翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# Microsoft AD ディレクトリ
<a name="manage-your-identity-source-ad"></a>

を使用すると AWS IAM アイデンティティセンター、 AWS Managed Microsoft AD を使用して Active Directory (AD) のセルフマネージドディレクトリまたは のディレクトリに接続できます AWS Directory Service。この Microsoft AD ディレクトリでは、管理者が IAM Identity Center コンソールを使用してシングルサインオンアクセスを割り当てるときに、プル元の ID プールを定義します。社内ディレクトリを IAM アイデンティティセンターに接続したら、AD ユーザーまたはグループに、、アプリケーション AWS アカウント、またはその両方へのアクセスを許可できます。

AWS Directory Service では、 でホストされているスタンドアロン AWS Managed Microsoft AD ディレクトリをセットアップして実行できます AWS クラウド。を使用して Directory Service 、 AWS リソースを既存のセルフマネージド AD に接続することもできます。セルフマネージド AD と連携 AWS Directory Service するように を設定するには、まず信頼関係を設定して認証をクラウドに拡張する必要があります。

IAM Identity Center は、 が提供する接続 Directory Service を使用して、ソース AD インスタンスへのパススルー認証を実行します。を ID ソース AWS Managed Microsoft AD として使用すると、IAM Identity Center は AD 信頼を介して接続された任意のドメインのユーザー AWS Managed Microsoft AD と連携できます。4 つ以上のドメインにユーザーを配置したい場合、ユーザーは IAM Identity Center へのサインインを実行する際に、ユーザー名として `DOMAIN\user` 構文を使用する必要があります。

**注意事項**  
前提条件のステップとして、 AWS Managed Microsoft AD の AD Connector または ディレクトリが AWS Organizations 管理アカウント内 Directory Service に存在することを確認します。
IAM Identity Center は、SAMBA4 ベースの Simple AD を接続先ディレクトリとしてサポートしていません。
 IAM アイデンティティセンターは、外部セキュリティプリンシパル (FSPs同期できません。の AWS Managed Microsoft AD グループに FSPs、それらのメンバーは同期されません。

IAM アイデンティティセンターの ID ソースとして Active Directory を使用するプロセスのデモンストレーションについては、次の YouTube 動画を参照してください。

[![AWS Videos](http://img.youtube.com/vi/https://www.youtube.com/embed/OMbob_ef7J4?si=J23xw0EGkZOo8y9n/0.jpg)](http://www.youtube.com/watch?v=https://www.youtube.com/embed/OMbob_ef7J4?si=J23xw0EGkZOo8y9n)


## Active Directory を使用する際の考慮事項
<a name="considerations-ad-identitysource"></a>

Active Directory を ID ソースとして使用する場合、設定は次の前提条件を満たす必要があります。
+ を使用している場合は AWS Managed Microsoft AD、 AWS Managed Microsoft AD ディレクトリがセットアップされている AWS リージョン のと同じ で IAM Identity Center を有効にする必要があります。IAM Identity Center では、割り当てデータに関するディレクトリと同じリージョンに保存されます。IAM Identity Center を管理するには、IAM Identity Center が設定されているリージョンに切り替える必要がある場合があります。また、 AWS アクセスポータルは ディレクトリと同じアクセス URL を使用することに注意してください。
+ 管理アカウントにある Active Directory を使用してください。

  で既存の AD Connector または AWS Managed Microsoft AD ディレクトリをセットアップし AWS Directory Service、 AWS Organizations 管理アカウント内に存在する必要があります。 AWS Managed Microsoft AD 一度に接続できる AD Connector ディレクトリは 1 つまたは 1 つのディレクトリのみです。複数のドメインやフォレストをサポートする必要がある場合は、 AWS Managed Microsoft ADを使用してください。詳細については、以下を参照してください。
  + [のディレクトリ AWS Managed Microsoft AD を IAM Identity Center に接続する](connectawsad.md)
  + [Active Directory の自己管理型ディレクトリを IAM Identity Center に接続する](connectonpremad.md)
+ 委任された管理者アカウントにある Active Directory を使用してください。

  IAM Identity Center の委任管理者を有効にし、IAM Identity Center の ID ソースとして Active Directory を使用する場合は、委任管理者アカウントにある AWS Directory に設定された既存の AD Connector または AWS Managed Microsoft AD ディレクトリを使用できます。

  IAM Identity Center ID ソースを他のソースから Active Directory に変更するか、Active Directory から他のソースに変更する場合、そのディレクトリは IAM Identity Center 委任管理者メンバーアカウント (存在する場合) に存在する (所有されている) 必要があります。それ以外の場合は、管理アカウントに含まれている必要があります。

# Active Directory に接続してユーザーを指定する
<a name="get-started-connect-id-source-ad-idp-specify-user"></a>

すでに Active Directory を使用している場合は、以下のトピックがディレクトリを IAM アイデンティティセンターに接続する準備に役立ちます。

Active Directory の AWS Managed Microsoft AD ディレクトリまたはセルフマネージドディレクトリを IAM Identity Center に接続できます。

**注記**  
IAM アイデンティティセンターは SAMBA4 ベースの Simple AD を ID ソースとしてサポートしていません。

**AWS Managed Microsoft AD**

1. [Microsoft AD ディレクトリ](manage-your-identity-source-ad.md) のガイダンスを確認してください。

1. 「[のディレクトリ AWS Managed Microsoft AD を IAM Identity Center に接続する](connectawsad.md)」のステップを実行してください。

1. 管理者権限を付与したいユーザーを IAM Identity Center と同期するように Active Directory を設定します。詳細については、「[管理ユーザーを IAM Identity Center と同期する](#sync-admin-user-from-ad)」を参照してください。

**Active Directory 内の自己管理型ディレクトリ**

1. [Microsoft AD ディレクトリ](manage-your-identity-source-ad.md) のガイダンスを確認してください。

1. 「[Active Directory の自己管理型ディレクトリを IAM Identity Center に接続する](connectonpremad.md)」のステップを実行してください。

1. 管理者権限を付与したいユーザーを IAM Identity Center と同期するように Active Directory を設定します。詳細については、「[管理ユーザーを IAM Identity Center と同期する](#sync-admin-user-from-ad)」を参照してください。

**外部 IdP**

1. [外部 ID プロバイダー](manage-your-identity-source-idp.md) のガイダンスを確認してください。

1. 「[外部 ID プロバイダに接続する方法](how-to-connect-idp.md)」のステップを実行してください。

1. 

   IAM Identity Center にユーザーをプロビジョニングするように IdP を設定します。
**注記**  
IdP から IAM Identity Center へのすべてのワークフォース ID のグループベースの自動プロビジョニングを設定する前に、管理権限を付与したい 1 人のユーザーを IAM Identity Center に同期することをお勧めします。

## 管理ユーザーを IAM Identity Center と同期する
<a name="sync-admin-user-from-ad"></a>

Active Directory を IAM アイデンティティセンターに接続したら、管理権限を付与するユーザーを指定し、そのユーザーをディレクトリから IAM アイデンティティセンターに同期できます。

1. [IAM Identity Center コンソール](https://console.aws.amazon.com/singlesignon) を開きます。

1. [**設定**] を選択します。

1. **[設定]**ページで**[ID ソース]**タブを選択し、**[アクション]**を選択し、**[同期を管理]** を選択します。

1. [**同期の管理**] ページで、[**ユーザー**] タブを選択し、[**ユーザーとグループの追加**] を選択します。

1. [**ユーザー**] タブの [**ユーザー**] に正確なユーザー名を入力し、[**追加**] を選択します。

1. [**追加されたユーザーとグループ**] で、次の操作を行います。

   1. 管理者権限を付与するユーザーが指定されていることを確認します。

   1. ユーザー名の左側にあるチェックボックスをオンにします。

   1. [**送信**] を選択します。

1. [**同期の管理**] ページで、指定したユーザーが**同期対象のユーザー**リストに表示されます。

1. ナビゲーションペインで **[ユーザー]** を選択します。

1. **[ユーザー]** ページでは、指定したユーザーがリストに表示されるまでに時間がかかる場合があります。ユーザーリストを更新するには、[更新] アイコンをクリックします。

この時点では、ユーザーは管理アカウントにアクセスできません。このアカウントへの管理アクセスを設定するには、管理アクセス権限セットを作成し、そのアクセス権限セットにユーザを割り当てます。詳細については、「[アクセス権限セットを作成します。](howtocreatepermissionset.md)」を参照してください。

## ユーザーがアクティブディレクトリから来たときのプロビジョニング
<a name="provision-users-from-ad"></a>

IAM Identity Center は、 が提供する接続を使用して、Active Directory のソースディレクトリから IAM Identity Center ID ストアにユーザー、グループ、メンバーシップ情報を Directory Service 同期します。ユーザー認証は Active Directory のソースディレクトリから直接行われるため、パスワード情報は IAM アイデンティティセンターに同期されません。この ID データは、アプリケーションによって使用され、LDAP アクティビティを Active Directory のソースディレクトリに戻すことなく、アプリ内検索、承認、コラボレーション シナリオを容易にします。

上記のプロビジョニングの詳細については、「[ユーザーおよびグループのプロビジョニング](users-groups-provisioning.md#user-group-provision)」を参照してください。

**Topics**
+ [Active Directory を使用する際の考慮事項](#considerations-ad-identitysource)
+ [Active Directory に接続してユーザーを指定する](get-started-connect-id-source-ad-idp-specify-user.md)
+ [ユーザーがアクティブディレクトリから来たときのプロビジョニング](#provision-users-from-ad)
+ [のディレクトリ AWS Managed Microsoft AD を IAM Identity Center に接続する](connectawsad.md)
+ [Active Directory の自己管理型ディレクトリを IAM Identity Center に接続する](connectonpremad.md)
+ [IAM アイデンティティセンターと外部 ID プロバイダーディレクトリ間の属性マッピング](attributemappingsconcept.md)
+ [IAM Identity Center の構成可能な AD 同期](provision-users-from-ad-configurable-ADsync.md)

# のディレクトリ AWS Managed Microsoft AD を IAM Identity Center に接続する
<a name="connectawsad"></a>

で管理 AWS Managed Microsoft AD されている のディレクトリを IAM Identity Center に接続するには AWS Directory Service 、次の手順に従います。

**IAM Identity Center AWS Managed Microsoft AD に接続するには**

1. [IAM Identity Center コンソール](https://console.aws.amazon.com/singlesignon) を開きます。
**注記**  
次のステップに進む前に、IAM Identity Center コンソールで、 AWS Managed Microsoft AD ディレクトリが存在するリージョンの１つを使用していることを確認してください。

1. [**設定**] を選択します。

1. **[設定]** ページで **[ID ソース]** タブを選択し、**[アクション] > [ID ソースを変更]**を選択します。

1. [**ID ソースの選択**] で [**Active Directory**] を選択し、[**次へ**] を選択します。

1. **[アクティブディレクトリに接続]** で、一覧から AWS Managed Microsoft AD のディレクトリを選択し、**[次へ]** を選択します。

1. [**変更の確認**] で情報を確認し、準備ができたら **ACCEPT** と入力し、[**ID ソースを変更**] を選択します。
**重要**  
Active Directory 内のユーザーを IAM アイデンティティセンターの管理者ユーザーとして指定するには、まず Active Directory から管理権限を付与したいユーザーを IAM ID センターに同期する必要があります。これを行うには、「[管理ユーザーを IAM Identity Center と同期する](get-started-connect-id-source-ad-idp-specify-user.md#sync-admin-user-from-ad)」の手順を実行します。

# Active Directory の自己管理型ディレクトリを IAM Identity Center に接続する
<a name="connectonpremad"></a>

Active Directory (AD) のセルフマネージドディレクトリのユーザーは、 AWS アクセスポータルの AWS アカウント およびアプリケーションへのシングルサインオンアクセスを持つこともできます。これらのユーザーのシングルサインオンアクセスを設定するには、次のいずれかを実行します。
+ **双方向の信頼関係を作成する** – AWS Managed Microsoft AD と AD のセルフマネージドディレクトリとの間に双方向の信頼関係が作成されると、AD のセルフマネージドディレクトリのユーザーは、企業の認証情報を使用してさまざまな AWS サービスやビジネスアプリケーションにサインインできます。一方向の信頼は IAM Identity Center では機能しません。

  AWS IAM アイデンティティセンター には双方向の信頼が必要です。これにより、ドメインからユーザーとグループの情報を読み取ってユーザーとグループのメタデータを同期するアクセス許可が付与されます。IAM Identity Center は、アクセス権限セットまたはアプリケーションへのアクセスを割り当てるときに、このメタデータを使用します。ユーザーおよびグループのメタデータは、ダッシュボードを別のユーザーやグループと共有する場合など、コラボレーションのためにアプリケーションによっても使用されます。 Directory Service for Microsoft Active Directory からドメインへの信頼により、IAM Identity Center は認証のためにドメインを信頼できます。逆方向の信頼は、ユーザーとグループのメタデータを読み取る AWS アクセス許可を付与します。

  双方向の信頼関係の設定の詳細については、「*AWS Directory Service 管理者ガイド*」の「[信頼関係を作成する場合](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/setup_trust.html)」を参照してください。
**注記**  
IAM Identity Center などの AWS アプリケーションを使用して信頼されたドメインから Directory Service ディレクトリユーザーを読み取るには、 Directory Service アカウントで信頼されたユーザーの userAccountControl 属性に対するアクセス許可が必要です。この属性への読み取りアクセス許可がないと、 AWS アプリケーションはアカウントが有効か無効かを判断することができません。  
この属性への読み取りアクセスは、信頼の作成時にデフォルトで提供されます。この属性へのアクセスを拒否すると (非推奨)、Identity Center などのアプリケーションが信頼できるユーザーを読み取れなくなります。この解決策は、 AWS リザーブド OU (プレフィックス AWS\$1) の下にある AWS サービスアカウントの `userAccountControl` 属性への読み取りアクセスを具体的に許可することです。
+ **AD Connector を作成する** - AD Connector は、クラウドに情報をキャッシュすることなく、セルフマネージドの AD にディレクトリリクエストをリダイレクトできるディレクトリゲートウェイです。詳細については、「*AWS Directory Service 管理ガイド*」の [[ディレクトリへの接続]](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/directory_ad_connector.html)を参照してください。AD Connector を使用するときの考慮事項は次のとおりです。
  + IAM Identity Center を AD Connector ディレクトリに接続している場合、今後のユーザーパスワードのリセットは、AD 内から行う必要があります。つまり、ユーザーは AWS アクセスポータルからパスワードをリセットできません。
  + AD Connector を使用してアクティブディレクトリドメインサービスを IAM Identity Center　に接続する場合、IAM Identity Center は AD Connector がアタッチされている単一ドメインのユーザーとグループにしかアクセスできません。複数のドメインやフォレストをサポートする必要がある場合は、Microsoft Active Directory の Directory Service をご利用ください。
**注記**  
IAM Identity Center は SAMBA4 ベースの Simple AD ディレクトリでは機能しません。

# IAM アイデンティティセンターと外部 ID プロバイダーディレクトリ間の属性マッピング
<a name="attributemappingsconcept"></a>

属性マッピングは、IAM アイデンティティセンターに存在する属性タイプと、外部 ID ソースの同様の属性 (Google Workspace、Microsoft Active Directory (AD)、Okta など) をマッピングするのに使用されます。IAM アイデンティティセンターは、ID ソースからユーザー属性を検索し、IAM アイデンティティセンターのユーザー属性に対してマッピングします。

IAM アイデンティティセンターが Google Workspace、Okta、または Ping などの**外部 ID プロバイダー** (IdP) を ID ソースとして使用するように同期されている場合は、IdP に属性をマッピングする必要があります。

IAM アイデンティティセンターは、設定ページの **[属性マッピング]** タブから一連の属性を事前に取得します。IAM アイデンティティセンターは、これらのユーザー属性を使用して、アプリケーションに送信される SAML アサーション (SAML 属性) を設定します。これらのユーザー属性は ID ソースから取得されます。アプリケーションによって、正常なシングルサインオンに必要な SAML 2.0 属性のリストは異なります。詳細については、「[アプリケーションの属性を IAM Identity Center の属性にマップする](mapawsssoattributestoapp.md)」を参照してください。

IAM アイデンティティセンターは、Active Directory を ID ソースとして使用している場合、**[Active Directory 設定]** ページの **[属性マッピング]** セクションの下にある一連の属性も管理します。詳細については、「[IAM アイデンティティセンターと Microsoft AD ディレクトリ間のユーザー属性のマッピング](mapssoattributestocdattributes.md)」を参照してください。

## サポートされている外部 ID プロバイダ属性
<a name="supportedidpattributes"></a>

以下の表は、サポートされているすべての外部 ID プロバイダー(IdP) 属性と、IAM アイデンティティセンターで [アクセスコントロールの属性](attributesforaccesscontrol.md) を構成するときに使用できる属性にマッピングできるものをリストアップしたものです。SAML アサーションを使用する場合、IdP がサポートするすべて属性を使用できます。


****  

| IdP でサポートされている属性 | 
| --- | 
| \$1\$1path:userName\$1 | 
| \$1\$1path:name.familyName\$1 | 
| \$1\$1path:name.givenName\$1 | 
| \$1\$1path:displayName\$1 | 
| \$1\$1path:nickName\$1 | 
| \$1\$1path:emails[primary eq true].value\$1 | 
| \$1\$1path:addresses[type eq "work"].streetAddress\$1 | 
| \$1\$1path:addresses[type eq "work"].locality\$1 | 
| \$1\$1path:addresses[type eq "work"].region\$1 | 
| \$1\$1path:addresses[type eq "work"].postalCode\$1 | 
| \$1\$1path:addresses[type eq "work"].country\$1 | 
| \$1\$1path:addresses[type eq "work"].formatted\$1 | 
| \$1\$1path:phoneNumbers[type eq "work"].value\$1 | 
| \$1\$1path:userType\$1 | 
| \$1\$1path:title\$1 | 
| \$1\$1path:locale\$1 | 
| \$1\$1path:timezone\$1 | 
| \$1\$1path:enterprise.employeeNumber\$1 | 
| \$1\$1path:enterprise.costCenter\$1 | 
| \$1\$1path:enterprise.organization\$1 | 
| \$1\$1path:enterprise.division\$1 | 
| \$1\$1path:enterprise.department\$1 | 
| \$1\$1path:enterprise.manager.value\$1 | 

## IAM アイデンティティセンターと Microsoft AD の間のデフォルトのマッピング
<a name="defaultattributemappings"></a>

以下の表に示しているのは、IAM Identity Center のユーザー属性と Microsoft AD ディレクトリのユーザー属性とのデフォルトのマッピングです。IAM ID センターは **IAM アイデンティティセンターのユーザー属性** 列の属性リストのみをサポートします。


****  

| IAM Identity Center のユーザー属性  | Active Directory のこの属性にマッピングされる | 
| --- | --- | 
| displayname | \$1\$1displayname\$1 | 
| emails[?primary].value \$1 | \$1\$1mail\$1 | 
| externalid | \$1\$1objectguid\$1 | 
| name.givenname | \$1\$1givenname\$1 | 
| name.familyname | \$1\$1sn\$1 | 
| name.middlename | \$1\$1initials\$1 | 
| sid | \$1\$1objectsid\$1 | 
| username | \$1\$1userprincipalname\$1 | 

\$1 IAM Identity Center の E メール属性はディレクトリ内で一意である必要があります。


****  

| IAM アイデンティティセンターのグループ属性  | Active Directory のこの属性にマッピングされる | 
| --- | --- | 
| externalid | \$1\$1objectguid\$1 | 
| description | \$1\$1description\$1 | 
| displayname | \$1\$1samaccountname\$1@\$1associateddomain\$1 | 

**考慮事項**
+ 設定可能な AD 同期を有効にしたときに IAM アイデンティティセンターのユーザーとグループに何も割り当てられていない場合は、前の表のデフォルトマッピングが使用されます。これらのマッピングをカスタマイズする方法については、「[同期の属性マッピングを設定する](manage-sync-configure-attribute-mapping-configurable-ADsync.md)」を参照してください。
+ IAM アイデンティティセンターの特定の属性は変更不可で、デフォルトで特定の Microsoft AD ディレクトリ属性にマップされるため、変更できません。

  例えば、「username」は IAM アイデンティティセンターの必須属性です。「username」に空の値を持つ AD ディレクトリ属性にマッピングする場合、IAM アイデンティティセンターは、`windowsUpn` 値を「username」のデフォルト値とみなします。現在のマッピングから「username」の属性マッピングを変更する場合は、「username」に依存する IAM アイデンティティセンターフローが期待どおりに動作するかどうかを確認してください。

## IAM アイデンティティセンターでサポートされている Microsoft AD 属性
<a name="supporteddirectoryattributes"></a>

以下の表では、サポートされているディレクトリ Microsoft AD 属性のうち、IAM Identity Center のユーザー属性にマップできるものをすべて列挙します。


****  

| Microsoft AD ディレクトリでサポートされている属性 | 
| --- | 
| \$1\$1samaccountname\$1 | 
| \$1\$1description\$1 | 
| \$1\$1objectguid\$1 | 
| \$1\$1objectsid\$1 | 
| \$1\$1givenname\$1 | 
| \$1\$1sn\$1 | 
| \$1\$1initials\$1 | 
| \$1\$1mail\$1 | 
| \$1\$1userprincipalname\$1 | 
| \$1\$1displayname\$1 | 
| \$1\$1distinguishedname\$1 | 
| \$1\$1proxyaddresses[?type == "SMTP"].value\$1 | 
| \$1\$1proxyaddresses[?type == "smtp"].value\$1 | 
| \$1\$1useraccountcontrol\$1 | 
| \$1\$1associateddomain\$1 | 

**考慮事項**
+ サポートされている Microsoft AD ディレクトリの属性の任意の組み合わせを指定して、IAM アイデンティティセンターの 1 つの変更可能な属性にマップできます。

## Microsoft AD でサポートされている IAM アイデンティティセンター属性
<a name="supportedssoattributes"></a>

以下の表では、サポートされている IAM Identity Center 属性のうち、 Microsoft AD ディレクトリのユーザー属性にマップできるものをすべて列挙します。後で、アプリケーションの属性マッピングを設定するときに、これらの同じ IAM Identity Center の属性を、そのアプリケーションで使用されている実際の属性にマップできます。


****  

| Active Directory において IAM アイデンティティセンターでサポートされている属性 | 
| --- | 
| \$1\$1user:AD\$1GUID\$1 | 
| \$1\$1user:AD\$1SID\$1 | 
| \$1\$1user:email\$1 | 
| \$1\$1user:familyName\$1 | 
| \$1\$1user:givenName\$1 | 
| \$1\$1user:middleName\$1 | 
| \$1\$1user:name\$1 | 
| \$1\$1user:preferredUsername\$1 | 
| \$1\$1user:subject\$1 | 

# IAM アイデンティティセンターと Microsoft AD ディレクトリ間のユーザー属性のマッピング
<a name="mapssoattributestocdattributes"></a>

IAM アイデンティティセンターのユーザー属性を Microsoft AD ディレクトリの対応する属性にマップする方法を指定するには、以下の手順を実行します。

**IAM Identity Center の属性をディレクトリの属性にマップするには**

1. [IAM Identity Center コンソール](https://console.aws.amazon.com/singlesignon) を開きます。

1. [**設定**] を選択します。

1. **[設定]** ページで **[アクセス制御用の属性]** タブを選択し、**[属性の管理]** を選択します。

1. [**アクセスコントロールの属性の管理**] ページで、マップする IAM Identity Center の属性を見つけて、テキスト ボックスに値を入力します。例えば、IAM Identity Center ユーザー属性 **`email`** を Microsoft AD ディレクトリ属性 **`${mail}`** にマップするとします。

1. **[Save changes]** (変更の保存) をクリックします。

# IAM Identity Center の構成可能な AD 同期
<a name="provision-users-from-ad-configurable-ADsync"></a>

IAM Identity Center の設定可能な Active Directory (AD) 同期を使用すると、IAM Identity Center に自動的に同期される Microsoft Active Directory の ID を明示的に設定し、同期プロセスを制御できます。
+ この同期メソッドを使用すると、次のことが行えます。
  + IAM Identity Center に自動的に同期される Microsoft Active Directory 内のユーザーとグループを明示的に定義することにより、データの境界を制御します。[ユーザーとグループを追加](manage-sync-add-users-groups-configurable-ADsync.md) したり、[ユーザーやグループを削除](manage-sync-remove-users-groups-configurable-ADsync.md) したりして、同期の範囲をいつでも変更できます。
  + 同期されたユーザーとグループに、 AWS アカウントへの [アプリケーションへのシングルサインオン [アクセス](useraccess.md)](assignuserstoapp.md) またはアプリケーションへのアクセス権を割り当てます。アプリケーションは、 AWS マネージドアプリケーションでもカスタマーマネージドアプリケーションでもかまいません。
  + 必要に応じて同期を [一時停止したり再開](manage-sync-pause-resume-sync-configurable-ADsync.md) したりして、同期プロセスを制御します。これにより、実稼働システムの負荷を調整できます。

## 前提条件と考慮事項
<a name="prerequisites-configurable-ADsync"></a>

設定可能な AD Sync を使用する前に、以下の前提条件と考慮事項に注意してください。
+ **Active Directory 内のユーザーとグループを指定して同期する**

  IAM Identity Center を使用して、新しいユーザーとグループに AWS アカウント AWS マネージドアプリケーションまたはカスタマーマネージドアプリケーションへのアクセスを割り当てる前に、Active Directory で同期するユーザーとグループを指定し、IAM Identity Center に同期する必要があります。
  + **設定可能な AD 同期** — IAM Identity Center はドメインコントローラーでユーザーやグループを直接検索しません。代わりに、同期するユーザーとグループのリストを最初に指定する必要があります。IAM アイデンティティセンターに既に同期されているユーザーとグループがあるか、設定可能な AD Sync を使用して初めて同期する新しいユーザーとグループがあるかに応じて、このリスト (*同期スコープとも呼ばれる*) を以下のいずれかの方法で設定できます。
    + 既存のユーザーとグループ:すでに IAM Identity Center と同期されているユーザーとグループがある場合、設定可能な AD Sync の同期スコープには、それらのユーザーとグループのリストがあらかじめ入力されています。新しいユーザーまたはグループを割り当てるには、それらを同期スコープに具体的に追加する必要があります。詳細については、「[ユーザーとグループを同期スコープに追加します](manage-sync-add-users-groups-configurable-ADsync.md)」を参照してください。
    + 新しいユーザーとグループ: 新しいユーザーやグループに AWS アカウント およびアプリケーションへのアクセス権を割り当てる場合は、IAM Identity Center を使用して割り当てを行う前に、設定可能な AD Sync で同期スコープに追加するユーザーとグループを指定する必要があります。詳細については、「[ユーザーとグループを同期スコープに追加します](manage-sync-add-users-groups-configurable-ADsync.md)」を参照してください。
+ <a name="makingassignmentsnestedgroups"></a>**Active Directory 内のネストされたグループへの割り当てを行う**

  別のグループのメンバーであるグループは、*ネストされたグループ* (または子グループ) と呼ばれます。
  + **設定可能な AD 同期** — 設定可能な AD 同期を使用してネストされたグループを含む Active Directory 内のグループに割り当てを行うと、 AWS アカウント またはアプリケーションにアクセスできるユーザーの範囲が広くなる場合があります。この場合、割り当ては、ネストされたグループのユーザーを含むすべてのユーザーに適用されます。たとえば、グループ A にアクセス権を割り当て、グループ B がグループ A のメンバーである場合、グループ B のメンバーもこのアクセスを継承します。
+ **自動化されたワークフローの更新**

  IAM Identity Center ID ストア API アクションと IAM Identity Center 割り当て API アクションを使用して新しいユーザーとグループにアカウントとアプリケーションへのアクセスを割り当て、IAM Identity Center と同期する自動化ワークフローがある場合は、設定可能な AD 同期によって期待どおりに機能するように、2022 年 4 月 15 日までにそれらのワークフローを調整する必要があります。設定可能な AD Sync により、ユーザーとグループの割り当てとプロビジョニングが行われる順序、およびクエリの実行方法が変わります。
  + **設定可能な AD 同期** — プロビジョニングが最初に実行され、自動的には実行されません。代わりに、まずユーザーとグループを同期スコープに追加して、ID ストアに明示的に追加する必要があります。設定可能な AD Sync の同期設定を自動化するための推奨手順については、[同期設定を自動化して、設定可能な AD 同期を実現します。](automate-sync-configuration-configurable-ADsync.md) を参照してください。

**Topics**
+ [前提条件と考慮事項](#prerequisites-configurable-ADsync)
+ [設定可能な AD 同期の仕組み](how-it-works-configurable-ADsync.md)
+ [同期の属性マッピングを設定する](manage-sync-configure-attribute-mapping-configurable-ADsync.md)
+ [Active Directory から IAM アイデンティティセンターへの初回同期設定](manage-sync-configurable-ADsync.md)
+ [ユーザーとグループを同期スコープに追加します](manage-sync-add-users-groups-configurable-ADsync.md)
+ [同期スコープからユーザーとグループを削除します。](manage-sync-remove-users-groups-configurable-ADsync.md)
+ [同期の一時停止と再開](manage-sync-pause-resume-sync-configurable-ADsync.md)
+ [同期設定を自動化して、設定可能な AD 同期を実現します。](automate-sync-configuration-configurable-ADsync.md)

# 設定可能な AD 同期の仕組み
<a name="how-it-works-configurable-ADsync"></a>

IAM Identity Center は、以下のプロセスで ID ストアの AD ベースの ID データをリフレッシュします。前提条件の詳細については、「[前提条件と考慮事項](provision-users-from-ad-configurable-ADsync.md#prerequisites-configurable-ADsync)」を参照してください。

## 作成
<a name="how-it-works-creation-configurable-ADsync"></a>

Active Directory のセルフマネージドディレクトリまたは AWS Managed Microsoft AD によって管理されているディレクトリ Directory Service を IAM Identity Center に接続したら、IAM Identity Center アイデンティティストアに同期する Active Directory ユーザーとグループを明示的に設定できます。選択した ID は、3 時間ごとに IAM Identity Center の ID ストアに同期されます。ディレクトリのサイズによっては、同期処理に時間がかかる場合があります。

割り当てられたグループのメンバーであるグループ (*ネストされたグループ*または*子グループ*と呼ばれる) も、ID ストアに書き込まれます。

新しいユーザーまたはグループが IAM Identity Center アイデンティティストアと同期された後にのみ、アクセス権を割り当てることができます。

## 更新
<a name="how-it-works-update-configurable-ADsync"></a>

IAM Identity Center ID ストアの ID データは、Active Directory のソース ディレクトリから定期的にデータを読み込むことで、常にリフレッシュされた状態を保たれます。IAM アイデンティティセンターは、デフォルトでは 1 時間ごとの同期サイクルでお使いの Active Directory との間でデータを同期します。Active Directory のサイズによっては、データが IAM アイデンティティセンターに同期されるまでに 30 分から 2 時間かかる場合があります。

同期スコープにあるユーザーとグループのオブジェクトとそのメンバーシップは、IAM Identity Center で作成または更新され、Active Directory のソースディレクトリの対応するオブジェクトにマッピングされます。ユーザー属性については、IAM Identity Center コンソールの「**アクセス制御用の属性**」セクションにリストされている属性のサブセットのみが IAM Identity Center で更新されます。Active Directory で行った属性の更新が IAM アイデンティティセンターに反映されるには、1 回の同期サイクルが必要な場合があります。

IAM Identity Center ID ストアに同期するユーザーとグループのサブセットを更新することもできます。このサブセットに新しいユーザーまたはグループを追加するか、削除するかを選択できます。追加した ID は、次回の定期同期時に同期されます。サブセットから削除した ID は、IAM Identity Center ID ストアで更新されなくなります。28 日以上同期されていないユーザーは、IAM Identity Center ID ストアで無効になります。対応するユーザーオブジェクトは、同期スコープにまだ含まれている別のグループに属していない限り、次回の同期サイクル時に IAM Identity Center ID ストアで自動的に無効になります。

## 削除
<a name="how-it-works-deletion-configurable-ADsync"></a>

対応するユーザーまたはグループオブジェクトが Active Directory のソース ディレクトリから削除されると、ユーザーとグループは IAM Identity Center ID ストアから削除されます。または、IAM Identity Center コンソールを使用して IAM Identity Center ID ストアからユーザーオブジェクトを明示的に削除することもできます。IAM Identity Center コンソールを使用する場合は、次回の同期サイクル中に IAM Identity Center に再同期されないように、同期スコープからユーザーを削除する必要もあります。

同期をいつでも一時停止と再開することもできます。28 日以上同期を一時停止すると、すべてのユーザーが無効になります。

# 同期の属性マッピングを設定する
<a name="manage-sync-configure-attribute-mapping-configurable-ADsync"></a>

利用可能な属性の詳細については、「[IAM アイデンティティセンターと外部 ID プロバイダーディレクトリ間の属性マッピング](attributemappingsconcept.md)」を参照してください。

**IAM Identity Center でディレクトリへの属性マッピングを設定するには**

1. [IAM Identity Center コンソール](https://console.aws.amazon.com/singlesignon) を開きます。

1. [**設定**] を選択します。

1. **[設定]**ページで**[ID ソース]**タブを選択し、**[アクション]**を選択し、**[同期を管理]** を選択します。

1. 「**同期の管理**」で、「**属性マッピングを表示**」を選択します。

1. 「**Active Directory ユーザー属性**」で、**IAM Identity Center ID ストア属性** と**Active Directory のユーザー属性**を設定します。例えば、IAM Identity Center ID ストア属性 `email` を Active Directory のユーザーディレクトリ属性 `${objectguid}` にマップすることができます。
**注記**  
「**グループ属性**」では、**IAM アイデンティティセンターの ID ストア属性** と **Active Directory グループの属性** は変更できません。

1. **[Save changes]** (変更の保存) をクリックします。これにより、「**同期の管理**」ページに戻ります。

# Active Directory から IAM アイデンティティセンターへの初回同期設定
<a name="manage-sync-configurable-ADsync"></a>

Active Directory から IAM アイデンティティセンターにユーザーとグループを初めて同期する場合は、以下の手順に従います。または、「[アイデンティティソースを変更する](manage-your-identity-source-change.md)」で説明されている手順に従って、アイデンティティソースを IAM アイデンティティセンターから Active Directory に変更することもできます。

## ガイド付きセットアップ
<a name="manage-sync-guided-setup-configurable-ADsync"></a>

1. [IAM Identity Center コンソール](https://console.aws.amazon.com/singlesignon) を開きます。
**注記**  
次のステップに進む前に、IAM Identity Center コンソールで AWS Managed Microsoft AD ディレクトリ AWS リージョン がある のいずれかを使用していることを確認してください。

1. [**設定**] を選択します。

1. ページ上部の通知メッセージで、[**ガイド付きセットアップを開始**] を選択します。

1. 「**ステップ 1 — *オプション*: 属性マッピングの設定**」で、デフォルトのユーザーおよびグループ属性マッピングを確認します。変更が不要な場合は、**[次へ]** を選択します。変更が必要な場合は、変更を行い、**[変更の保存]** を選択します。

1. 「**ステップ 2 — *オプション*: 同期範囲の設定**」で、**[ユーザー]** タブを選択します。次に、同期スコープに追加するユーザーの正確なユーザー名を入力し、[**追加**] を選択します。次に、[**グループ**] タブを選択します。同期スコープに追加するグループの正確なグループ名を入力し、[**追加**] を選択します。その後、**[Next]** を選択します。後でユーザーとグループを同期スコープに追加する場合は、変更せずに [**次へ**] を選択します。

1. 「**ステップ 3: 設定を確認して保存する**」で、「**ステップ 1: **属性マッピング**」で属性マッピングを確認し**、「**ステップ 2: 同期スコープ**」で**ユーザーとグループ**を確認します。**[設定の保存]** を選択します。これにより、「**同期を管理**」ページが表示されます。

# ユーザーとグループを同期スコープに追加します
<a name="manage-sync-add-users-groups-configurable-ADsync"></a>

**注記**  
同期スコープにグループを追加するときは、ドメイン内のグループからではなく、信頼されたオンプレミス AWS Managed Microsoft AD ドメインから直接グループを同期します。信頼されたドメインから直接同期されたグループには、IAM Identity Center がアクセスして正常に同期できる実際のユーザーオブジェクトが含まれています。

 以下の手順に従って、Active Directory ユーザーとグループを IAM アイデンティティセンターに追加します。

**ユーザーを追加するには**

1. [IAM Identity Center コンソール](https://console.aws.amazon.com/singlesignon) を開きます。

1. [**設定**] を選択します。

1. **[設定]**ページで**[ID ソース]**タブを選択し、**[アクション]**を選択し、**[同期を管理]** を選択します。

1. [**同期の管理**] ページで、[**ユーザー**] タブを選択し、[**ユーザーとグループの追加**] を選択します。

1. [**ユーザー**] タブの [**ユーザー**] に正確なユーザー名を入力し、[**追加**] を選択します。

1. [**追加したユーザーとグループ**] で、追加するユーザーを確認します。

1. [**送信**] を選択します。

1. ナビゲーションペインで **[ユーザー]** を選択します。指定したユーザーがリストに表示されない場合は、更新アイコンを選択してユーザーのリストを更新します。

**グループを追加するには**

1. [IAM Identity Center コンソール](https://console.aws.amazon.com/singlesignon) を開きます。

1. [**設定**] を選択します。

1. **設定**ページで**[ID ソース]**タブを選択し、**[アクション]**を選択し、**[同期を管理]** を選択します。

1. 「**同期の管理**」ページで「**グループ**」タブを選択し、「**ユーザーとグループの追加**」を選択します。

1. [**グループ**] タブを選択します。[**グループ**] で、正確なグループ名を入力し、[**追加**] を選択します。

1. [**追加したユーザーとグループ**] で、追加するグループを確認します。

1. [**送信**] を選択します。

1. ナビゲーションペインで、[**グループ**] を選択します。指定したグループがリストに表示されない場合は、更新アイコンを選択してグループのリストを更新します。

# 同期スコープからユーザーとグループを削除します。
<a name="manage-sync-remove-users-groups-configurable-ADsync"></a>

同期スコープからユーザーとグループを削除するとどうなるかについての詳細は、[設定可能な AD 同期の仕組み](how-it-works-configurable-ADsync.md) を参照してください。

**ユーザーを削除するには**

1. [IAM Identity Center コンソール](https://console.aws.amazon.com/singlesignon) を開きます。

1. [**設定**] を選択します。

1. **設定**ページで**[ID ソース]**タブを選択し、**[アクション]**を選択し、**[同期を管理]** を選択します。

1. **[ユーザー]** タブを選択します。

1. [**同期範囲のユーザー**] で、削除するユーザーの横にあるチェックボックスをオンにします。すべてのユーザーを削除するには、「**ユーザー名**」の横にあるチェックボックスを選択します。

1. **[**を削除] を選択します。

**グループを削除するには**

1. [IAM Identity Center コンソール](https://console.aws.amazon.com/singlesignon) を開きます。

1. [**設定**] を選択します。

1. **設定**ページで**[ID ソース]**タブを選択し、**[アクション]**を選択し、**[同期を管理]** を選択します。

1. [**グループ**] タブを選択します。

1. [**同期範囲のグループ**] で、削除するユーザーの横にあるチェックボックスをオンにします。すべてのグループを削除するには、[**グループ名**] の横にあるチェックボックスをオンにします。

1. **[**を削除] を選択します。

# 同期の一時停止と再開
<a name="manage-sync-pause-resume-sync-configurable-ADsync"></a>

同期を一時停止すると、今後のすべての同期サイクルが一時停止され、Active Directory 内のユーザーとグループに加えた変更が IAM Identity Center に反映されなくなります。同期を再開すると、同期サイクルでは次に予定されている同期からこれらの変更が反映されます。

**同期を一時停止するには**

1. [IAM Identity Center コンソール](https://console.aws.amazon.com/singlesignon) を開きます。

1. [**設定**] を選択します。

1. **[設定]**ページで**[ID ソース]**タブを選択し、**[アクション]**を選択し、**[同期を管理]** を選択します。

1. [**同期の管理] で [**同期を一時停止****] を選択します。

**同期を再開するには**

1. [IAM Identity Center コンソール](https://console.aws.amazon.com/singlesignon) を開きます。

1. [**設定**] を選択します。

1. **[設定]**ページで**[ID ソース]**タブを選択し、**[アクション]**を選択し、**[同期を管理]** を選択します。

1. [**同期の管理**] で [**同期を再開**] を選択します。
**注記**  
[**同期を再開**] ではなく [**同期を一時停止**] が表示される場合は、Active Directory から IAM Identity Center への同期はすでに再開されています。

# 同期設定を自動化して、設定可能な AD 同期を実現します。
<a name="automate-sync-configuration-configurable-ADsync"></a>

設定可能な AD 同期で自動化されたワークフローが期待どおりに機能するようにするには、次の手順を実行して同期設定を自動化することをお勧めします。

**設定可能な AD Sync の同期設定を自動化するには**

1. Active Directory で、IAM アイデンティティセンターに同期したいすべてのユーザーとグループを含む *親同期グループ*を作成します。例えば、グループに *IAMIdentityCenterAllUsersAndGroups* という名前を付けることができます。

1. IAM Identity Center で、親同期グループを設定可能な同期リストに追加します。IAM Identity Center は、親同期グループに含まれるすべてのユーザー、グループ、サブグループ、およびすべてのグループのメンバーを同期します。

1. Microsoft が提供する Active Directory ユーザーおよびグループ管理 API アクションを使用して、親同期グループにユーザーとグループを追加または削除します。