翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# PingFederate
<a name="pingfederate-idp"></a>

IAM Identity Center は、Ping Identity (以下、Ping) の PingFederate 製品から IAM Identity Center へのユーザーおよびグループ情報の自動プロビジョニング (同期化) をサポートしています。このプロビジョニングでは、クロスドメインアイデンティティ管理システム (SCIM) v2.0 プロトコルを使用します。詳細については、「[外部 ID プロバイダーで SAML および SCIM ID フェデレーションを使用する](other-idps.md)」を参照してください。

この接続を PingFederate で設定するには、IAM Identity Center SCIM エンドポイントとアクセストークンを使用します。SCIM 同期を設定すると、PingFederate のユーザー属性と IAM Identity Center の名前付き属性のマッピングが作成されます。これにより、IAM Identity Center と PingFederate の間で、期待される属性が一致します。

このガイドは、PingFederate バージョン 10.2 に基づいています。他のバージョンでは、手順が異なる場合があります。他のバージョンの Ping の IAM Identity Center へのプロビジョニングの設定方法の詳細については、PingFederate にお問い合わせください。

次のステップでは、SCIM プロトコルを使用して、PingFederate から IAM Identity Center へのユーザーとグループの自動プロビジョニングを有効にする方法を説明します。

**注記**  
SCIM のデプロイを開始する前に、まず [自動プロビジョニングを使用する際の注意事項](provision-automatically.md#auto-provisioning-considerations) を確認することをお勧めします。そして、次のセクションで残りの注意事項を確認します。

**Topics**
+ [前提条件](#pingfederate-prereqs)
+ [考慮事項](#pingfederate-considerations)
+ [ステップ 1: IAM Identity Center でプロビジョニングを有効にする](#pingfederate-step1)
+ [ステップ 2: PingFederate でプロビジョニングを設定する](#pingfederate-step2)
+ [(オプション) ステップ 3: IAM Identity Center でのアクセスコントロールのために でユーザー属性を設定する](#pingfederate-step3)
+ [(オプション) アクセスコントロールの属性を渡す](#pingfederate-passing-abac)
+ [トラブルシューティング](#pingfederate-troubleshooting)

## 前提条件
<a name="pingfederate-prereqs"></a>

開始する前に、以下の準備が必要です。
+ 動作中の PingFederate サーバー。既存の PingFederate サーバーをお持ちでない場合は、[Ping Identity](https://www.pingidentity.com/developer/en/get-started.html#:~:text=Get%20started%20developing%20with%20open,a%20developer%20trial%20of%20PingOne.) のウェブサイトから無料トライアルまたはデベロッパーアカウントを取得できるかもしれません。無料トライアルには、ライセンスやソフトウェアのダウンロード、関連するドキュメントが含まれています。
+ PingFederate サーバーにインストールされている PingFederate IAM Identity Center ソフトウェアのコピー。このソフトウェアの入手方法については、Ping Identity ウェブサイトの「[IAM Identity Center Connector](https://support.pingidentity.com/s/marketplace-integration/a7i1W000000TOZ1/)」を参照してください。
+ IAM アイデンティティセンター対応アカウント ([無料](https://aws.amazon.com/single-sign-on/))。詳細については、「[IAM Identity Center の有効化](https://docs.aws.amazon.com/singlesignon/latest/userguide/setup-enable-idc.html)」を参照してください。
+ PingFederate インスタンスから IAM Identity Center への SAML 接続。この接続を設定する手順については、PingFederate のドキュメントを参照してください。つまり推奨される方法は、IAM Identity Center コネクターを使用して PingFederate で「ブラウザ SSO」を構成し、両端のメタデータの「ダウンロード」および「インポート」機能を使用して、PingFederate と IAM Identity Center の間で SAML メタデータを交換します。
+ IAM Identity Center を追加のリージョンにレプリケートした場合は、ID プロバイダーの設定を更新して、 AWS マネージドアプリケーションおよびそれらのリージョン AWS アカウント からのアクセスを有効にする必要があります。詳細については、[ステップ 3: 外部 IdP 設定を更新する](replicate-to-additional-region.md#update-external-idp-setup)を参照してください。詳細については、PingFederateドキュメントを参照してください。

## 考慮事項
<a name="pingfederate-considerations"></a>

以下は、IAM Identity Center によるプロビジョニングの実装方法に影響を与える可能性がある PingFederate に関する重要な注意事項です。
+ PingFederate で設定したデータストアのユーザーから属性 (電話番号など) を削除しても、IAM Identity Center に対応するユーザーからはその属性は削除されません。これは、PingFederate’s のプロビジョナーの実装における既知の制限です。ユーザーの属性が異なる (空でない) 値に変更された場合、その変更は IAM Identity Center に同期されます。

## ステップ 1: IAM Identity Center でプロビジョニングを有効にする
<a name="pingfederate-step1"></a>

この最初のステップでは、IAM Identity Center コンソールを使用して、自動プロビジョニングを有効にします。

**IAM アイデンティティセンターで自動プロビジョニングを有効にするには**

1. 前提条件が整ったら、[IAM アイデンティティセンターコンソール](https://console.aws.amazon.com/singlesignon)を開きます。

1. 左側のナビゲーションペインの **[設定]** を選択します。

1. **[設定]** ページで、**[自動プロビジョニング]** 情報ボックスを探し、**[有効化]** を選択します。これにより、すぐに IAM アイデンティティセンターの自動プロビジョニングが有効になり、必要なエンドポイントとアクセストークンの情報が表示されます。

1. **[インバウンド自動プロビジョニング]** ダイアログボックスで、SCIM エンドポイントとアクセストークンをコピーします。これらは、後で IdP でプロビジョニングを設定する際に貼り付ける必要があります。

   1. **[SCIM エンドポイント]** - 例えば https://scim.*us-east-2*.amazonaws.com/*11111111111-2222-3333-4444-555555555555*/scim/v2

   1. **[アクセストークン]** - **[トークンを表示]** を選択して値をコピーします。
**警告**  
SCIM エンドポイントとアクセストークンを取得できるタイミングは、この時のみです。先に進む前に、これらの値をコピーしておいてください。このチュートリアルの後半で、お使いの IdP 上でこれらの値を入力して自動プロビジョニングを設定します。

1. [**閉じる**] を選択してください。

IAM Identity Center コンソールでプロビジョニングを設定した後、PingFederate 管理コンソールを使用して残りのタスクを完了する必要があります。

## ステップ 2: PingFederate でプロビジョニングを設定する
<a name="pingfederate-step2"></a>

PingFederate 管理コンソールで以下の手順を使用して、IAM Identity Center と IAM Identity Center コネクター間の統合を有効にします。この手順では、IAM Identity Center コネクターソフトウェアが既にインストールされていることを前提としています。まだ実行していない場合は、「[前提条件](#pingfederate-prereqs)」を参照してから、この手順を実行して SCIM プロビジョニングを設定してください。

**重要**  
PingFederate サーバーが以前にアウトバウンド SCIM プロビジョニング用に設定されていない場合は、プロビジョニングを有効にするために設定ファイルの変更が必要になることがあります。詳細については、Ping ドキュメントを参照してください。つまり、**pingfederate-<version>/pingfederate/bin/run.properties** ファイル内の `pf.provisioner.mode` 設定を `OFF` (デフォルト) 以外の値に変更して、現在稼働中のサーバーがあれば再起動する必要があります。例えば、PingFederate を使った高可用性の構成でない場合は `STANDALONE` を使用することができます。

**PingFederate でプロビジョニングを設定するには**

1. PingFederate 管理コンソールにサインオンします。

1. ページ上部の **[Applications]** (アプリケーション) を選択し、**[SP Connections]** (SP 接続) をクリックします。

1. IAM Identity Center との SAML 接続を形成するために前回作成したアプリケーションを検索して、接続名をクリックします。

1. ページの上部にある暗いナビゲーションの見出しから **[Connection Type]** (接続タイプ) を選択します。前回の SAML の設定で、**Browser SSO** が既に選択されているはずです。選択されていない場合は、先にその手順を完了させてから次に進みます。

1. **[アウトバウンドプロビジョニング]** チェックボックスを選択して、タイプとして **[IAM Identity Center クラウドコネクター]** を選択して、**[保存]** をクリックします。[**IAM Identity Center Cloud Connector**] がオプションとして表示されない場合は、IAM Identity Center がインストールされていることを確認して、PingFederate サーバーを再起動します。

1. **[Outbound Provisioning]** (アウトバウンドプロビジョニング) ページが表示されるまで、繰り返し **[Next]** (次へ) をしクリックします。ページが表示されたら、**[Configure Provisioning]** (プロビジョニングの設定) ボタンをクリックします。

1. 前の手順で、IAM Identity Center から [**SCIM エンドポイント**] の値をコピーしました。その値を PingFederate コンソールの [**SCIM URL**] フィールドに貼り付けます。また、前の手順で、IAM アイデンティティセンターの **[アクセストークン]** の値をコピーしました。その値を PingFederate コンソールの [**アクセストークン**] フィールドに貼り付けます。**[Save]** (保存) をクリックします。

1. **[Channel Configuration (Configure Channels)]** (チャンネル設定 (チャンネルの設定)) ページで **[Create]** (作成) をクリックします。

1. 新しいプロビジョニングチャネルの**チャネル名** (**AWSIAMIdentityCenterchannel** など) を入力し、**[Next]** (次へ) をクリックします。

1. [**ソース**] ページでは、IAM Identity Center への接続に使用する [**アクティブデータストア**] を選択し、[**次へ**] をクリックします。
**注記**  
データソースを設定していない場合は、すぐに設定する必要があります。Ping でのデータソースの選択と設定方法については、PingFederate 製品のドキュメントを参照してください。

1. **[Source Settings]** (ソースの設定) ページで、すべての値がインストールに対して正しいことを確認して、**[Next]** (次へ) をクリックします。

1. **[Source Location]** (ソースの場所) ページで、データソースに適した設定を入力して、**[Next]** (次へ) をクリックします。例えば、アクティブディレクトリを LDAP ディレクトリとして使用する場合などです。

   1. AD フォレストの**ベース DN** を入力します (例: **DC=myforest,DC=mydomain,DC=com**)。

   1. **[ユーザー] > [グループ DN]** を選択して、IAM Identity Center にプロビジョニングしたいすべてのユーザーを含む単一のグループを指定します。単一のグループが存在しない場合は、AD にグループを作成してからこの設定に戻って、対応する DN を入力します。

   1. サブグループを検索するかどうか (**ネスト検索**) と、必要な LDAP **フィルター**を指定します。

   1. **[グループ] > [グループ DN] **を選択して、IAM Identity Center にプロビジョニングしたいすべてのグループを含む単一のグループを指定します。通常、これは **[Users]** (ユーザー) セクションで指定したのと同じ DN である可能性があります。必要に応じて **ネスト検索**と**フィルター**の値を入力します。

1. **[Attribute Mapping]** (属性マッピング) ページで以下の項目を確認し、**[Next]** (次へ) をクリックします。

   1. [**userName**] フィールドは、E メールとしてフォーマットされた**属性**にマッピングされている必要があります (user@domain.com)。また、ユーザーが Ping にログインする際に使用する値と一致していなければなりません。この値は、フェデレーション認証の際に SAML `nameId` クレームに入力され、IAM Identity Center でのユーザーとのマッチングに使用されます。例えば、アクティブディレクトリを使用している場合、**userName** に `UserPrincipalName` を指定することができます。

   1. サフィックスに **\$1** が付いているその他のフィールドは、ユーザーの NULL 以外の属性にマップする必要があります。

1. **[Activation & Summary]** (アクティベーションとサマリー) ページで、**[Channel Status]** (チャネルステータス) を **Active** (アクティブ) に設定すると、保存するとすぐに同期が開始されます。

1. ページ上の設定値がすべて正しいことを確認して、**[Done]** (完了) をクリックします。

1. **[Manage Channels]** (チャネルの管理) ページで **[Save]** (保存) をクリックします。

1. この時点で、プロビジョニングが開始します。アクティビティは、**provisioner.log** ファイルで確認できます。デフォルトでは PingFederate サーバーの **pingfederate-<version>/pingfederate/log** ディレクトリに保存されています。

1. ユーザーおよびグループが IAM Identity Center にすべて正常に同期されたことを確認するには、 IAM Identity Center コンソールに戻り、[**Users**] (ユーザー) を選択します。PingFederate から同期されたユーザーは、[**ユーザー**] ページに表示されます。また、同期したグループは **[Groups]** (グループ) ページで確認できます。

## (オプション) ステップ 3: IAM Identity Center でのアクセスコントロールのために でユーザー属性を設定する
<a name="pingfederate-step3"></a>

これは、 AWS リソースへのアクセスを管理するために IAM Identity Center で使用する属性を設定するPingFederate場合のオプションの手順です。PingFederate で定義した属性は、SAML アサーションで IAM Identity Center に渡されます。その後、IAM Identity Center でアクセス権限セットを作成し、PingFederate から渡された属性に基づいてアクセスを管理します。

この手順を始める前に、最初に [アクセスコントロールの属性](attributesforaccesscontrol.md) 機能を有効にしておく必要があります。これを行う方法については、「[アクセスコントロールのための属性の有効化と設定](configure-abac.md)」を参照してください。

**IAM Identity Center でのアクセスコントロールに使用される PingFederate の属性の有効化と設定**

1. PingFederate 管理コンソールにサインオンします。

1. ページ上部の **[Applications]** (アプリケーション) を選択し、**[SP Connections]** (SP 接続) をクリックします。

1. IAM Identity Center との SAML 接続を形成するために前回作成したアプリケーションを検索して、接続名をクリックします。

1. ページの上部にある暗いナビゲーションの見出しから **[Browser SSO]** (ブラウザ SSO) を選択します。次に **[Configure Browser SSO]** (ブラウザ SSO の設定) をクリックします。

1. **[Configure Browser SSO]** (ブラウザ SSO の設定) ページで、**[Assertion Creation]** (アサーションの作成) を選択し、**[Configure Assertion Creation]** (アサーション作成の設定) をクリックします。

1. **[Configure Assertion Creation]** (アサーション作成の設定) ページで、**[Attribute Contract]** (属性契約) を選択します。

1. **[Attribute Contract]** (属性の契約) ページの **[Extend the Contract]** (契約の拡張) セクションで、以下の手順で新しい属性を追加します。

   1. テキストボックスには `https://aws.amazon.com/SAML/Attributes/AccessControl:AttributeName` を入力し、**AttributeName** は IAM Identity Center で想定している属性名に置き換えます。例えば、`https://aws.amazon.com/SAML/Attributes/AccessControl:Department`。

   1. **[属性名の形式]** では、[**urn:oasis:names:tc:SAML:2.0:attrname-format:uri**] を選択します。

   1. **[Add]** (追加) を選択して、次に **[Next]** (次へ) を選択します。

1. **[Authentication Source Mapping]** (認証ソースマッピング) ページで、アプリケーションに設定されているアダプタインスタンスを選択します。

1. **[Attribute Contract Fulfillment]** (属性契約の履行) ページで、**[Attribute Contract]** (属性契約) `https://aws.amazon.com/SAML/Attributes/AccessControl:Department` の **[Source]** (ソース) (*data store* (データストア)) と **[Value]** (値) (*data store attribute* (データストア属性)) を選択します。
**注記**  
データソースを設定していない場合は、すぐに設定する必要があります。Ping でのデータソースの選択と設定方法については、PingFederate 製品のドキュメントを参照してください。

1. **[Activation & Summary]** (アクティベーションとサマリー) ページが表示されるまで、繰り返し **[Next]** (次へ) をクリックします。ページが表示されたら、**[Save]** (保存) をクリックします。

## (オプション) アクセスコントロールの属性を渡す
<a name="pingfederate-passing-abac"></a>

IAM Identity Center の [アクセスコントロールの属性](attributesforaccesscontrol.md) 機能をオプションで使用して、`Name` 属性を `https://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey}` に設定した `Attribute` 要素を渡すことができます。この要素を使用すると、SAML アサーションでセッションタグとして属性を渡すことができます。セッションタグの詳細については、「*IAM ユーザーガイド*」の「[AWS STSでのタグ付けの規則 ](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_session-tags.html)」を参照してください。

属性をセッションタグとして渡すには、タグの値を指定する `AttributeValue` 要素を含めます。例えば、タグのキーバリューのペア `CostCenter = blue` を渡すには、次のような属性を使用します。

```
<saml:AttributeStatement>
<saml:Attribute Name="https://aws.amazon.com/SAML/Attributes/AccessControl:CostCenter">
<saml:AttributeValue>blue
</saml:AttributeValue>
</saml:Attribute>
</saml:AttributeStatement>
```

複数の属性を追加する必要がある場合は、各タグに個別の `Attribute` 要素を含めます。

## トラブルシューティング
<a name="pingfederate-troubleshooting"></a>

PingFederate を使用した一般的な SCIM および SAML のトラブルシューティングについては、以下のセクションを参照してください。
+ [特定のユーザーが、外部の SCIM プロバイダーからの IAM Identity Center に同期できません](troubleshooting.md#issue2)
+ [IAM Identity Center によって作成された SAML アサーションの内容に関する問題](troubleshooting.md#issue1)
+ [外部 ID プロバイダーを使用してユーザーまたはグループをプロビジョニングする際の重複ユーザーまたはグループのエラー](troubleshooting.md#duplicate-user-group-idp)
+ PingFederate の詳細については、「[PingFederate のドキュメント](https://docs.pingidentity.com/pingfederate/latest/pf_pf_landing_page.html)」を参照してください。

以下のリソースは、作業中のトラブルシューティングに役立ちます AWS。
+ [AWS re:Post](https://repost.aws/) — 問題のトラブルシューティングに役立つ FAQ やその他のリソースへのリンクを検索できます。
+ [AWS サポート](https://aws.amazon.com/premiumsupport/) - テクニカルサポートを受ける