翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# OneLogin と IAM アイデンティティセンター間の SCIM プロビジョニングのセットアップ
<a name="onelogin-idp"></a>

IAM Identity Center は、クロスドメインアイデンティティ管理システム (SCIM) v2.0 プロトコルを使用して、OneLogin から IAM Identity Center へのユーザーおよびグループ情報の自動プロビジョニング (同期化) をサポートしています。詳細については、「[外部 ID プロバイダーで SAML および SCIM ID フェデレーションを使用する](other-idps.md)」を参照してください。

**注記**  
OneLogin は現在、 AWS IAM アイデンティティセンター アプリケーションで SAML マルチアサーション消費サービス (ACS) URLsをサポートしていません。この SAML 機能は、IAM Identity Center の[マルチリージョンサポート](multi-region-iam-identity-center.md)を最大限に活用するために必要です。IAM Identity Center を追加のリージョンにレプリケートする場合は、単一の ACS URL を使用すると、それらの追加のリージョンのユーザーエクスペリエンスに影響する可能性があることに注意してください。プライマリリージョンは引き続き正常に機能します。IdP ベンダーと協力してこの機能を有効にすることをお勧めします。単一の ACS URL を持つ追加のリージョンでのユーザーエクスペリエンスの詳細については、[複数の ACS URL なしで AWS マネージドアプリケーションを使用する URLs](multi-region-workforce-access.md#aws-app-use-without-multiple-acs-urls)「」および「」を参照してください[AWS アカウント 複数の ACS URLs を使用せずに回復性にアクセスする](multi-region-failover.md#account-access-resiliency-without-multiple-acs-url)。

この接続を OneLogin で設定するには、IAM Identity Center 用の SCIM エンドポイントと IAM Identity Center で自動的に作成したベアラートークンを使用します。SCIM 同期を設定すると、OneLogin のユーザー属性と IAM Identity Center の名前付き属性のマッピングが作成されます。これにより、IAM Identity Center と OneLogin の間で、期待される属性が一致します。

次のステップでは、SCIM プロトコルを使用して、OneLogin から IAM Identity Center へのユーザーとグループの自動プロビジョニングを有効にする方法を説明します。

**注記**  
SCIM のデプロイを開始する前に、まず [自動プロビジョニングを使用する際の注意事項](provision-automatically.md#auto-provisioning-considerations) を確認することをお勧めします。

**Topics**
+ [前提条件](#onelogin-prereqs)
+ [ステップ 1: IAM Identity Center でプロビジョニングを有効にする](#onelogin-step1)
+ [ステップ 2: OneLogin でプロビジョニングを設定する](#onelogin-step2)
+ [(オプション) ステップ 3: IAM Identity Center でのアクセスコントロールのために OneLogin でユーザー属性を設定する](#onelogin-step3)
+ [(オプション) アクセスコントロールの属性を渡す](#onelogin-passing-abac)
+ [トラブルシューティング](#onelogin-troubleshooting)

## 前提条件
<a name="onelogin-prereqs"></a>

開始する前に、以下の準備が必要です。
+ OneLogin アカウント。既存のアカウントをお持ちでない場合は、[OneLogin のウェブサイト](https://www.onelogin.com/free-trial)から無料トライアルまたはデベロッパーアカウントを取得できるかもしれません。
+ IAM アイデンティティセンター対応アカウント ([無料](https://aws.amazon.com/single-sign-on/))。詳細については、「[IAM Identity Center の有効化](https://docs.aws.amazon.com/singlesignon/latest/userguide/setup-enable-idc.html)」を参照してください。
+ OneLogin アカウントから IAM Identity Center への SAML 接続。詳細については、 AWS パートナーネットワークブログの「[OneLogin と AWSの間の有効化](https://aws.amazon.com/blogs/apn/enabling-single-sign-on-between-onelogin-and-aws/)」 を参照してください。

## ステップ 1: IAM Identity Center でプロビジョニングを有効にする
<a name="onelogin-step1"></a>

この最初のステップでは、IAM Identity Center コンソールを使用して、自動プロビジョニングを有効にします。

**IAM アイデンティティセンターで自動プロビジョニングを有効にするには**

1. 前提条件が整ったら、[IAM アイデンティティセンターコンソール](https://console.aws.amazon.com/singlesignon)を開きます。

1. 左側のナビゲーションペインの **[設定]** を選択します。

1. **[設定]** ページで、**[自動プロビジョニング]** 情報ボックスを探し、**[有効化]** を選択します。これにより、すぐに IAM アイデンティティセンターの自動プロビジョニングが有効になり、必要なエンドポイントとアクセストークンの情報が表示されます。

1. **[インバウンド自動プロビジョニング]** ダイアログボックスで、SCIM エンドポイントとアクセストークンをコピーします。これらは、後で IdP でプロビジョニングを設定する際に貼り付ける必要があります。

   1. **[SCIM エンドポイント]** - 例えば https://scim.*us-east-2*.amazonaws.com/*11111111111-2222-3333-4444-555555555555*/scim/v2

   1. **[アクセストークン]** - **[トークンを表示]** を選択して値をコピーします。
**警告**  
SCIM エンドポイントとアクセストークンを取得できるタイミングは、この時のみです。先に進む前に、これらの値をコピーしておいてください。このチュートリアルの後半で、お使いの IdP 上でこれらの値を入力して自動プロビジョニングを設定します。

1. **[閉じる]** を選択します。

IAM Identity Center コンソールでプロビジョニングを設定しています。あとは OneLogin 管理者コンソールのユーザーインターフェースに従い、以下の残りの手順を行う必要があります。

## ステップ 2: OneLogin でプロビジョニングを設定する
<a name="onelogin-step2"></a>

OneLogin 管理コンソールで以下の手順を使用して、IAM Identity Center と IAM Identity Center アプリケー ション間の統合を有効にします。この手順では、SAML 認証OneLogin用に で AWS Single Sign-On アプリケーションが既に設定されていることを前提としています。この SAML 接続をまだ作成していない場合は、先に進む前に SAML 接続を作成し、ここに戻って SCIM のプロビジョニングプロセスを完了してください。OneLogin での SAML の設定の詳細については、 AWS パートナーネットワークブログの「[Enabling Single Sign-On Between OneLogin and AWS](https://aws.amazon.com/blogs/apn/enabling-single-sign-on-between-onelogin-and-aws/)」を参照してください。

**OneLogin でプロビジョニングを設定するには**

1. OneLogin にサインインして、**[アプリケーション] > [アプリケーション]** と進みます。

1. [**アプリケーション**] ページで、IAM Identity Center との SAML 接続を形成するために以前に作成したアプリケーションを検索します。それを選択して、左のナビゲーションバーから **[設定]** を選択します。

1. 前の手順で、IAM Identity Center から [**SCIM エンドポイント**] の値をコピーしました。その値を OneLogin の [**ベース URL**] フィールドに貼り付けます。また、前の手順で、IAM アイデンティティセンターの **[アクセストークン]** の値をコピーしました。その値を OneLogin の [**SCIM ベアラートークン**] フィールドに貼り付けます。

1. **[API Connection]** (API 接続) の隣にある **[Enable]** (有効化) をクリックし、**[Save]** (保存) をクリックして設定を完了します。

1. ナビゲーションペインで、**[Provisioning]** (プロビジョニング) を選択します。

1. **[Enable provisioning]** (プロビジョニングの有効化)、**[Create user]** (ユーザーの作成)、**[Delete user]** (ユーザーの削除)、**[Update user]** (ユーザーの更新) の各チェックボックスを選択し、**[Save]** (保存) を選択します。

1. ナビゲーションペインで **[ユーザー]** を選択します。

1. **[More Actions]** (その他のアクション) をクリックして、**[Sync logins]** (ログイン同期) を選択します。[*Synchronizing users with AWS Single Sign-On を使用したユーザーの同期*] というメッセージが表示されます。

1. もう一度 **[More Actions]** (その他のアクション) をクリックして、**[Reapply entitlement mappings]** (エンタイトルメントマッピングの再適用) を選択します。*Mappings are being reapplied* (マッピングが再適用されている) というメッセージが表示されます。

1. この時点で、プロビジョニングプロセスを開始する必要があります。これを確認するには、**[Activity] (アクティビティ) > Events (イベント)** をクリックして、進行状況をモニタリングします。プロビジョニングに成功したイベントやエラーがイベントストリームに表示されます。

1. ユーザーおよびグループが IAM Identity Center にすべて正常に同期されたことを確認するには、 IAM Identity Center コンソールに戻り、[**ユーザー**] を選択します。OneLogin から同期されたユーザーは、[**ユーザー**] ページに表示されます。また、同期したグループは **[Groups]** (グループ) ページで確認できます。

1. ユーザーの変更を IAM Identity Center に自動的に同期させるには、[**プロビジョニング**] ページに移動し、[**この操作を実行する前に管理者の承認を要求する**] セクションを見つけ、[**ユーザーの作成**]、[**ユーザーの削除**]、[**ユーザーの更新**] の選択を解除し、[**保存**] をクリックします。

## (オプション) ステップ 3: IAM Identity Center でのアクセスコントロールのために OneLogin でユーザー属性を設定する
<a name="onelogin-step3"></a>

これは、 AWS リソースへのアクセスを管理するために IAM Identity Center で使用する属性を設定するOneLogin場合のオプションの手順です。OneLogin で定義した属性は、SAML アサーションで IAM Identity Center に渡されます。その後、IAM Identity Center でアクセス権限セットを作成し、OneLogin から渡された属性に基づいてアクセスを管理します。

この手順を始める前に、最初に [アクセスコントロールの属性](attributesforaccesscontrol.md) 機能を有効にしておく必要があります。これを行う方法については、「[アクセスコントロールのための属性の有効化と設定](configure-abac.md)」を参照してください。

**IAM Identity Center でのアクセスコントロールに使用される OneLogin の属性の有効化と設定**

1. OneLogin にサインインして、**[アプリケーション] > [アプリケーション] **と進みます。

1. [**アプリケーション**] ページで、IAM Identity Center との SAML 接続を形成するために以前に作成したアプリケーションを検索します。それを選択して、ナビゲーションバーから **[パラメータ]** を選択します。

1. [**必須パラメータ**] セクションでは、IAM Identity Center で使用する各属性について以下のように設定します。

   1. **\$1** を選択します。

   1. **[名前]** フィールドには `https://aws.amazon.com/SAML/Attributes/AccessControl:AttributeName` を入力し、**AttributeName** は IAM Identity Center で想定している属性名に置き換えます。例えば、`https://aws.amazon.com/SAML/Attributes/AccessControl:Department`。

   1. **[Flags]** (フラグ) で、**[Include in SAML assertion]** (SAML アサーションに含める) の横のボックスをチェックして、**[Save]** (保存) を選択します。

   1. [**値**] フィールドでは、ドロップダウンリストを使って、OneLogin のユーザー属性を選択します。例えば、**Department** (部署) などです。

1. **[保存]** を選択します。

## (オプション) アクセスコントロールの属性を渡す
<a name="onelogin-passing-abac"></a>

IAM Identity Center の [アクセスコントロールの属性](attributesforaccesscontrol.md) 機能をオプションで使用して、`Name` 属性を `https://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey}` に設定した `Attribute` 要素を渡すことができます。この要素を使用すると、SAML アサーションでセッションタグとして属性を渡すことができます。セッションタグの詳細については、「*IAM ユーザーガイド*」の「[AWS STSでのタグ付けの規則 ](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_session-tags.html)」を参照してください。

属性をセッションタグとして渡すには、タグの値を指定する `AttributeValue` 要素を含めます。例えば、タグのキーバリューのペア `CostCenter = blue` を渡すには、次のような属性を使用します。

```
<saml:AttributeStatement>
<saml:Attribute Name="https://aws.amazon.com/SAML/Attributes/AccessControl:CostCenter">
<saml:AttributeValue>blue
</saml:AttributeValue>
</saml:Attribute>
</saml:AttributeStatement>
```

複数の属性を追加する必要がある場合は、各タグに個別の `Attribute` 要素を含めます。

## トラブルシューティング
<a name="onelogin-troubleshooting"></a>

以下は、OneLogin で自動プロビジョニングで発生する問題のトラブルシューティングに役立ちます。

**グループは IAM Identity Center にプロビジョニングされない**

デフォルトでは、グループは OneLogin から IAM Identity Center にプロビジョニングできません。OneLogin で IAM Identity Center アプリケーションのグループプロビジョニングが有効になっていることを確認します。これを行うには、OneLogin 管理コンソールにサインインし、IAM Identity Center アプリケーションのプロパティ (**IAM Identity Center アプリケーション > パラメータ > グループ**) で、[**ユーザープロビジョニングに含める**] オプションが選択されている必要があります。SCIM のグループとして OneLogin のロールを同期させる方法を含め、OneLogin でグループを作成する方法の詳細については、「[OneLogin のウェブサイト](https://onelogin.service-now.com/support)」 を参照してください。

**すべての設定が正しいにもかかわらず、OneLogin から IAM Identity Center へ何も同期されない**

上記の管理者承認に関する注意事項に加えて、多くの設定変更を有効にするためには、**エンタイトルメントマッピングを再適用する**必要があります。これは、**[アプリケーション] > [アプリケーション] > [IAM Identity Center アプリケーション] > [その他のアクション]** で確認できます。同期イベントを含む OneLogin のほとんどのアクションの詳細とログは、**[Activity ] (アクティビティ) > [Events] (イベント)** で確認できます。

**OneLogin でグループを削除または無効にしたが、IAM Identity Center でまだ表示されている**

OneLogin は現在、グループに対する SCIM DELETE オペレーションをサポートしていないため、グループは IAM Identity Center で存在し続けます。そのため、IAM Identity Center からグループを直接削除して、そのグループに対応する IAM Identity Center 内のアクセス権限が削除されるようにする必要があります。

**OneLogin からグループを削除せずに IAM Identity Center でグループを削除したら、ユーザー/グループの同期問題が発生した**

この問題を解決するには、まず、OneLogin に冗長なグループプロビジョニングルールや構成がないことを確認してください。例えば、アプリケーションに直接割り当てられたグループと、同じグループに発行するルールなどです。次に、IAM Identity Center 内の不必要なグループを削除します。最後に OneLogin でエンタイトルメントを **リフレッシュ**して (**[IAM Identity Center アプリケーション] > [プロビジョニング] > [エンタイトルメント]**)、**エンタイトルメントマッピングを再度適用します ([IAM Identity Center アプリケーション] > [その他のアクション])**。今後この問題を回避するには、まず OneLogin でグループのプロビジョニングを停止するように変更し、その後 IAM Identity Center からグループを削除します。