翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。 # ID フェデレーションとシングルサインオン コアシステム全体で一貫した ID 管理を確保することは、あらゆるテクノロジーを効果的かつ安全に採用するための鍵です。教育機関では、ID 管理を簡素化し、運用上の負担を軽減し、多要素認証や最小特権アクセスなどのベストプラクティスを一元的に適用するために、[AWS IAM アイデンティティセンター](https://aws.amazon.com/iam/identity-center/)、Microsoft Entra ID (旧 Azure Active Directory)、Okta、JumpCloud、OneLogin、Ping Identity、CyberArk などのクラウドベースの ID およびシングルサインオンソリューションを導入するケースが増えています。 これらの教育機関の多くでは、オンプレミス環境向けに Active Directory や Shibboleth などの ID 管理とディレクトリサービスを引き続き運用しています。これらのサービスはクラウドベースのソリューションと統合することで、学生、教員、スタッフの一元化された ID 管理とシングルサインオンが可能になります。クラウドソリューションプロバイダーには、クラウド ID プロバイダーを介して、既存のアプリケーション、SaaS ソリューション、クラウドサービスに ID をフェデレーションできる、堅牢で統合が容易な ID 管理プラットフォームが求められます。次の図は、アーキテクチャの例を示しています。 ![\[Identity management flow from on-premises systems to AWS のサービス via cloud identity providers.\]](http://docs.aws.amazon.com/ja_jp/prescriptive-guidance/latest/strategy-education-hybrid-multicloud/images/identity-sso.png) このアーキテクチャは、次の推奨事項に従います。 + **プライマリの戦略的クラウドプロバイダーを選択します。**このアーキテクチャでは、プライマリクラウドプロバイダー AWS として を使用します。このアーキテクチャは、クラウド ID プロバイダーとオンプレミスの既存の ID 管理およびディレクトリサービスと統合することで、プライマリクラウドプロバイダーのサービスと、他のアプリケーションや SaaS ソリューションの両方へのアクセスの自動プロビジョニングと管理をサポートします。これにより、機関のテクノロジーポートフォリオにより多くのアプリケーションとサービスが追加されていくにつれて、セキュリティとガバナンスの要件を一貫性をもって管理しやすい方法で満たすことができます。 + **SaaS アプリケーションと基盤クラウドサービスを区別します。**このアーキテクチャは、複数のタイプのクラウドベースの SaaS およびオンプレミスの ID システムを統合して、 AWS クラウド サービスやその他のアプリケーションへのアクセスを提供します。多くのクラウドベースの ID プロバイダーとシングルサインオンソリューションも SaaS アプリケーションであり、ネイティブ統合や SAML などの標準プロトコルを使用して、環境間で連携できます。 + **各クラウドサービスプロバイダーのセキュリティとガバナンスの要件を確立します。**このアーキテクチャは、米国国立標準技術研究所 (NIST) サイバーセキュリティフレームワーク (CSF)、NIST 800-171、NIST 800-53 など、多数のセキュリティフレームワークが発行するアイデンティティおよびアクセス管理に関するガイダンスに準拠しています。[AWS Organizations](https://aws.amazon.com/organizations/)、[AWS Identity and Access Management (IAM)](https://aws.amazon.com/iam/)、およびその他の [AWS のセキュリティ、アイデンティティ、コンプライアンスサービス](https://aws.amazon.com/products/security/)との統合により、グループのアクセス許可に基づいて安全できめ細かなアクセスコントロールを提供できます。 + **可能な限り、かつ実用的であれば、クラウドネイティブのマネージドサービスを採用します。**このアーキテクチャでは、ID 管理とシングルサインオンにクラウドベースのマネージドサービスを使用します。これにより、インフラストラクチャ管理に費やす時間と労力が削減され、これらの重要なシステムのメンテナンスが容易になります。 + **既存のオンプレミス投資が継続利用を促す場合は、ハイブリッドアーキテクチャを実装します。**このアーキテクチャは、Active Directory、Lightweight Directory Access Control (LDAP)、および Shibboleth ワークロードをホストするためのインフラストラクチャに対する既存のオンプレミス投資を統合し、コア ID サービスを最終的にクラウドベースのインフラストラクチャへ移行するための道筋を提供します。さらに、オンプレミスワークロードで AWS リソースへの証明書ベースのアクセスが必要な場合は、[AWS Identity and Access Management Roles Anywhere](https://docs.aws.amazon.com/rolesanywhere/latest/userguide/introduction.html) を使用できます。