翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# IAM アイデンティティセンターを使用して JumpCloud ディレクトリプラットフォームに接続する
<a name="jumpcloud-idp"></a>

IAM Identity Center は、 JumpCloud ディレクトリプラットフォームから IAM Identity Center へのユーザー情報の自動プロビジョニング (同期) をサポートします。このプロビジョニングでは、[Security Assertion Markup Language (SAML) 2.0](scim-profile-saml.md) プロトコルを使用します。詳細については、「[外部 ID プロバイダーで SAML および SCIM ID フェデレーションを使用する](other-idps.md)」を参照してください。

この接続を JumpCloud で設定するには、IAM Identity Center SCIM エンドポイントとアクセストークンを使用します。SCIM 同期を設定すると、JumpCloud のユーザー属性と IAM Identity Center の名前付き属性のマッピングが作成されます。これにより、IAM Identity Center と JumpCloud の間で、期待される属性が一致します。

このガイドは、2021 年 6 月時点の JumpCloud に基づきます。新しいバージョンでは、手順が異なる場合があります。このガイドには、SAML によるユーザー認証の設定に関するいくつかの注意事項が記載されています。

次のステップでは、SCIM プロトコルを使用して、JumpCloud から IAM Identity Center へのユーザーとグループの自動プロビジョニングを有効にする方法を説明します。

**注記**  
SCIM のデプロイを開始する前に、まず [自動プロビジョニングを使用する際の注意事項](provision-automatically.md#auto-provisioning-considerations) を確認することをお勧めします。そして、次のセクションで残りの注意事項を確認します。

**Topics**
+ [前提条件](#jumpcloud-prereqs)
+ [SCIM に関する注意事項](#jumpcloud-scim)
+ [ステップ 1: IAM Identity Center でプロビジョニングを有効にする](#jumpcloud-step1)
+ [ステップ 2: JumpCloud でプロビジョニングを設定する](#jumpcloud-step2)
+ [(オプション) ステップ 3: IAM Identity Center でのアクセスコントロールのために JumpCloud でユーザー属性を設定する](#jumpcloud-step3)
+ [(オプション) アクセスコントロールの属性を渡す](#jumpcloud-passing-abac)

## 前提条件
<a name="jumpcloud-prereqs"></a>

開始する前に、以下の準備が必要です。
+ JumpCloud のサブスクリプションまたは無料トライアル。無料トライアルにサインアップするには、[https://console.jumpcloud.com/signup](https://console.jumpcloud.com/signup) にアクセスしてください。
+ IAM Identity Center が有効なアカウント ([無料](https://aws.amazon.com/single-sign-on/))。詳細については、「[IAM Identity Center の有効化](https://docs.aws.amazon.com/singlesignon/latest/userguide/setup-enable-idc.html)」を参照してください。
+ 「[JumpCloudIAM ID Centerのドキュメント](https://support.jumpcloud.com/support/s/article/Single-Sign-On-SSO-With-AWS-SSO)」で説明されている、JumpCloud アカウントから IAM アイデンティティセンターへの SAML 接続。
+ IAM Identity Center を追加のリージョンにレプリケートした場合は、ID プロバイダーの設定を更新して、 AWS マネージドアプリケーションおよびそれらのリージョン AWS アカウント からのアクセスを有効にする必要があります。詳細については、[ステップ 3: 外部 IdP 設定を更新する](replicate-to-additional-region.md#update-external-idp-setup)を参照してください。詳細については、JumpCloudドキュメントを参照してください。
+ IAM Identity Center コネクターを、 AWS アカウントへのアクセスを許可するグループに関連付けます。

## SCIM に関する注意事項
<a name="jumpcloud-scim"></a>

 IAM Identity Center に JumpCloud のフェデレーションを使用する場合の注意事項を以下に示します。
+ の AWS Single Sign-On コネクタに関連付けられたグループのみが SCIM と同期 JumpCloudされます。
+ 同期できる電話番号属性は 1 つだけです。デフォルトは「仕事用の電話」です。
+ JumpCloud ディレクトリのユーザーは、SCIM 経由で IAM Identity Center に同期されるように姓名が設定されている必要があります。
+ ユーザーが IAM Identity Center で無効化されていても、JumpCloud で有効化されていれば、属性は引き続き同期されます。
+ コネクターの [Enable management of User Groups and Group membership] (ユーザーグループおよびグループメンバーシップの管理を有効にする) のチェックを外すことで、ユーザー情報だけの SCIM 同期を有効にすることができます。

## ステップ 1: IAM Identity Center でプロビジョニングを有効にする
<a name="jumpcloud-step1"></a>

この最初のステップでは、IAM Identity Center コンソールを使用して、自動プロビジョニングを有効にします。

**IAM アイデンティティセンターで自動プロビジョニングを有効にするには**

1. 前提条件が整ったら、[IAM アイデンティティセンターコンソール](https://console.aws.amazon.com/singlesignon)を開きます。

1. 左側のナビゲーションペインの **[設定]** を選択します。

1. **[設定]** ページで、**[自動プロビジョニング]** 情報ボックスを探し、**[有効化]** を選択します。これにより、すぐに IAM アイデンティティセンターの自動プロビジョニングが有効になり、必要なエンドポイントとアクセストークンの情報が表示されます。

1. **[インバウンド自動プロビジョニング]** ダイアログボックスで、SCIM エンドポイントとアクセストークンをコピーします。これらは、後で IdP でプロビジョニングを設定する際に貼り付ける必要があります。

   1. **[SCIM エンドポイント]** - 例えば https://scim.{{us-east-2}}.amazonaws.com/{{11111111111-2222-3333-4444-555555555555}}/scim/v2

   1. **[アクセストークン]** - **[トークンを表示]** を選択して値をコピーします。
**警告**  
SCIM エンドポイントとアクセストークンを取得できるタイミングは、この時のみです。先に進む前に、これらの値をコピーしておいてください。このチュートリアルの後半で、お使いの IdP 上でこれらの値を入力して自動プロビジョニングを設定します。

1. [**閉じる**] を選択してください。

IAM Identity Center でプロビジョニングを設定したので、JumpCloud IAM Identity Center を使用して残りのタスクを完了する必要があります。これらのステップについて、次の手順で説明します。

## ステップ 2: JumpCloud でプロビジョニングを設定する
<a name="jumpcloud-step2"></a>

JumpCloud IAM ID センターコネクタで以下の手順を実行して、IAM ID センターによるプロビジョニングを有効にします。この手順では、 JumpCloud IAM Identity Center が既に JumpCloud 管理者ポータルとグループに追加されていることを前提としています。まだ実行していない場合は、「[前提条件](#jumpcloud-prereqs)」を参照してから、この手順を実行して SCIM プロビジョニングを設定してください。

**JumpCloud でプロビジョニングを設定するには**

1. JumpCloud 用 SAML 設定の一部としてインストールした JumpCloud IAM Identity Center コネクタを開きます(**[ユーザー認証]** > **[IAM Identity Center]**)。「[前提条件](#jumpcloud-prereqs)」を参照してください。

1. **[IAM ID センター]** コネクタを選択し、3 つ目のタブ [**ID 管理**] を選択します。

1. グループを SCIM 同期させたい場合は、**[Enable management of User Groups and Group membership in this application]** (このアプリケーションでのユーザーグループとグループメンバーシップの管理を有効にする) にチェックを入れます。

1. **[Configure]** (構成) をクリックします。

1. 前の手順で、IAM Identity Center から [**SCIM エンドポイント**] の値をコピーしました。その値を JumpCloud IAM Identity Center コネクターの **[ベース URL]** フィールドに貼り付けます。

1. 前の手順で、IAM Identity Center の [**アクセストークン**] の値をコピーしました。その値を JumpCloud IAM Identity Center コネクターの [**トークンキー**] フィールドに貼り付けます。

1. **[Activate]** (有効化) をクリックすると、設定が適用されます。

1. **[Single Sign-On]** (Single Sign-On) の横にある緑色のインジケータが有効になっていることを確認してください。

1. 4 つ目のタブ **[ユーザーグループ]** に移動し、SCIM でプロビジョニングしたいグループにチェックを入れます。

1. 完了したら、下部の **[Save]** (保存) をクリックします。

1. ユーザーが IAM Identity Center に正常に同期されたことを確認するには、IAM Identity Center コンソールに戻り、[**ユーザー**] を選択します。 JumpCloud から同期されたユーザーは、[**ユーザー**] ページに表示されます。これらのユーザーは、IAM Identity Center でアカウントに割り当てられるようになりました。

## (オプション) ステップ 3: IAM Identity Center でのアクセスコントロールのために JumpCloud でユーザー属性を設定する
<a name="jumpcloud-step3"></a>

これは、 AWS リソースへのアクセスを管理するために IAM Identity Center の属性を設定するJumpCloud場合の のオプションの手順です。JumpCloud で定義した属性は、SAML アサーションで IAM Identity Center に渡されます。その後、IAM Identity Center でアクセス権限セットを作成し、JumpCloud から渡された属性に基づいてアクセスを管理します。

この手順を始める前に、最初に [[Attributes for access control]](https://docs.aws.amazon.com/singlesignon/latest/userguide/attributesforaccesscontrol.html) (アクセスコントロールのための属性) 機能を有効にしておく必要があります。これを行う方法については、[「Enable and configure attributes for access control」](https://docs.aws.amazon.com/singlesignon/latest/userguide/configure-abac.html)(アクセスコントロールの属性を有効にし、設定する) を参照してください。

****IAM Identity Center でのアクセスコントロールに使用される JumpCloud の属性の有効化と設定****

1. JumpCloud 用 SAML 設定の一部としてインストールした JumpCloud IAM Identity Center コネクタを開きます(**[ユーザー認証]** > **[IAM Identity Center]**)。

1. **IAM Identity Center** コネクターを選択します。次に、2 番目のタブ **IAM Identity Center **を選択します。

1. このタブの下部には、[**ユーザー属性マッピング**] があり、[**A新規属性の追加**] を選択して、以下の操作を行います。これらの手順は、IAM Identity Center でのアクセスコントロールに使用するために追加する各属性に行う必要があります。

   1. **[サービス提供属性]** フィールドには `https://aws.amazon.com/SAML/Attributes/AccessControl: AttributeName.` を入力し、` AttributeName ` は IAM Identity Center で想定している属性名に置き換えます。例えば、` https://aws.amazon.com/SAML/Attributes/AccessControl: Email ` です。

   1. [**JumpCloud 属性名**] フィールドで、JumpCloud ディレクトリからユーザー属性を選択します。例えば、**E メール (仕事用)**などです。

1. **[保存]** を選択します。

## (オプション) アクセスコントロールの属性を渡す
<a name="jumpcloud-passing-abac"></a>

IAM Identity Center の [アクセスコントロールの属性](attributesforaccesscontrol.md) 機能をオプションで使用して、`Name` 属性を `https://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey}` に設定した `Attribute` 要素を渡すことができます。この要素を使用すると、SAML アサーションでセッションタグとして属性を渡すことができます。セッションタグの詳細については、「*IAM ユーザーガイド*」の「[AWS STSでのタグ付けの規則 ](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_session-tags.html)」を参照してください。

属性をセッションタグとして渡すには、タグの値を指定する `AttributeValue` 要素を含めます。例えば、タグのキーバリューのペア `CostCenter = blue` を渡すには、次のような属性を使用します。

```
<saml:AttributeStatement>
<saml:Attribute Name="https://aws.amazon.com/SAML/Attributes/AccessControl:CostCenter">
<saml:AttributeValue>blue
</saml:AttributeValue>
</saml:Attribute>
</saml:AttributeStatement>
```

複数の属性を追加する必要がある場合は、各タグに個別の `Attribute` 要素を含めます。