いは、「IAM アイデンティティセンター SCIM 実装デベロッパーガイドの 「[サポートされる API オペレーション](https://docs.aws.amazon.com/singlesignon/latest/developerguide/supported-apis.html)」のセクションに記載されています。

上記の規格や注意事項に準拠していない IdP はサポートされません。これらの規格や注意事項への製品の適合性に関する質問や説明については、お客様の IdP にお問い合わせください。

お使いの IdP と IAM アイデンティティセンターの接続に問題がある場合は、以下を確認することをお勧めします。
+ AWS CloudTrail **ExternalIdPDirectoryLogin** というイベント名でフィルタリングしてログを記録する
+ IdP 固有のログやデバッグログ
+ [IAM Identity Center の問題のトラブルシューティング](troubleshooting.md)

**注記**  
[IAM アイデンティティセンターの ID ソースに関するチュートリアル](tutorials.md) にあるような一部の IdP は、IAM アイデンティティセンター専用に構築された「アプリケーション」または「コネクター」の形式で、IAM アイデンティティセンター向けの簡素化された構成エクスペリエンスを提供します。お使いの IdP がこのオプションを提供している場合は、IAM アイデンティティセンター用に作成されたアイテムを慎重に選択して使用することをお勧めします。AWS「」、AWS 「フェデレーション」、または同様の一般的なAWS「」名と呼ばれるその他の項目は、他のフェデレーションアプローチやエンドポイントを使用する可能性があり、IAM Identity Center では期待どおりに動作しない場合があります。

# SCIM プロファイルおよび SAML 2.0 の実装
<a name="scim-profile-saml"></a>

SCIM および SAML は共に IAM アイデンティティセンターを構成する上で重要な注意事項です。

## SAML 2.0 の実装
<a name="samlfederationconcept"></a>

IAM アイデンティティセンターは、[SAML (Security Assertion Markup Language)](https://wiki.oasis-open.org/security) 2.0 との ID フェデレーションをサポートします。これにより、IAM アイデンティティセンターは、外部の ID プロバイダー (IdP) からの ID を認証することができます。SAML 2.0 は、SAML アサーションを安全に交換するためのオープンスタンダードです。SAML 2.0 は、SAML 権限 (ID プロバイダ (IdP) と呼ばれます) と SAML コンシューマ (サービスプロバイダ (SP) と呼ばれます) の間で、ユーザに関する情報を渡します。IAM アイデンティティセンターサービスは、この情報を使って、フェデレーテッドシングルサインオン (SSO) を提供します。シングルサインオンを使用すると、ユーザーは既存の ID プロバイダーの認証情報に基づいて AWS アカウント および設定されたアプリケーションにアクセスできます。

IAM Identity Center は、IAM Identity Center ストア AWS Managed Microsoft ADまたは外部 ID プロバイダーに SAML IdP 機能を追加します。その後、ユーザーは、、、 などの AWS マネジメントコンソール やサードパーティーアプリケーションなどMicrosoft 365、SAML をサポートするサービスにシングルサインオンできますConcurSalesforce。

しかし SAML プロトコルは、ユーザーやグループについての情報を得るために IdP へクエリする手段は提供しません。そのため、IAM アイデンティティセンターがこれらのユーザーやグループを IAM アイデンティティセンターにプロビジョニングして認識する必要があります。

## SCIM プロファイル
<a name="scim-profile"></a>

IAM アイデンティティセンターは、クロスドメインアイデンティティ管理システム (SCIM) v2.0 規格に対応しています。SCIM は、IAM アイデンティティセンターの ID と IdP の ID を同期させます。これには、IdP と IAM アイデンティティセンターの間で行われるユーザーのプロビジョニング、アップデート、デプロビジョニングが含まれます。

SCIM を実装する方法の詳細については、「[SCIM を使用して外部 ID プロバイダーからユーザーとグループをプロビジョニングする](provision-automatically.md)」を参照してください。IAM Identity Center の SCIM 実装の詳細については、「[IAM Identity Center SCIM 実装デベロッパーガイド](https://docs.aws.amazon.com/singlesignon/latest/developerguide/what-is-scim.html)」 () を参照してください。

**Topics**
+ [

## SAML 2.0 の実装
](#samlfederationconcept)
+ [

## SCIM プロファイル
](#scim-profile)
+ [

# SCIM を使用して外部 ID プロバイダーからユーザーとグループをプロビジョニングする
](provision-automatically.md)
+ [

# SAML 2.0 証明書をローテーションする
](managesamlcerts.md)

# SCIM を使用して外部 ID プロバイダーからユーザーとグループをプロビジョニングする
<a name="provision-automatically"></a>

IAM アイデンティティセンターは、クロスドメインアイデンティティ管理システム (SCIM) v2.0 プロトコルを使用して、ID プロバイダー (IdP) から IAM アイデンティティセンターへのユーザーおよびグループ情報の自動プロビジョニング (同期化) をサポートしています。SCIM 同期を設定すると、ID プロバイダー (IdP) のユーザー属性と IAM アイデンティティセンターの名前付き属性のマッピングが作成されます。これにより、IAM アイデンティティセンターとお客様の IdP の間で、期待される属性が一致します。この接続を IdP で設定するには、IAM アイデンティティセンター用の SCIM エンドポイントと IAM アイデンティティセンターで作成したベアラートークンを使用します。

**Topics**
+ [

## 自動プロビジョニングを使用する際の注意事項
](#auto-provisioning-considerations)
+ [

## アクセストークンの有効期限を監視する方法
](#access-token-expiry)
+ [

# アクセストークンを生成する
](generate-token.md)
+ [

# 自動プロビジョニングを有効にする
](how-to-with-scim.md)
+ [

# アクセストークンを削除する
](delete-token.md)
+ [

# 自動プロビジョニングを無効にする
](disable-provisioning.md)
+ [

# アクセストークンをローテーションする
](rotate-token.md)
+ [

# 自動プロビジョニングされたリソースの監査と調整
](reconcile-auto-provisioning.md)
+ [

## 手動のプロビジョニング
](#provision-manually)

## 自動プロビジョニングを使用する際の注意事項
<a name="auto-provisioning-considerations"></a>

SCIM のデプロイを開始する前に、まず、IAM アイデンティティセンターとの連携について、以下の注意事項を確認することをお勧めします。プロビジョニングに関する追加の注意事項については、お使いの IdP 向け [IAM アイデンティティセンターの ID ソースに関するチュートリアル](tutorials.md) を参照してください。
+ プライマリの E メールアドレスをプロビジョニングする場合、この属性値は各ユーザーに対して一意でなければなりません。一部の IdP では、プライマリ E メールアドレスが実在しない場合があります。例えば、E メールにしか見えない UPN (Universal Principal Name) だったりします。これらの IdP は、ユーザーの実際の E メールアドレスを含むセカンダリまたは「その他」の E メールアドレスを持っている場合があります。Null 以外の一意なメールアドレスを IAM アイデンティティセンターのプライマリ E メールアドレス属性にマッピングするために、IdP の SCIM を設定する必要があります。また、ユーザーの Null 以外の一意なサインイン識別子を IAM アイデンティティセンターのユーザー名属性にマッピングする必要があります。ご利用の IdP に、サインイン識別子とユーザーの E メール名を兼ねた単一の値があるかどうかを確認してください。その場合、その IdP フィールドを IAM アイデンティティセンターのプライマリ E メールと IAM アイデンティティセンターのユーザー名の両方にマッピングすることができます。
+ SCIM の同期が機能するためには、すべてのユーザーが **First name** (名)、**Last name** (姓)、**Username** (ユーザーネーム)、**Display name** (表示名) の値を指定する必要があります。これらのすべての値が設定されていないユーザーはプロビジョニングされません。
+ サードパーティーのアプリケーションを使用する必要がある場合は、まず、アウトバウンド SAML のサブジェクト属性をユーザー名属性にマッピングする必要があります。サードパーティーのアプリケーションにルーティング可能な E メールアドレスが必要な場合、E メール属性を IdP に提供する必要があります。
+ SCIM のプロビジョニングとアップデートの間隔は、ID プロバイダーによって管理されます。ID プロバイダーのユーザーおよびグループに対する変更は、ID プロバイダーがそれらの変更を IAM アイデンティティセンターに送信した後に、 SSO にのみ反映されます。ユーザーやグループの更新の頻度については、ID プロバイダーにご確認ください。
+ 現在、SCIM では多値属性 (特定のユーザーに対する複数の E メールや電話番号など) は提供されていません。SCIM を使用した IAM アイデンティティセンターに多値属性を同期させようとすると失敗します。失敗を回避するために、各属性には 1 つの値しか渡さないようにします。マルチバリューの属性を持つユーザーがいる場合は、IAM アイデンティティセンターへの接続のために、IdP の SCIM で重複する属性マッピングを削除または変更します。
+ お客様の IdP での `externalId` SCIM マッピングが、一意で常に存在し、お客様のユーザにとって変更の可能性が低い値に対応していることを確認してください。例えば、IdP は、名前や E メールなどのユーザー属性の変更に影響されない、保証付きの `objectId` やその他の識別子を提供することができます。そうであれば、その値を SCIM の `externalId` フィールドにマッピングすることができます。これにより、名前や E メールを変更する必要がある場合に、ユーザーが AWS 使用権限、割り当て、またはアクセス許可を失うことがなくなります。
+ まだアプリケーションに割り当てられていないユーザー、または IAM Identity Center にプロビジョニング AWS アカウント できないユーザー。ユーザーとグループを同期させるには、ユーザーとグループが、IAM アイデンティティセンターへの IdP の接続を表すアプリケーションやその他の設定に割り当てられていることを確認してください。
+ ユーザープロビジョニング解除の動作は ID プロバイダーによって管理され、実装によって異なる場合があります。ユーザープロビジョニング解除の詳細については、ID プロバイダーにお問い合わせください。
+ IdP に SCIM を使用して自動プロビジョニングを設定した後は、IAM アイデンティティセンターコンソールでユーザーを追加または編集できなくなります。ユーザーを追加または変更する必要がある場合は、外部 IdP または ID ソースから追加または変更する必要があります。

IAM Identity Center の SCIM 実装の詳細については、「[IAM Identity Center SCIM 実装デベロッパーガイド](https://docs.aws.amazon.com/singlesignon/latest/developerguide/what-is-scim.html)」 () を参照してください。

## アクセストークンの有効期限を監視する方法
<a name="access-token-expiry"></a>

SCIM アクセストークンは 1 年の有効期間で生成されます。SCIM アクセストークンが 90 日以内に期限切れに設定されている場合、 はトークンのローテーションに役立つリマインダーを IAM Identity Center コンソールと AWS Health Dashboard AWS に送信します。SCIM アクセストークンを有効期限が切れる前にローテーションすることで、ユーザーとグループの情報の自動プロビジョニングを継続的に保護できます。SCIM アクセストークンの有効期限が切れると、ID プロバイダーから IAM アイデンティティセンターへのユーザーとグループの情報の同期が停止するため、自動プロビジョニングでは情報を更新したり、情報を作成、削除したりできなくなります。自動プロビジョニングが中断されると、セキュリティリスクが高まり、サービスへのアクセスに影響が及ぶ可能性があります。

Identity Center コンソールのリマインダーは、SCIM アクセストークンをローテーションして、未使用または期限切れのアクセストークンを削除するまで続きます。 AWS Health ダッシュボードイベントは、SCIM アクセストークンの有効期限が切れるまで、90 日から 60 日の間は週 2 回、60 日から 30 日の間は週 3 回、15 日の間は毎日更新されます。

# アクセストークンを生成する
<a name="generate-token"></a>

以下の手順で、IAM アイデンティティセンターコンソールで新しいアクセストークンを生成します。

**注記**  
この手順では、自動プロビジョニングが事前に有効になっている必要があります。詳細については、「[自動プロビジョニングを有効にする](how-to-with-scim.md)」を参照してください。

**新しいアクセストークンを生成するには**

1. [[IAM アイデンティティセンターコンソール](https://console.aws.amazon.com/singlesignon)] で、左のナビゲーションペインの [**設定**] を選択します。

1. **[設定]** ページで **[ID ソース]** タブを選択し、**[アクション] > [プロビジョニングの管理]** を選択します。

1. **[自動プロビジョニング]** ページで、 **[アクセストークン]** の **[トークンを生成する]** を選択します。

1. [**新しいアクセストークンを生成**] ダイアログで、新しいアクセストークンをコピーして安全な場所に保存します。

1. [**閉じる**] を選択してください。

# 自動プロビジョニングを有効にする
<a name="how-to-with-scim"></a>

SCIM プロトコルを使用して、IdP から IAM アイデンティティセンターへのユーザーおよびグループの自動プロビジョニングを有効にするには、以下の手順を使用します。

**注記**  
この手順を開始する前に、まずお客様の IdP に適用されるプロビジョニングに関する注意事項を確認することをお勧めします。詳細については、お使いの IdP の [IAM アイデンティティセンターの ID ソースに関するチュートリアル](tutorials.md) を参照してください。

**IAM アイデンティティセンターで自動プロビジョニングを有効にするには**

1. 前提条件が整ったら、[IAM アイデンティティセンターコンソール](https://console.aws.amazon.com/singlesignon)を開きます。

1. 左側のナビゲーションペインの **[設定]** を選択します。

1. **[設定]** ページで、**[自動プロビジョニング]** 情報ボックスを探し、**[有効化]** を選択します。これにより、すぐに IAM アイデンティティセンターの自動プロビジョニングが有効になり、必要なエンドポイントとアクセストークンの情報が表示されます。

1. **[インバウンド自動プロビジョニング]** ダイアログボックスで、SCIM エンドポイントとアクセストークンをコピーします。これらは、後で IdP でプロビジョニングを設定する際に貼り付ける必要があります。

   1. **[SCIM エンドポイント]** - 例えば https://scim.*us-east-2*.amazonaws.com/*11111111111-2222-3333-4444-555555555555*/scim/v2

   1. **[アクセストークン]** - **[トークンを表示]** を選択して値をコピーします。
**警告**  
SCIM エンドポイントとアクセストークンを取得できるタイミングは、この時のみです。先に進む前に、これらの値をコピーしておいてください。このチュートリアルの後半で、お使いの IdP 上でこれらの値を入力して自動プロビジョニングを設定します。

1. **[閉じる]** を選択します。

この手順が完了したら、IdP で自動プロビジョニングを設定する必要があります。詳細については、お使いの IdP の [IAM アイデンティティセンターの ID ソースに関するチュートリアル](tutorials.md) を参照してください。

# アクセストークンを削除する
<a name="delete-token"></a>

以下の手順で、IAM アイデンティティセンターコンソールで既存のアクセストークンを削除します。

**既存のアクセストークンを削除するには**

1. [[IAM アイデンティティセンターコンソール](https://console.aws.amazon.com/singlesignon)] で、左のナビゲーションペインの [**設定**] を選択します。

1. **[設定]** ページで **[ID ソース]** タブを選択し、**[アクション] > [プロビジョニングの管理]** を選択します。

1. **[自動プロビジョニング]** ページで、**[アクセストークン]** から削除したいアクセストークンを選び、**[削除]** を選択します。

1. **[Delete access token]** (アクセストークンを削除する) ダイアログボックスで、情報を確認し、**[DELETE]** (削除) と入力して、**[Delete access token]** (アクセストークンを削除する) を選択します。

# 自動プロビジョニングを無効にする
<a name="disable-provisioning"></a>

以下の手順で、IAM アイデンティティセンターコンソールでの自動プロビジョニングを無効にします。

**重要**  
この手順を行う前にアクセストークンを削除する必要があります。詳細については、「[アクセストークンを削除する](delete-token.md)」を参照してください。

**IAM アイデンティティセンターコンソールで自動プロビジョニングを無効にするには**

1. [[IAM アイデンティティセンターコンソール](https://console.aws.amazon.com/singlesignon)] で、左のナビゲーションペインの [**設定**] を選択します。

1. **[設定]** ページで **[ID ソース]** タブを選択し、**[アクション] > [プロビジョニングの管理]** を選択します。

1. **[自動プロビジョニング]** ページで、**[無効にする] ** を選択します。

1. **[Disable automatic provisioning]** (自動プロビジョニングを無効にする) ダイアログボックスで、情報を確認し、**[DISABLE]** (無効) と入力して、**[Disable automatic provisioning]** (自動プロビジョニングを無効にする) を選択します。

# アクセストークンをローテーションする
<a name="rotate-token"></a>

IAM アイデンティティセンターディレクトリは一度に 2 つまでのアクセストークンをサポートします。ローテーションの前に追加のアクセストークンを生成するには、期限切れまたは未使用のアクセストークンをすべて削除します。

SCIM アクセストークンの有効期限が近づいている場合は、以下の手順で IAM アイデンティティセンターコンソールで既存のアクセストークンをローテーションさせることができます。

**アクセストークンをローテーションするには**

1. [[IAM アイデンティティセンターコンソール](https://console.aws.amazon.com/singlesignon)] で、左のナビゲーションペインの [**設定**] を選択します。

1. **[設定]** ページで **[ID ソース]** タブを選択し、**[アクション] > [プロビジョニングの管理]** を選択します。

1. **[Automatic provisioning]** (自動プロビジョニング) ページの **[Access Token]** (アクセストークン) でローテーションさせたいトークンのトークン ID をメモしておきます。

1. [アクセストークンを生成する](generate-token.md) の手順に従って、新しいトークンを作成します。既に最大数の SCIM アクセストークンを作成している場合は、まず既存のトークンの 1 つを削除する必要があります。

1. ID プロバイダーのウェブサイトにアクセスし、新しいアクセストークンを SCIM プロビジョニング用に設定した後、新しい SCIM アクセストークンを使用して IAM アイデンティティセンターへの接続をテストします。新しいトークンを使ってプロビジョニングが正常に行われていることを確認したら、この手順の次のステップに進みます。

1. [アクセストークンを削除する](delete-token.md) の手順で、先ほどの古いアクセストークンを削除します。また、どのトークンを削除するかを判断するために、トークンの作成日を利用することもできます。

# 自動プロビジョニングされたリソースの監査と調整
<a name="reconcile-auto-provisioning"></a>

SCIM を使用すると、ユーザー、グループ、グループメンバーシップを ID ソースから IAM アイデンティティセンターに自動的にプロビジョニングできます。このガイドは、これらのリソースを検証して調整し、正確な同期を維持するのに役立ちます。

## リソースを監査する理由
<a name="reconcile-auto-provisioning-why-audit"></a>

定期的な監査は、アクセスコントロールが正確であり、ID プロバイダー (IdP) が IAM アイデンティティセンターと適切に同期された状態を維持するのに役立ちます。これは、セキュリティコンプライアンスとアクセス管理にとって特に重要です。

監査できるリソース:
+ [ユーザー]
+ グループ
+ グループメンバーシップ

 AWS Identity Store [APIs](https://docs.aws.amazon.com/singlesignon/latest/IdentityStoreAPIReference/welcome.html) または [CLI コマンド](https://docs.aws.amazon.com/cli/latest/reference/identitystore/)を使用して、監査と調整を実行できます。次の例では、 AWS CLI コマンドを使用します。API の代替手段については、「*ID ストア API リファレンス*」の「[対応するオペレーション](https://docs.aws.amazon.com/singlesignon/latest/IdentityStoreAPIReference/API_Operations.html)」を参照してください。

## リソースを監査する方法
<a name="how-to-audit-resources"></a>

 AWS CLI コマンドを使用してこれらのリソースを監査する方法の例を次に示します。

開始する前に、以下を確認してください。
+ IAM アイデンティティセンターへの管理者アクセス。
+ AWS CLI がインストールされ、設定されています。詳細については、[https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html)を参照してください。
+ ID ストアコマンドに必要な IAM アクセス許可。

### ステップ 1: 現在のリソースを一覧表示する
<a name="list-current-resources"></a>

を使用して現在のリソースを表示できます AWS CLI。

**注記**  
 を使用する場合 AWS CLI、 を指定しない限り、ページ分割は自動的に処理されます`--no-paginate`。API を直接呼び出す場合 (SDK やカスタムスクリプトなど)、レスポンスで `NextToken` を処理します。これにより、複数のページにわたるすべての結果を取得できます。

**Example ユーザー向け**  

```
aws identitystore list-users \
  --region REGION \
  --identity-store-id IDENTITY_STORE_ID
```

**Example グループ向け**  

```
aws identitystore list-groups \
  --region REGION \
  --identity-store-id IDENTITY_STORE_ID
```

**Example グループメンバーシップ向け**  

```
aws identitystore list-group-memberships \
  --region REGION \
  --identity-store-id IDENTITY_STORE_ID
  --group-id GROUP_ID
```

### ステップ 2: ID ソースと比較する
<a name="compare-idenity-source"></a>

リストされているリソースを ID ソースと比較して、次のような不一致を特定します。
+ IAM アイデンティティセンターでプロビジョニングする必要があるリソースがありません。
+ IAM アイデンティティセンターから削除する必要がある追加のリソース。

**Example ユーザー向け**  

```
# Create missing users
aws identitystore create-user \
  --identity-store-id IDENTITY_STORE_ID \
  --user-name USERNAME \
  --display-name DISPLAY_NAME \
  --name GivenName=FIRST_NAME,FamilyName=LAST_NAME \
  --emails Value=EMAIL,Primary=true

# Delete extra users
aws identitystore delete-user \
  --identity-store-id IDENTITY_STORE_ID \
  --user-id USER_ID
```

**Example グループ向け**  

```
# Create missing groups
aws identitystore create-group \
  --identity-store-id IDENTITY_STORE_ID \
  [group attributes]
  
# Delete extra groups
aws identitystore delete-group \
  --identity-store-id IDENTITY_STORE_ID \
  --group-id GROUP_ID
```

**Example グループメンバーシップ向け**  

```
# Add missing members
aws identitystore create-group-membership \
  --identity-store-id IDENTITY_STORE_ID \
  --group-id GROUP_ID \
  --member-id '{"UserId": "USER_ID"}'
  
# Remove extra members
aws identitystore delete-group-membership \
  --identity-store-id IDENTITY_STORE_ID \
  --membership-id MEMBERSHIP_ID
```

## 考慮事項
<a name="audit-resources-consideratons"></a>
+ コマンドには、[service quotas と API スロットリング](limits.md#ssothrottlelimits)が適用されます。
+ 調整中に多くの違いが見つかったら、 AWS Identity Store に小さな段階的な変更を加えます。これにより、複数のユーザーに影響を与える間違いを回避できます。
+ SCIM 同期は、手動の変更を上書きできます。この動作を理解するには、IdP 設定を確認してください。

## 手動のプロビジョニング
<a name="provision-manually"></a>

一部の IdP では、クロスドメインアイデンティティ管理システム (SCIM) をサポートしていないか、互換性のない SCIM 実装をしています。そのような場合は、IAM Identity Center コンソールを通じて手動でユーザーをプロビジョニングすることができます。IAM アイデンティティセンターにユーザーを追加する際には、IdP に登録されているユーザー名と同一のユーザー名を設定します。少なくとも、一意の E メールアドレスとユーザー名が必要です。詳細については、「[ユーザー名と E メールアドレスの一意性](users-groups-provisioning.md#username-email-unique)」を参照してください。

また、IAM アイデンティティセンターでは、すべてのグループを手動で管理する必要があります。そのためには、グループを作成し、IAM アイデンティティセンターコンソールを使ってグループを追加します。これらのグループは、お客様の IdP に存在するものと一致する必要はありません。詳細については、「[グループ](users-groups-provisioning.md#groups-concept)」を参照してください。

# SAML 2.0 証明書をローテーションする
<a name="managesamlcerts"></a>

IAM アイデンティティセンターは、証明書を使用して、外部 ID プロバイダー (IdP)と IAM アイデンティティセンターとの間の SAML 信頼関係を確立します。IAM アイデンティティセンターで外部 IdP を追加する際には、外部 IdP から少なくとも 1 つの SAML 2.0 X.509 のパブリック証明書を取得する必要があります。その証明書は、通常、信頼を作成中の IdP SAML メタデータ交換時に自動的にインストールされます。

IAM アイデンティティセンターの管理者として、古い IdP 証明書を新しい証明書に置き換える必要がある場合があります。例えば、IdP 証明書の有効期限が近づいている場合は、証明書を交換する必要があります。古い証明書を新しい証明書に置き換えるプロセスは、証明書のローテーションと呼ばれています。

**Topics**
+ [

# SAML 2.0 証明書をローテーションする
](rotatesamlcert.md)
+ [

# 証明書の有効期限切れステータスインジケーター
](samlcertexpirationindicators.md)

# SAML 2.0 証明書をローテーションする
<a name="rotatesamlcert"></a>

ID プロバイダーが発行した無効または期限切れの証明書をローテーションさせるために、定期的に証明書をインポートする必要がある場合があります。これにより、認証の乱れやダウンタイムを防ぐことができます。インポートされた証明書はすべて自動的に有効になります。証明書の削除は、関連する ID プロバイダで使用されなくなったことを確認した後に行います。

また、IdP によっては複数の証明書をサポートしていない場合があることも考慮する必要があります。この場合、これらの IdP で証明書をローテーションした場合、ユーザーの利用しているサービスが一時的に中断する可能性があります。その IdP との信頼関係が正常に再構築されたときに、サービスが再開されます。このオペレーションは、ピーク時を可能な限り避けて慎重に計画してください。

**注記**  
セキュリティのベストプラクティスとして、既存の SAML 証明書に不正アクセスや不適切な取り扱いがあった場合には、直ちに証明書を削除してローテーションする必要があります。

IAM アイデンティティセンター証明書のローテーションは、以下の複数のステップで行われます。
+ IdP から新しい証明書を取得する
+ 新しい証明書を IAM アイデンティティセンターにインポートする
+ IdP での新しい証明書を有効にする
+ 古い証明書を削除する

以下のすべての手順を使用して、認証のダウンタイムを回避しながら、証明書のローテーションプロセスを完了します。

**ステップ 1: IdP から新しい証明書を取得する**

IdP の ウェブサイトにアクセスして、SAML 2.0 証明書をダウンロードします。証明書ファイルが PEM エンコード形式でダウンロードされていることを確認してください。ほとんどのプロバイダでは、IdP に複数の SAML 2.0 証明書を作成することができます。これらは、無効や非アクティブとしてマークされている可能性があります。

**ステップ 2: IAM アイデンティティセンターにインポートする**

以下の手順で、IAM アイデンティティセンターコンソールを使って新しい証明書をインポートします。

1. [[IAM アイデンティティセンターコンソール]](https://console.aws.amazon.com/singlesignon) で **[設定]** を選択します。

1. **[設定]** ページで **[ID ソース]** タブを選択し、**[アクション] > [認証の管理]** を選択します。

1. **[SAML 2.0 認証の管理]** ページで、**[証明書のインポート]** を選択します。

1. **[SAML 2.0 証明書のインポート]** ダイアログで、**[ファイルを選択]** を選択し、証明書ファイルに移動して選択し、**[証明書のインポート]** を選択します。

この時点で、IAM アイデンティティセンターは、お客様がインポートした両方の証明書から署名されたすべての受信 SAML メッセージを信頼します。

**ステップ 3: IdP で新しい証明書を有効にする**

IdP の ウェブサイトに戻り、先ほど作成した新しい証明書をプライマリまたはアクティブとしてマークします。この時点で、IdP が署名したすべての SAML メッセージは、新しい証明書を使用する必要があります。

**ステップ 4: 古い証明書を削除する**

以下の手順で、IdP の証明書ローテーション処理を行います。少なくとも 1 つの有効な証明書が必要であり、それを削除することはできません。

**注記**  
この証明書を削除する前に、ID プロバイダがこの証明書を使用して SAML レスポンスに署名しなくなったことを確認します。

1. リポジトリの **[Manage SAML 2.0 certificates]** (SAML 2.0 証明書の管理) ページで、削除する証明書を選択します。**[Delete]** (削除) を選択します。

1. **[Delete SAML 2.0 certificate]** (SAML 2.0 証明書の削除) ダイアログボックスで、**DELETE** をタイプして確認し、**[Delete]** (削除) を選択します。

1. IdP のウェブサイトに戻り、古い非アクティブな証明書を削除するために必要な手順を実行します。

# 証明書の有効期限切れステータスインジケーター
<a name="samlcertexpirationindicators"></a>

「**Manage SAML 2.0 certificates**」ページには、リスト内の各証明書名の横にある**[有効期限]** 列に色分けされたステータスインジケータアイコンが表示されます。以下は、IAM アイデンティティセンターが各証明書に対してどのアイコンを表示するかを決定するための基準です。
+ **赤** — 証明書が現在期限切れであることを示します。
+ **黄** — 証明書が 90 日以内に失効することを示します。
+ **緑** — 証明書が有効であり、少なくともあと 90 日間有効であることを示します。

**証明書の現在のステータスを確認するには**

1. [[IAM Identity Center コンソール]](https://console.aws.amazon.com/singlesignon) で **[設定]** を選択します。

1. **[設定]** ページで **[ID ソース]** タブを選択し、**[アクション] > [認証の管理]** を選択します。

1. [**SAML 2.0 証明書の管理**] ページの [**SAML 2.0 証明書の管理**] で、リストの証明書のステータスを [**有効期限**] 欄に表示します。

# Microsoft AD ディレクトリ
<a name="manage-your-identity-source-ad"></a>

を使用すると AWS IAM アイデンティティセンター、 AWS Managed Microsoft AD を使用して Active Directory (AD) のセルフマネージドディレクトリまたは のディレクトリに接続できます AWS Directory Service。この Microsoft AD ディレクトリでは、管理者が IAM Identity Center コンソールを使用してシングルサインオンアクセスを割り当てるときに、プル元の ID プールを定義します。社内ディレクトリを IAM アイデンティティセンターに接続したら、AD ユーザーまたはグループに、、アプリケーション AWS アカウント、またはその両方へのアクセスを許可できます。

AWS Directory Service では、 でホストされているスタンドアロン AWS Managed Microsoft AD ディレクトリをセットアップして実行できます AWS クラウド。を使用して Directory Service 、 AWS リソースを既存のセルフマネージド AD に接続することもできます。セルフマネージド AD と連携 AWS Directory Service するように を設定するには、まず信頼関係を設定して認証をクラウドに拡張する必要があります。

IAM Identity Center は、 が提供する接続 Directory Service を使用して、ソース AD インスタンスへのパススルー認証を実行します。を ID ソース AWS Managed Microsoft AD として使用すると、IAM Identity Center は AD 信頼を介して接続された任意のドメインのユーザー AWS Managed Microsoft AD と連携できます。4 つ以上のドメインにユーザーを配置したい場合、ユーザーは IAM Identity Center へのサインインを実行する際に、ユーザー名として `DOMAIN\user` 構文を使用する必要があります。

**注意事項**  
前提条件のステップとして、 AWS Managed Microsoft AD の AD Connector または ディレクトリが AWS Organizations 管理アカウント内 Directory Service に存在することを確認します。
IAM Identity Center は、SAMBA4 ベースの Simple AD を接続先ディレクトリとしてサポートしていません。
 IAM アイデンティティセンターは、外部セキュリティプリンシパル (FSPs同期できません。の AWS Managed Microsoft AD グループに FSPs、それらのメンバーは同期されません。

IAM アイデンティティセンターの ID ソースとして Active Directory を使用するプロセスのデモンストレーションについては、次の YouTube 動画を参照してください。

[![AWS Videos](http://img.youtube.com/vi/https://www.youtube.com/embed/OMbob_ef7J4?si=J23xw0EGkZOo8y9n/0.jpg)](http://www.youtube.com/watch?v=https://www.youtube.com/embed/OMbob_ef7J4?si=J23xw0EGkZOo8y9n)


## Active Directory を使用する際の考慮事項
<a name="considerations-ad-identitysource"></a>

Active Directory を ID ソースとして使用する場合、設定は次の前提条件を満たす必要があります。
+ を使用している場合は AWS Managed Microsoft AD、 AWS Managed Microsoft AD ディレクトリがセットアップされている AWS リージョン のと同じ で IAM Identity Center を有効にする必要があります。IAM Identity Center では、割り当てデータに関するディレクトリと同じリージョンに保存されます。IAM Identity Center を管理するには、IAM Identity Center が設定されているリージョンに切り替える必要がある場合があります。また、 AWS アクセスポータルは ディレクトリと同じアクセス URL を使用することに注意してください。
+ 管理アカウントにある Active Directory を使用してください。

  で既存の AD Connector または AWS Managed Microsoft AD ディレクトリをセットアップし AWS Directory Service、 AWS Organizations 管理アカウント内に存在する必要があります。 AWS Managed Microsoft AD 一度に接続できる AD Connector ディレクトリは 1 つまたは 1 つのディレクトリのみです。複数のドメインやフォレストをサポートする必要がある場合は、 AWS Managed Microsoft ADを使用してください。詳細については、以下を参照してください。
  + [のディレクトリ AWS Managed Microsoft AD を IAM Identity Center に接続する](connectawsad.md)
  + [Active Directory の自己管理型ディレクトリを IAM Identity Center に接続する](connectonpremad.md)
+ 委任された管理者アカウントにある Active Directory を使用してください。

  IAM Identity Center の委任管理者を有効にし、IAM Identity Center の ID ソースとして Active Directory を使用する場合は、委任管理者アカウントにある AWS Directory に設定された既存の AD Connector または AWS Managed Microsoft AD ディレクトリを使用できます。

  IAM Identity Center ID ソースを他のソースから Active Directory に変更するか、Active Directory から他のソースに変更する場合、そのディレクトリは IAM Identity Center 委任管理者メンバーアカウント (存在する場合) に存在する (所有されている) 必要があります。それ以外の場合は、管理アカウントに含まれている必要があります。

# Active Directory に接続してユーザーを指定する
<a name="get-started-connect-id-source-ad-idp-specify-user"></a>

すでに Active Directory を使用している場合は、以下のトピックがディレクトリを IAM アイデンティティセンターに接続する準備に役立ちます。

Active Directory の AWS Managed Microsoft AD ディレクトリまたはセルフマネージドディレクトリを IAM Identity Center に接続できます。

**注記**  
IAM アイデンティティセンターは SAMBA4 ベースの Simple AD を ID ソースとしてサポートしていません。

**AWS Managed Microsoft AD**

1. [Microsoft AD ディレクトリ](manage-your-identity-source-ad.md) のガイダンスを確認してください。

1. 「[のディレクトリ AWS Managed Microsoft AD を IAM Identity Center に接続する](connectawsad.md)」のステップを実行してください。

1. 管理者権限を付与したいユーザーを IAM Identity Center と同期するように Active Directory を設定します。詳細については、「[管理ユーザーを IAM Identity Center と同期する](#sync-admin-user-from-ad)」を参照してください。

**Active Directory 内の自己管理型ディレクトリ**

1. [Microsoft AD ディレクトリ](manage-your-identity-source-ad.md) のガイダンスを確認してください。

1. 「[Active Directory の自己管理型ディレクトリを IAM Identity Center に接続する](connectonpremad.md)」のステップを実行してください。

1. 管理者権限を付与したいユーザーを IAM Identity Center と同期するように Active Directory を設定します。詳細については、「[管理ユーザーを IAM Identity Center と同期する](#sync-admin-user-from-ad)」を参照してください。

**外部 IdP**

1. [外部 ID プロバイダー](manage-your-identity-source-idp.md) のガイダンスを確認してください。

1. 「[外部 ID プロバイダに接続する方法](how-to-connect-idp.md)」のステップを実行してください。

1. 

   IAM Identity Center にユーザーをプロビジョニングするように IdP を設定します。
**注記**  
IdP から IAM Identity Center へのすべてのワークフォース ID のグループベースの自動プロビジョニングを設定する前に、管理権限を付与したい 1 人のユーザーを IAM Identity Center に同期することをお勧めします。

## 管理ユーザーを IAM Identity Center と同期する
<a name="sync-admin-user-from-ad"></a>

Active Directory を IAM アイデンティティセンターに接続したら、管理権限を付与するユーザーを指定し、そのユーザーをディレクトリから IAM アイデンティティセンターに同期できます。

1. [IAM Identity Center コンソール](https://console.aws.amazon.com/singlesignon) を開きます。

1. [**設定**] を選択します。

1. **[設定]**ページで**[ID ソース]**タブを選択し、**[アクション]**を選択し、**[同期を管理]** を選択します。

1. [**同期の管理**] ページで、[**ユーザー**] タブを選択し、[**ユーザーとグループの追加**] を選択します。

1. [**ユーザー**] タブの [**ユーザー**] に正確なユーザー名を入力し、[**追加**] を選択します。

1. [**追加されたユーザーとグループ**] で、次の操作を行います。

   1. 管理者権限を付与するユーザーが指定されていることを確認します。

   1. ユーザー名の左側にあるチェックボックスをオンにします。

   1. [**送信**] を選択します。

1. [**同期の管理**] ページで、指定したユーザーが**同期対象のユーザー**リストに表示されます。

1. ナビゲーションペインで **[ユーザー]** を選択します。

1. **[ユーザー]** ページでは、指定したユーザーがリストに表示されるまでに時間がかかる場合があります。ユーザーリストを更新するには、[更新] アイコンをクリックします。

この時点では、ユーザーは管理アカウントにアクセスできません。このアカウントへの管理アクセスを設定するには、管理アクセス権限セットを作成し、そのアクセス権限セットにユーザを割り当てます。詳細については、「[アクセス権限セットを作成します。](howtocreatepermissionset.md)」を参照してください。

## ユーザーがアクティブディレクトリから来たときのプロビジョニング
<a name="provision-users-from-ad"></a>

IAM Identity Center は、 が提供する接続を使用して、Active Directory のソースディレクトリから IAM Identity Center ID ストアにユーザー、グループ、メンバーシップ情報を Directory Service 同期します。ユーザー認証は Active Directory のソースディレクトリから直接行われるため、パスワード情報は IAM アイデンティティセンターに同期されません。この ID データは、アプリケーションによって使用され、LDAP アクティビティを Active Directory のソースディレクトリに戻すことなく、アプリ内検索、承認、コラボレーション シナリオを容易にします。

上記のプロビジョニングの詳細については、「[ユーザーおよびグループのプロビジョニング](users-groups-provisioning.md#user-group-provision)」を参照してください。

**Topics**
+ [

## Active Directory を使用する際の考慮事項
](#considerations-ad-identitysource)
+ [

# Active Directory に接続してユーザーを指定する
](get-started-connect-id-source-ad-idp-specify-user.md)
+ [

## ユーザーがアクティブディレクトリから来たときのプロビジョニング
](#provision-users-from-ad)
+ [

# のディレクトリ AWS Managed Microsoft AD を IAM Identity Center に接続する
](connectawsad.md)
+ [

# Active Directory の自己管理型ディレクトリを IAM Identity Center に接続する
](connectonpremad.md)
+ [

# IAM アイデンティティセンターと外部 ID プロバイダーディレクトリ間の属性マッピング
](attributemappingsconcept.md)
+ [

# IAM Identity Center の構成可能な AD 同期
](provision-users-from-ad-configurable-ADsync.md)

# のディレクトリ AWS Managed Microsoft AD を IAM Identity Center に接続する
<a name="connectawsad"></a>

で管理 AWS Managed Microsoft AD されている のディレクトリを IAM Identity Center に接続するには AWS Directory Service 、次の手順に従います。

**IAM Identity Center AWS Managed Microsoft AD に接続するには**

1. [IAM Identity Center コンソール](https://console.aws.amazon.com/singlesignon) を開きます。
**注記**  
次のステップに進む前に、IAM Identity Center コンソールで、 AWS Managed Microsoft AD ディレクトリが存在するリージョンの１つを使用していることを確認してください。

1. [**設定**] を選択します。

1. **[設定]** ページで **[ID ソース]** タブを選択し、**[アクション] > [ID ソースを変更]**を選択します。

1. [**ID ソースの選択**] で [**Active Directory**] を選択し、[**次へ**] を選択します。

1. **[アクティブディレクトリに接続]** で、一覧から AWS Managed Microsoft AD のディレクトリを選択し、**[次へ]** を選択します。

1. [**変更の確認**] で情報を確認し、準備ができたら **ACCEPT** と入力し、[**ID ソースを変更**] を選択します。
**重要**  
Active Directory 内のユーザーを IAM アイデンティティセンターの管理者ユーザーとして指定するには、まず Active Directory から管理権限を付与したいユーザーを IAM ID センターに同期する必要があります。これを行うには、「[管理ユーザーを IAM Identity Center と同期する](get-started-connect-id-source-ad-idp-specify-user.md#sync-admin-user-from-ad)」の手順を実行します。

# Active Directory の自己管理型ディレクトリを IAM Identity Center に接続する
<a name="connectonpremad"></a>

Active Directory (AD) のセルフマネージドディレクトリのユーザーは、 AWS アクセスポータルの AWS アカウント およびアプリケーションへのシングルサインオンアクセスを持つこともできます。これらのユーザーのシングルサインオンアクセスを設定するには、次のいずれかを実行します。
+ **双方向の信頼関係を作成する** – AWS Managed Microsoft AD と AD のセルフマネージドディレクトリとの間に双方向の信頼関係が作成されると、AD のセルフマネージドディレクトリのユーザーは、企業の認証情報を使用してさまざまな AWS サービスやビジネスアプリケーションにサインインできます。一方向の信頼は IAM Identity Center では機能しません。

  AWS IAM アイデンティティセンター には双方向の信頼が必要です。これにより、ドメインからユーザーとグループの情報を読み取ってユーザーとグループのメタデータを同期するアクセス許可が付与されます。IAM Identity Center は、アクセス権限セットまたはアプリケーションへのアクセスを割り当てるときに、このメタデータを使用します。ユーザーおよびグループのメタデータは、ダッシュボードを別のユーザーやグループと共有する場合など、コラボレーションのためにアプリケーションによっても使用されます。 Directory Service for Microsoft Active Directory からドメインへの信頼により、IAM Identity Center は認証のためにドメインを信頼できます。逆方向の信頼は、ユーザーとグループのメタデータを読み取る AWS アクセス許可を付与します。

  双方向の信頼関係の設定の詳細については、「*AWS Directory Service 管理者ガイド*」の「[信頼関係を作成する場合](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/setup_trust.html)」を参照してください。
**注記**  
IAM Identity Center などの AWS アプリケーションを使用して信頼されたドメインから Directory Service ディレクトリユーザーを読み取るには、 Directory Service アカウントで信頼されたユーザーの userAccountControl 属性に対するアクセス許可が必要です。この属性への読み取りアクセス許可がないと、 AWS アプリケーションはアカウントが有効か無効かを判断することができません。  
この属性への読み取りアクセスは、信頼の作成時にデフォルトで提供されます。この属性へのアクセスを拒否すると (非推奨)、Identity Center などのアプリケーションが信頼できるユーザーを読み取れなくなります。この解決策は、 AWS リザーブド OU (プレフィックス AWS\$1) の下にある AWS サービスアカウントの `userAccountControl` 属性への読み取りアクセスを具体的に許可することです。
+ **AD Connector を作成する** - AD Connector は、クラウドに情報をキャッシュすることなく、セルフマネージドの AD にディレクトリリクエストをリダイレクトできるディレクトリゲートウェイです。詳細については、「*AWS Directory Service 管理ガイド*」の [[ディレクトリへの接続]](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/directory_ad_connector.html)を参照してください。AD Connector を使用するときの考慮事項は次のとおりです。
  + IAM Identity Center を AD Connector ディレクトリに接続している場合、今後のユーザーパスワードのリセットは、AD 内から行う必要があります。つまり、ユーザーは AWS アクセスポータルからパスワードをリセットできません。
  + AD Connector を使用してアクティブディレクトリドメインサービスを IAM Identity Center　に接続する場合、IAM Identity Center は AD Connector がアタッチされている単一ドメインのユーザーとグループにしかアクセスできません。複数のドメインやフォレストをサポートする必要がある場合は、Microsoft Active Directory の Directory Service をご利用ください。
**注記**  
IAM Identity Center は SAMBA4 ベースの Simple AD ディレクトリでは機能しません。

# IAM アイデンティティセンターと外部 ID プロバイダーディレクトリ間の属性マッピング
<a name="attributemappingsconcept"></a>

属性マッピングは、IAM アイデンティティセンターに存在する属性タイプと、外部 ID ソースの同様の属性 (Google Workspace、Microsoft Active Directory (AD)、Okta など) をマッピングするのに使用されます。IAM アイデンティティセンターは、ID ソースからユーザー属性を検索し、IAM アイデンティティセンターのユーザー属性に対してマッピングします。

IAM アイデンティティセンターが Google Workspace、Okta、または Ping などの**外部 ID プロバイダー** (IdP) を ID ソースとして使用するように同期されている場合は、IdP に属性をマッピングする必要があります。

IAM アイデンティティセンターは、設定ページの **[属性マッピング]** タブから一連の属性を事前に取得します。IAM アイデンティティセンターは、これらのユーザー属性を使用して、アプリケーションに送信される SAML アサーション (SAML 属性) を設定します。これらのユーザー属性は ID ソースから取得されます。アプリケーションによって、正常なシングルサインオンに必要な SAML 2.0 属性のリストは異なります。詳細については、「[アプリケーションの属性を IAM Identity Center の属性にマップする](mapawsssoattributestoapp.md)」を参照してください。

IAM アイデンティティセンターは、Active Directory を ID ソースとして使用している場合、**[Active Directory 設定]** ページの **[属性マッピング]** セクションの下にある一連の属性も管理します。詳細については、「[IAM アイデンティティセンターと Microsoft AD ディレクトリ間のユーザー属性のマッピング](mapssoattributestocdattributes.md)」を参照してください。

## サポートされている外部 ID プロバイダ属性
<a name="supportedidpattributes"></a>

以下の表は、サポートされているすべての外部 ID プロバイダー(IdP) 属性と、IAM アイデンティティセンターで [アクセスコントロールの属性](attributesforaccesscontrol.md) を構成するときに使用できる属性にマッピングできるものをリストアップしたものです。SAML アサーションを使用する場合、IdP がサポートするすべて属性を使用できます。


****  

| IdP でサポートされている属性 | 
| --- | 
| \$1\$1path:userName\$1 | 
| \$1\$1path:name.familyName\$1 | 
| \$1\$1path:name.givenName\$1 | 
| \$1\$1path:displayName\$1 | 
| \$1\$1path:nickName\$1 | 
| \$1\$1path:emails[primary eq true].value\$1 | 
| \$1\$1path:addresses[type eq "work"].streetAddress\$1 | 
| \$1\$1path:addresses[type eq "work"].locality\$1 | 
| \$1\$1path:addresses[type eq "work"].region\$1 | 
| \$1\$1path:addresses[type eq "work"].postalCode\$1 | 
| \$1\$1path:addresses[type eq "work"].country\$1 | 
| \$1\$1path:addresses[type eq "work"].formatted\$1 | 
| \$1\$1path:phoneNumbers[type eq "work"].value\$1 | 
| \$1\$1path:userType\$1 | 
| \$1\$1path:title\$1 | 
| \$1\$1path:locale\$1 | 
| \$1\$1path:timezone\$1 | 
| \$1\$1path:enterprise.employeeNumber\$1 | 
| \$1\$1path:enterprise.costCenter\$1 | 
| \$1\$1path:enterprise.organization\$1 | 
| \$1\$1path:enterprise.division\$1 | 
| \$1\$1path:enterprise.department\$1 | 
| \$1\$1path:enterprise.manager.value\$1 | 

## IAM アイデンティティセンターと Microsoft AD の間のデフォルトのマッピング
<a name="defaultattributemappings"></a>

以下の表に示しているのは、IAM Identity Center のユーザー属性と Microsoft AD ディレクトリのユーザー属性とのデフォルトのマッピングです。IAM ID センターは **IAM アイデンティティセンターのユーザー属性** 列の属性リストのみをサポートします。


****  

| IAM Identity Center のユーザー属性  | Active Directory のこの属性にマッピングされる | 
| --- | --- | 
| displayname | \$1\$1displayname\$1 | 
| emails[?primary].value \$1 | \$1\$1mail\$1 | 
| externalid | \$1\$1objectguid\$1 | 
| name.givenname | \$1\$1givenname\$1 | 
| name.familyname | \$1\$1sn\$1 | 
| name.middlename | \$1\$1initials\$1 | 
| sid | \$1\$1objectsid\$1 | 
| username | \$1\$1userprincipalname\$1 | 

\$1 IAM Identity Center の E メール属性はディレクトリ内で一意である必要があります。


****  

| IAM アイデンティティセンターのグループ属性  | Active Directory のこの属性にマッピングされる | 
| --- | --- | 
| externalid | \$1\$1objectguid\$1 | 
| description | \$1\$1description\$1 | 
| displayname | \$1\$1samaccountname\$1@\$1associateddomain\$1 | 

**考慮事項**
+ 設定可能な AD 同期を有効にしたときに IAM アイデンティティセンターのユーザーとグループに何も割り当てられていない場合は、前の表のデフォルトマッピングが使用されます。これらのマッピングをカスタマイズする方法については、「[同期の属性マッピングを設定する](manage-sync-configure-attribute-mapping-configurable-ADsync.md)」を参照してください。
+ IAM アイデンティティセンターの特定の属性は変更不可で、デフォルトで特定の Microsoft AD ディレクトリ属性にマップされるため、変更できません。

  例えば、「username」は IAM アイデンティティセンターの必須属性です。「username」に空の値を持つ AD ディレクトリ属性にマッピングする場合、IAM アイデンティティセンターは、`windowsUpn` 値を「username」のデフォルト値とみなします。現在のマッピングから「username」の属性マッピングを変更する場合は、「username」に依存する IAM アイデンティティセンターフローが期待どおりに動作するかどうかを確認してください。

## IAM アイデンティティセンターでサポートされている Microsoft AD 属性
<a name="supporteddirectoryattributes"></a>

以下の表では、サポートされているディレクトリ Microsoft AD 属性のうち、IAM Identity Center のユーザー属性にマップできるものをすべて列挙します。


****  

| Microsoft AD ディレクトリでサポートされている属性 | 
| --- | 
| \$1\$1samaccountname\$1 | 
| \$1\$1description\$1 | 
| \$1\$1objectguid\$1 | 
| \$1\$1objectsid\$1 | 
| \$1\$1givenname\$1 | 
| \$1\$1sn\$1 | 
| \$1\$1initials\$1 | 
| \$1\$1mail\$1 | 
| \$1\$1userprincipalname\$1 | 
| \$1\$1displayname\$1 | 
| \$1\$1distinguishedname\$1 | 
| \$1\$1proxyaddresses[?type == "SMTP"].value\$1 | 
| \$1\$1proxyaddresses[?type == "smtp"].value\$1 | 
| \$1\$1useraccountcontrol\$1 | 
| \$1\$1associateddomain\$1 | 

**考慮事項**
+ サポートされている Microsoft AD ディレクトリの属性の任意の組み合わせを指定して、IAM アイデンティティセンターの 1 つの変更可能な属性にマップできます。

## Microsoft AD でサポートされている IAM アイデンティティセンター属性
<a name="supportedssoattributes"></a>

以下の表では、サポートされている IAM Identity Center 属性のうち、 Microsoft AD ディレクトリのユーザー属性にマップできるものをすべて列挙します。後で、アプリケーションの属性マッピングを設定するときに、これらの同じ IAM Identity Center の属性を、そのアプリケーションで使用されている実際の属性にマップできます。


****  

| Active Directory において IAM アイデンティティセンターでサポートされている属性 | 
| --- | 
| \$1\$1user:AD\$1GUID\$1 | 
| \$1\$1user:AD\$1SID\$1 | 
| \$1\$1user:email\$1 | 
| \$1\$1user:familyName\$1 | 
| \$1\$1user:givenName\$1 | 
| \$1\$1user:middleName\$1 | 
| \$1\$1user:name\$1 | 
| \$1\$1user:preferredUsername\$1 | 
| \$1\$1user:subject\$1 | 

# IAM アイデンティティセンターと Microsoft AD ディレクトリ間のユーザー属性のマッピング
<a name="mapssoattributestocdattributes"></a>

IAM アイデンティティセンターのユーザー属性を Microsoft AD ディレクトリの対応する属性にマップする方法を指定するには、以下の手順を実行します。

**IAM Identity Center の属性をディレクトリの属性にマップするには**

1. [IAM Identity Center コンソール](https://console.aws.amazon.com/singlesignon) を開きます。

1. [**設定**] を選択します。

1. **[設定]** ページで **[アクセス制御用の属性]** タブを選択し、**[属性の管理]** を選択します。

1. [**アクセスコントロールの属性の管理**] ページで、マップする IAM Identity Center の属性を見つけて、テキスト ボックスに値を入力します。例えば、IAM Identity Center ユーザー属性 **`email`** を Microsoft AD ディレクトリ属性 **`${mail}`** にマップするとします。

1. **[Save changes]** (変更の保存) をクリックします。

# IAM Identity Center の構成可能な AD 同期
<a name="provision-users-from-ad-configurable-ADsync"></a>

IAM Identity Center の設定可能な Active Directory (AD) 同期を使用すると、IAM Identity Center に自動的に同期される Microsoft Active Directory の ID を明示的に設定し、同期プロセスを制御できます。
+ この同期メソッドを使用すると、次のことが行えます。
  + IAM Identity Center に自動的に同期される Microsoft Active Directory 内のユーザーとグループを明示的に定義することにより、データの境界を制御します。[ユーザーとグループを追加](manage-sync-add-users-groups-configurable-ADsync.md) したり、[ユーザーやグループを削除](manage-sync-remove-users-groups-configurable-ADsync.md) したりして、同期の範囲をいつでも変更できます。
  + 同期されたユーザーとグループに、 AWS アカウントへの [アプリケーションへのシングルサインオン [アクセス](useraccess.md)](assignuserstoapp.md) またはアプリケーションへのアクセス権を割り当てます。アプリケーションは、 AWS マネージドアプリケーションでもカスタマーマネージドアプリケーションでもかまいません。
  + 必要に応じて同期を [一時停止したり再開](manage-sync-pause-resume-sync-configurable-ADsync.md) したりして、同期プロセスを制御します。これにより、実稼働システムの負荷を調整できます。

## 前提条件と考慮事項
<a name="prerequisites-configurable-ADsync"></a>

設定可能な AD Sync を使用する前に、以下の前提条件と考慮事項に注意してください。
+ **Active Directory 内のユーザーとグループを指定して同期する**

  IAM Identity Center を使用して、新しいユーザーとグループに AWS アカウント AWS マネージドアプリケーションまたはカスタマーマネージドアプリケーションへのアクセスを割り当てる前に、Active Directory で同期するユーザーとグループを指定し、IAM Identity Center に同期する必要があります。
  + **設定可能な AD 同期** — IAM Identity Center はドメインコントローラーでユーザーやグループを直接検索しません。代わりに、同期するユーザーとグループのリストを最初に指定する必要があります。IAM アイデンティティセンターに既に同期されているユーザーとグループがあるか、設定可能な AD Sync を使用して初めて同期する新しいユーザーとグループがあるかに応じて、このリスト (*同期スコープとも呼ばれる*) を以下のいずれかの方法で設定できます。
    + 既存のユーザーとグループ:すでに IAM Identity Center と同期されているユーザーとグループがある場合、設定可能な AD Sync の同期スコープには、それらのユーザーとグループのリストがあらかじめ入力されています。新しいユーザーまたはグループを割り当てるには、それらを同期スコープに具体的に追加する必要があります。詳細については、「[ユーザーとグループを同期スコープに追加します](manage-sync-add-users-groups-configurable-ADsync.md)」を参照してください。
    + 新しいユーザーとグループ: 新しいユーザーやグループに AWS アカウント およびアプリケーションへのアクセス権を割り当てる場合は、IAM Identity Center を使用して割り当てを行う前に、設定可能な AD Sync で同期スコープに追加するユーザーとグループを指定する必要があります。詳細については、「[ユーザーとグループを同期スコープに追加します](manage-sync-add-users-groups-configurable-ADsync.md)」を参照してください。
+ <a name="makingassignmentsnestedgroups"></a>**Active Directory 内のネストされたグループへの割り当てを行う**

  別のグループのメンバーであるグループは、*ネストされたグループ* (または子グループ) と呼ばれます。
  + **設定可能な AD 同期** — 設定可能な AD 同期を使用してネストされたグループを含む Active Directory 内のグループに割り当てを行うと、 AWS アカウント またはアプリケーションにアクセスできるユーザーの範囲が広くなる場合があります。この場合、割り当ては、ネストされたグループのユーザーを含むすべてのユーザーに適用されます。たとえば、グループ A にアクセス権を割り当て、グループ B がグループ A のメンバーである場合、グループ B のメンバーもこのアクセスを継承します。
+ **自動化されたワークフローの更新**

  IAM Identity Center ID ストア API アクションと IAM Identity Center 割り当て API アクションを使用して新しいユーザーとグループにアカウントとアプリケーションへのアクセスを割り当て、IAM Identity Center と同期する自動化ワークフローがある場合は、設定可能な AD 同期によって期待どおりに機能するように、2022 年 4 月 15 日までにそれらのワークフローを調整する必要があります。設定可能な AD Sync により、ユーザーとグループの割り当てとプロビジョニングが行われる順序、およびクエリの実行方法が変わります。
  + **設定可能な AD 同期** — プロビジョニングが最初に実行され、自動的には実行されません。代わりに、まずユーザーとグループを同期スコープに追加して、ID ストアに明示的に追加する必要があります。設定可能な AD Sync の同期設定を自動化するための推奨手順については、[同期設定を自動化して、設定可能な AD 同期を実現します。](automate-sync-configuration-configurable-ADsync.md) を参照してください。

**Topics**
+ [

## 前提条件と考慮事項
](#prerequisites-configurable-ADsync)
+ [

# 設定可能な AD 同期の仕組み
](how-it-works-configurable-ADsync.md)
+ [

# 同期の属性マッピングを設定する
](manage-sync-configure-attribute-mapping-configurable-ADsync.md)
+ [

# Active Directory から IAM アイデンティティセンターへの初回同期設定
](manage-sync-configurable-ADsync.md)
+ [

# ユーザーとグループを同期スコープに追加します
](manage-sync-add-users-groups-configurable-ADsync.md)
+ [

# 同期スコープからユーザーとグループを削除します。
](manage-sync-remove-users-groups-configurable-ADsync.md)
+ [

# 同期の一時停止と再開
](manage-sync-pause-resume-sync-configurable-ADsync.md)
+ [

# 同期設定を自動化して、設定可能な AD 同期を実現します。
](automate-sync-configuration-configurable-ADsync.md)

# 設定可能な AD 同期の仕組み
<a name="how-it-works-configurable-ADsync"></a>

IAM Identity Center は、以下のプロセスで ID ストアの AD ベースの ID データをリフレッシュします。前提条件の詳細については、「[前提条件と考慮事項](provision-users-from-ad-configurable-ADsync.md#prerequisites-configurable-ADsync)」を参照してください。

## 作成
<a name="how-it-works-creation-configurable-ADsync"></a>

Active Directory のセルフマネージドディレクトリまたは AWS Managed Microsoft AD によって管理されているディレクトリ Directory Service を IAM Identity Center に接続したら、IAM Identity Center アイデンティティストアに同期する Active Directory ユーザーとグループを明示的に設定できます。選択した ID は、3 時間ごとに IAM Identity Center の ID ストアに同期されます。ディレクトリのサイズによっては、同期処理に時間がかかる場合があります。

割り当てられたグループのメンバーであるグループ (*ネストされたグループ*または*子グループ*と呼ばれる) も、ID ストアに書き込まれます。

新しいユーザーまたはグループが IAM Identity Center アイデンティティストアと同期された後にのみ、アクセス権を割り当てることができます。

## 更新
<a name="how-it-works-update-configurable-ADsync"></a>

IAM Identity Center ID ストアの ID データは、Active Directory のソース ディレクトリから定期的にデータを読み込むことで、常にリフレッシュされた状態を保たれます。IAM アイデンティティセンターは、デフォルトでは 1 時間ごとの同期サイクルでお使いの Active Directory との間でデータを同期します。Active Directory のサイズによっては、データが IAM アイデンティティセンターに同期されるまでに 30 分から 2 時間かかる場合があります。

同期スコープにあるユーザーとグループのオブジェクトとそのメンバーシップは、IAM Identity Center で作成または更新され、Active Directory のソースディレクトリの対応するオブジェクトにマッピングされます。ユーザー属性については、IAM Identity Center コンソールの「**アクセス制御用の属性**」セクションにリストされている属性のサブセットのみが IAM Identity Center で更新されます。Active Directory で行った属性の更新が IAM アイデンティティセンターに反映されるには、1 回の同期サイクルが必要な場合があります。

IAM Identity Center ID ストアに同期するユーザーとグループのサブセットを更新することもできます。このサブセットに新しいユーザーまたはグループを追加するか、削除するかを選択できます。追加した ID は、次回の定期同期時に同期されます。サブセットから削除した ID は、IAM Identity Center ID ストアで更新されなくなります。28 日以上同期されていないユーザーは、IAM Identity Center ID ストアで無効になります。対応するユーザーオブジェクトは、同期スコープにまだ含まれている別のグループに属していない限り、次回の同期サイクル時に IAM Identity Center ID ストアで自動的に無効になります。

## 削除
<a name="how-it-works-deletion-configurable-ADsync"></a>

対応するユーザーまたはグループオブジェクトが Active Directory のソース ディレクトリから削除されると、ユーザーとグループは IAM Identity Center ID ストアから削除されます。または、IAM Identity Center コンソールを使用して IAM Identity Center ID ストアからユーザーオブジェクトを明示的に削除することもできます。IAM Identity Center コンソールを使用する場合は、次回の同期サイクル中に IAM Identity Center に再同期されないように、同期スコープからユーザーを削除する必要もあります。

同期をいつでも一時停止と再開することもできます。28 日以上同期を一時停止すると、すべてのユーザーが無効になります。

# 同期の属性マッピングを設定する
<a name="manage-sync-configure-attribute-mapping-configurable-ADsync"></a>

利用可能な属性の詳細については、「[IAM アイデンティティセンターと外部 ID プロバイダーディレクトリ間の属性マッピング](attributemappingsconcept.md)」を参照してください。

**IAM Identity Center でディレクトリへの属性マッピングを設定するには**

1. [IAM Identity Center コンソール](https://console.aws.amazon.com/singlesignon) を開きます。

1. [**設定**] を選択します。

1. **[設定]**ページで**[ID ソース]**タブを選択し、**[アクション]**を選択し、**[同期を管理]** を選択します。

1. 「**同期の管理**」で、「**属性マッピングを表示**」を選択します。

1. 「**Active Directory ユーザー属性**」で、**IAM Identity Center ID ストア属性** と**Active Directory のユーザー属性**を設定します。例えば、IAM Identity Center ID ストア属性 `email` を Active Directory のユーザーディレクトリ属性 `${objectguid}` にマップすることができます。
**注記**  
「**グループ属性**」では、**IAM アイデンティティセンターの ID ストア属性** と **Active Directory グループの属性** は変更できません。

1. **[Save changes]** (変更の保存) をクリックします。これにより、「**同期の管理**」ページに戻ります。

# Active Directory から IAM アイデンティティセンターへの初回同期設定
<a name="manage-sync-configurable-ADsync"></a>

Active Directory から IAM アイデンティティセンターにユーザーとグループを初めて同期する場合は、以下の手順に従います。または、「[アイデンティティソースを変更する](manage-your-identity-source-change.md)」で説明されている手順に従って、アイデンティティソースを IAM アイデンティティセンターから Active Directory に変更することもできます。

## ガイド付きセットアップ
<a name="manage-sync-guided-setup-configurable-ADsync"></a>

1. [IAM Identity Center コンソール](https://console.aws.amazon.com/singlesignon) を開きます。
**注記**  
次のステップに進む前に、IAM Identity Center コンソールで AWS Managed Microsoft AD ディレクトリ AWS リージョン がある のいずれかを使用していることを確認してください。

1. [**設定**] を選択します。

1. ページ上部の通知メッセージで、[**ガイド付きセットアップを開始**] を選択します。

1. 「**ステップ 1 — *オプション*: 属性マッピングの設定**」で、デフォルトのユーザーおよびグループ属性マッピングを確認します。変更が不要な場合は、**[次へ]** を選択します。変更が必要な場合は、変更を行い、**[変更の保存]** を選択します。

1. 「**ステップ 2 — *オプション*: 同期範囲の設定**」で、**[ユーザー]** タブを選択します。次に、同期スコープに追加するユーザーの正確なユーザー名を入力し、[**追加**] を選択します。次に、[**グループ**] タブを選択します。同期スコープに追加するグループの正確なグループ名を入力し、[**追加**] を選択します。その後、**[Next]** を選択します。後でユーザーとグループを同期スコープに追加する場合は、変更せずに [**次へ**] を選択します。

1. 「**ステップ 3: 設定を確認して保存する**」で、「**ステップ 1: **属性マッピング**」で属性マッピングを確認し**、「**ステップ 2: 同期スコープ**」で**ユーザーとグループ**を確認します。**[設定の保存]** を選択します。これにより、「**同期を管理**」ページが表示されます。

# ユーザーとグループを同期スコープに追加します
<a name="manage-sync-add-users-groups-configurable-ADsync"></a>

**注記**  
同期スコープにグループを追加するときは、ドメイン内のグループからではなく、信頼されたオンプレミス AWS Managed Microsoft AD ドメインから直接グループを同期します。信頼されたドメインから直接同期されたグループには、IAM Identity Center がアクセスして正常に同期できる実際のユーザーオブジェクトが含まれています。

 以下の手順に従って、Active Directory ユーザーとグループを IAM アイデンティティセンターに追加します。

**ユーザーを追加するには**

1. [IAM Identity Center コンソール](https://console.aws.amazon.com/singlesignon) を開きます。

1. [**設定**] を選択します。

1. **[設定]**ページで**[ID ソース]**タブを選択し、**[アクション]**を選択し、**[同期を管理]** を選択します。

1. [**同期の管理**] ページで、[**ユーザー**] タブを選択し、[**ユーザーとグループの追加**] を選択します。

1. [**ユーザー**] タブの [**ユーザー**] に正確なユーザー名を入力し、[**追加**] を選択します。

1. [**追加したユーザーとグループ**] で、追加するユーザーを確認します。

1. [**送信**] を選択します。

1. ナビゲーションペインで **[ユーザー]** を選択します。指定したユーザーがリストに表示されない場合は、更新アイコンを選択してユーザーのリストを更新します。

**グループを追加するには**

1. [IAM Identity Center コンソール](https://console.aws.amazon.com/singlesignon) を開きます。

1. [**設定**] を選択します。

1. **設定**ページで**[ID ソース]**タブを選択し、**[アクション]**を選択し、**[同期を管理]** を選択します。

1. 「**同期の管理**」ページで「**グループ**」タブを選択し、「**ユーザーとグループの追加**」を選択します。

1. [**グループ**] タブを選択します。[**グループ**] で、正確なグループ名を入力し、[**追加**] を選択します。

1. [**追加したユーザーとグループ**] で、追加するグループを確認します。

1. [**送信**] を選択します。

1. ナビゲーションペインで、[**グループ**] を選択します。指定したグループがリストに表示されない場合は、更新アイコンを選択してグループのリストを更新します。

# 同期スコープからユーザーとグループを削除します。
<a name="manage-sync-remove-users-groups-configurable-ADsync"></a>

同期スコープからユーザーとグループを削除するとどうなるかについての詳細は、[設定可能な AD 同期の仕組み](how-it-works-configurable-ADsync.md) を参照してください。

**ユーザーを削除するには**

1. [IAM Identity Center コンソール](https://console.aws.amazon.com/singlesignon) を開きます。

1. [**設定**] を選択します。

1. **設定**ページで**[ID ソース]**タブを選択し、**[アクション]**を選択し、**[同期を管理]** を選択します。

1. **[ユーザー]** タブを選択します。

1. [**同期範囲のユーザー**] で、削除するユーザーの横にあるチェックボックスをオンにします。すべてのユーザーを削除するには、「**ユーザー名**」の横にあるチェックボックスを選択します。

1. **[**を削除] を選択します。

**グループを削除するには**

1. [IAM Identity Center コンソール](https://console.aws.amazon.com/singlesignon) を開きます。

1. [**設定**] を選択します。

1. **設定**ページで**[ID ソース]**タブを選択し、**[アクション]**を選択し、**[同期を管理]** を選択します。

1. [**グループ**] タブを選択します。

1. [**同期範囲のグループ**] で、削除するユーザーの横にあるチェックボックスをオンにします。すべてのグループを削除するには、[**グループ名**] の横にあるチェックボックスをオンにします。

1. **[**を削除] を選択します。

# 同期の一時停止と再開
<a name="manage-sync-pause-resume-sync-configurable-ADsync"></a>

同期を一時停止すると、今後のすべての同期サイクルが一時停止され、Active Directory 内のユーザーとグループに加えた変更が IAM Identity Center に反映されなくなります。同期を再開すると、同期サイクルでは次に予定されている同期からこれらの変更が反映されます。

**同期を一時停止するには**

1. [IAM Identity Center コンソール](https://console.aws.amazon.com/singlesignon) を開きます。

1. [**設定**] を選択します。

1. **[設定]**ページで**[ID ソース]**タブを選択し、**[アクション]**を選択し、**[同期を管理]** を選択します。

1. [**同期の管理] で [**同期を一時停止****] を選択します。

**同期を再開するには**

1. [IAM Identity Center コンソール](https://console.aws.amazon.com/singlesignon) を開きます。

1. [**設定**] を選択します。

1. **[設定]**ページで**[ID ソース]**タブを選択し、**[アクション]**を選択し、**[同期を管理]** を選択します。

1. [**同期の管理**] で [**同期を再開**] を選択します。
**注記**  
[**同期を再開**] ではなく [**同期を一時停止**] が表示される場合は、Active Directory から IAM Identity Center への同期はすでに再開されています。

# 同期設定を自動化して、設定可能な AD 同期を実現します。
<a name="automate-sync-configuration-configurable-ADsync"></a>

設定可能な AD 同期で自動化されたワークフローが期待どおりに機能するようにするには、次の手順を実行して同期設定を自動化することをお勧めします。

**設定可能な AD Sync の同期設定を自動化するには**

1. Active Directory で、IAM アイデンティティセンターに同期したいすべてのユーザーとグループを含む *親同期グループ*を作成します。例えば、グループに *IAMIdentityCenterAllUsersAndGroups* という名前を付けることができます。

1. IAM Identity Center で、親同期グループを設定可能な同期リストに追加します。IAM Identity Center は、親同期グループに含まれるすべてのユーザー、グループ、サブグループ、およびすべてのグループのメンバーを同期します。

1. Microsoft が提供する Active Directory ユーザーおよびグループ管理 API アクションを使用して、親同期グループにユーザーとグループを追加または削除します。