翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# Setting up SCIM provisioning between CyberArk and IAM Identity Center
<a name="cyberark-idp"></a>

IAM Identity Center は、CyberArk Directory Platform から IAM Identity Center へのユーザ情報の自動プロビジョニン グ（同期）をサポートしています。このプロビジョニングでは、クロスドメインアイデンティティ管理システム (SCIM) v2.0 プロトコルを使用します。詳細については、「[外部 ID プロバイダーで SAML および SCIM ID フェデレーションを使用する](other-idps.md)」を参照してください。

**注記**  
CyberArk は現在、 AWS IAM アイデンティティセンター アプリケーションで SAML マルチアサーション消費サービス (ACS) URLsをサポートしていません。この SAML 機能は、IAM Identity Center の[マルチリージョンサポート](multi-region-iam-identity-center.md)を最大限に活用するために必要です。IAM Identity Center を追加のリージョンにレプリケートする場合は、単一の ACS URL を使用すると、それらの追加のリージョンのユーザーエクスペリエンスに影響する可能性があることに注意してください。プライマリリージョンは引き続き正常に機能します。IdP ベンダーと協力してこの機能を有効にすることをお勧めします。単一の ACS URL を持つ追加のリージョンでのユーザーエクスペリエンスの詳細については、[複数の ACS URL なしで AWS マネージドアプリケーションを使用する URLs](multi-region-workforce-access.md#aws-app-use-without-multiple-acs-urls)「」および「」を参照してください[AWS アカウント 複数の ACS URLs を使用せずに回復性にアクセスする](multi-region-failover.md#account-access-resiliency-without-multiple-acs-url)。

SCIM のデプロイを開始する前に、まず [自動プロビジョニングを使用する際の注意事項](provision-automatically.md#auto-provisioning-considerations) を確認することをお勧めします。そして、次のセクションで残りの注意事項を確認します。

**Topics**
+ [

## 前提条件
](#cyberark-prereqs)
+ [

## SCIM に関する注意事項
](#cyberark-considerations)
+ [

## ステップ 1: IAM Identity Center でプロビジョニングを有効にする
](#cyberark-step1)
+ [

## ステップ 2: CyberArk でプロビジョニングを設定する
](#cyberark-step2)
+ [

## (オプション) ステップ 3: IAM Identity Center でのアクセスコントロール (ABAC) のために CyberArk でユーザー属性を設定する
](#cyberark-step3)
+ [

## (オプション) アクセスコントロールの属性を渡す
](#cyberark-passing-abac)

## 前提条件
<a name="cyberark-prereqs"></a>

開始する前に、以下の準備が必要です。
+ CyberArk のサブスクリプションまたは無料トライアル。無料トライアルにサインアップするには、[https://www.cyberark.com/try-buy/](https://www.cyberark.com/try-buy/) にアクセスしてください。
+ IAM Identity Center 対応アカウント ([無料](https://aws.amazon.com/single-sign-on/))。詳細については、「[IAM Identity Center の有効化](https://docs.aws.amazon.com/singlesignon/latest/userguide/setup-enable-idc.html)」を参照してください。
+ 「[CyberArkIAM ID Centerのドキュメント](https://docs.cyberark.com/identity/Latest/en/Content/Applications/AppsWeb/AWS_SAML_SSO.htm#)」で説明されている、CyberArk アカウントから IAM アイデンティティセンターへの SAML 接続。
+ IAM Identity Center コネクターを、 AWS アカウントへのアクセスを許可したいロール、ユーザー、組織に関連付けます。

## SCIM に関する注意事項
<a name="cyberark-considerations"></a>

IAM Identity Center に CyberArk のフェデレーションを使用する場合の注意事項を以下に示します。
+ アプリケーションプロビジョニングセクションでマッピングされたロールだけが IAM Identity Center に同期されます。
+ プロビジョニングスクリプトはデフォルトの状態でのみサポートされており、変更すると SCIM のプロビジョニングに失敗する可能性があります。
  + 同期できる電話番号属性は 1 つだけです。デフォルトは「仕事用の電話」です。
+ CyberArk IAM Identity Center アプリケーションのロールマッピングを変更すると、以下のような動作になります。
  + ロール名を変更しても、IAM Identity Center のグループ名は変更されません。
  + グループ名が変更された場合、IAM Identity Center では新しいグループが作成されます。古いグループは残りますが、メンバーはいません。
+ ユーザーの同期とプロビジョニング解除の動作は、CyberArk IAM Identity Center アプリケーションから設定できますので、組織に合った動作を設定してください。オプションは次の通りです。
  + Identity Center ディレクトリ内の同じプリンシパル名のユーザーを上書きする (しない)。
  + ユーザーが CyberArk のロールから削除されたときに、IAM Identity Center からユーザーを非プロビジョニングします。
  + ユーザー動作のプロビジョニングの解除 - 無効化または削除。

## ステップ 1: IAM Identity Center でプロビジョニングを有効にする
<a name="cyberark-step1"></a>

この最初のステップでは、IAM Identity Center コンソールを使用して、自動プロビジョニングを有効にします。

**IAM アイデンティティセンターで自動プロビジョニングを有効にするには**

1. 前提条件が整ったら、[IAM アイデンティティセンターコンソール](https://console.aws.amazon.com/singlesignon)を開きます。

1. 左側のナビゲーションペインの **[設定]** を選択します。

1. **[設定]** ページで、**[自動プロビジョニング]** 情報ボックスを探し、**[有効化]** を選択します。これにより、すぐに IAM アイデンティティセンターの自動プロビジョニングが有効になり、必要なエンドポイントとアクセストークンの情報が表示されます。

1. **[インバウンド自動プロビジョニング]** ダイアログボックスで、SCIM エンドポイントとアクセストークンをコピーします。これらは、後で IdP でプロビジョニングを設定する際に貼り付ける必要があります。

   1. **[SCIM エンドポイント]** - 例えば https://scim.*us-east-2*.amazonaws.com/*11111111111-2222-3333-4444-555555555555*/scim/v2

   1. **[アクセストークン]** - **[トークンを表示]** を選択して値をコピーします。
**警告**  
SCIM エンドポイントとアクセストークンを取得できるタイミングは、この時のみです。先に進む前に、これらの値をコピーしておいてください。このチュートリアルの後半で、お使いの IdP 上でこれらの値を入力して自動プロビジョニングを設定します。

1. **[閉じる]** を選択します。

IAM Identity Center でプロビジョニングを設定したので、CyberArk IAM Identity Center アプリケーションを使用して残りのタスクを完了する必要があります。これらのステップについて、次の手順で説明します。

## ステップ 2: CyberArk でプロビジョニングを設定する
<a name="cyberark-step2"></a>

 CyberArk IAM Identity Center アプリケーションで以下の手順を使用して、IAM Identity Center によるプロビジョニングを有効にします。この手順では、CyberArk IAM Identity Center アプリケーションが **Web Apps (ウェブアプリケーション)**で CyberArk 管理コンソールに追加されていることを前提としています。まだ実行していない場合は、「[前提条件](#cyberark-prereqs)」を参照してから、この手順を実行して SCIM プロビジョニングを設定してください。

**CyberArk でプロビジョニングを設定するには**

1. CyberArk の SAML 構成の一部として追加した CyberArk IAM Identity Center アプリケーションを開きます （**アプリ>ウェブアプリ**）。「[前提条件](#cyberark-prereqs)」を参照してください。

1. **[IAM Identity Center]** アプリケーションを選択し、**[プロビジョニング]** セクションに移動します。

1. **[Enable provisioning for this application]** (このアプリケーションのプロビジョニングを有効にする) にチェックを入れ、[**Live Mode**] (ライブモード) を選択します。

1. 前の手順で、IAM Identity Center から [**SCIM エンドポイント**] の値をコピーしました。CyberArk IAM アイデンティティセンターアプリケーションの **[SCIM Service URL]** フィールドにその値を貼り付け、**[認証タイプ]** を **[認証ヘッダー]** に設定します。

1. **[Header Type]** (ヘッダータイプ) を **[Bearer Token]** (ベアラートークン) に設定します。

1. 前の手順で、IAM Identity Center の [**アクセストークン**] の値をコピーしました。その値を CyberArk IAM Identity Center アプリケーションの**[ベアラートークン]** フィールドに貼り付けます。

1. **[Verify]** (検証) をクリックすると、設定をテストして、適用します。

1. [**同期オプション**] で、CyberArk からのアウトバウンドプロビジョニングを動作させるための正しい動作を選択します。似たようなプリンシパル名を持つ既存の IAM Identity Center ユーザーを上書きする (または上書きしない) かどうか、プロビジョニング解除の動作を選択できます。

1. **[ロールマッピング]** では、[**名前**] フィールドにある CyberArk ロールから [**送信先グループ**] にある IAM Identity Center グループへのマッピングを設定します。

1. 完了したら、下部の **[Save]** (保存) をクリックします。

1. ユーザーが IAM Identity Center に正常に同期されたことを確認するには、IAM Identity Center コンソールに戻り、[**ユーザー**] を選択します。CyberArk から同期されたユーザーは、[**ユーザー**] ページに表示されます。これらのユーザーは、アカウントに割り当てられ、IAM Identity Center で接続できるようになりました。

## (オプション) ステップ 3: IAM Identity Center でのアクセスコントロール (ABAC) のために CyberArk でユーザー属性を設定する
<a name="cyberark-step3"></a>

これは、 AWS リソースへのアクセスを管理するために IAM Identity Center の属性を設定するCyberArk場合の のオプションの手順です。CyberArk で定義した属性は、SAML アサーションで IAM Identity Center に渡されます。その後、IAM Identity Center でアクセス権限セットを作成し、CyberArk から渡された属性に基づいてアクセスを管理します。

この手順を始める前に、最初に [アクセスコントロールの属性](attributesforaccesscontrol.md) 機能を有効にしておく必要があります。これを行う方法については、「[アクセスコントロールのための属性の有効化と設定](configure-abac.md)」を参照してください。

**IAM Identity Center でのアクセスコントロールに使用される CyberArk の属性の有効化と設定**

1. CyberArk の SAML 構成の一部としてインストールした CyberArk IAM Identity Center アプリケーションを開きます （**アプリ>ウェブアプリ**）。

1. **[SAML Response]** (SAML レスポンス) オプションに移動します。

1. **[Attributes]** (属性) では、以下のようなロジックでテーブルに関連する属性を追加します。

   1. [**属性名**] は、CyberArk のオリジナルの属性名です。

   1. [**属性値**] は、IAM Identity Center への SAML アサーションで送信される属性名です。

1. **[保存]** を選択します。

## (オプション) アクセスコントロールの属性を渡す
<a name="cyberark-passing-abac"></a>

IAM Identity Center の [アクセスコントロールの属性](attributesforaccesscontrol.md) 機能をオプションで使用して、`Name` 属性を `https://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey}` に設定した `Attribute` 要素を渡すことができます。この要素を使用すると、SAML アサーションでセッションタグとして属性を渡すことができます。セッションタグの詳細については、「*IAM ユーザーガイド*」の「[AWS STSでのタグ付けの規則 ](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_session-tags.html)」を参照してください。

属性をセッションタグとして渡すには、タグの値を指定する `AttributeValue` 要素を含めます。例えば、タグのキーバリューのペア `CostCenter = blue` を渡すには、次のような属性を使用します。

```
<saml:AttributeStatement>
<saml:Attribute Name="https://aws.amazon.com/SAML/Attributes/AccessControl:CostCenter">
<saml:AttributeValue>blue
</saml:AttributeValue>
</saml:Attribute>
</saml:AttributeStatement>
```

複数の属性を追加する必要がある場合は、各タグに個別の `Attribute` 要素を含めます。