翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# ID ソースの変更に関する注意事項
<a name="manage-your-identity-source-considerations"></a>

アイデンティティソースはいつでも変更できますが、この変更が現在のデプロイにどのように影響するかを検討することをお勧めします。

あるアイデンティティソースですでにユーザーとグループを管理している場合、別のアイデンティティソースに変更すると、IAM アイデンティティセンターで設定したユーザーとグループの割り当てがすべて削除される可能性があります。この場合、IAM Identity Center の管理ユーザーを含むすべてのユーザーは、 AWS アカウント およびアプリケーションへのシングルサインオンアクセスを失います。

IAM アイデンティティセンターの ID ソースを変更する前に、以下の考慮事項を確認してください。ID ソースの変更を続行する場合は、詳細について [アイデンティティソースを変更する](manage-your-identity-source-change.md) を参照してください。

## IAM アイデンティティセンターディレクトリと Active Directory 間の切り替え
<a name="changing-between-sso-and-active-directory"></a>

すでに Active Directory でユーザーとグループを管理している場合は、IAM アイデンティティセンターを有効にして ID ソースを選択するときに、ディレクトリの接続を検討することをお勧めします。デフォルトの Identity Center ディレクトリにユーザーやグループを作成して割り当てを行う前に、この作業を行ってください。

**重要**  
IAM アイデンティティセンターの ID ソースタイプを Active Directory との間で変更する場合は、ID ストア ID が変更されることに注意してください。これには、以下のような影響が考えられます。  
デフォルトの AWS アクセスポータル URL が変更されます。新しい URL をワークフォースに伝え、ブックマーク、ゲートウォールまたはファイアウォールの許可リスト、およびこの URL が参照される設定を更新する必要があります。この変更は、ユーザーの中断を最小限に抑えるために、スケジュールされたメンテナンスウィンドウで実行することをお勧めします。
IAM アイデンティティセンターで保管時の暗号化にカスタマーマネージド KMS キーを使用していて、暗号化コンテキストで KMS キーポリシーを設定している場合は、ID ストアの暗号化コンテキストが変更されることに注意してください。例えば、ID ストア ARN の「arn:aws:identitystore::123456789012:identitystore/d-922763e9b3」では、「d-922763e9b3」は ID ストア ID です。この移行中のサービスの中断を防ぐには、ワイルドカードパターン「arn:aws:identitystore::123456789012:identitystore/\$1」を使用するように KMS キーポリシーを一時的に変更します。

既に Identity Center のデフォルトディレクトリでユーザーとグループを管理している場合は、次の点を考慮してください。
+ **割り当ての削除、ユーザーとグループの削除** — ID ソースを Active Directory に変更すると、ユーザーとグループが Identity Center ディレクトリから削除されます。この変更により、割り当ても削除されます。この場合、Active Directory に変更した後に、Active Directory のユーザーとグループを Identity Center ディレクトリに同期してから、それらの割り当てを再適用する必要があります。

  Active Directory を使用しない場合は、Identity Center のディレクトリにユーザーとグループを作成し、割り当てを行う必要があります。
+ **ID が削除されても割り当ては削除されない** — アイデンティティセンターディレクトリで ID が削除されると、IAM アイデンティティセンターでも対応する割り当てが削除されます。しかし Active Directory では、(Active Directory または同期された ID のどちらかで) ID が削除されても、対応する割り当ては削除されません。
+ **API のアウトバウンド同期なし** — Active Directory をアイデンティティソースとして使用する場合、「[作成、更新、および削除](https://docs.aws.amazon.com/singlesignon/latest/APIReference/API_Operations.html)」API は注意して使用することをお勧めします。IAM アイデンティティセンターはアウトバウンド同期をサポートしていないため、これらの API を使用してユーザーまたはグループに加えた変更によってアイデンティティソースが自動的に更新されることはありません。
+ **アクセスポータル URL が変更される** – IAM Identity Center と Active Directory 間で ID ソースを変更すると、 AWS アクセスポータルの URL も変更されます。
+ IAM アイデンティティセンターコンソールで ID ストア API を使用してユーザーが削除または無効化された場合、アクティブなセッションを持つユーザーは、 統合されたアプリケーションおよびアカウントに引き続きアクセスできます。認証セッションの期間とユーザー動作については、「[IAM アイデンティティセンターの認証セッションについて](authconcept.md)」を参照してください。

IAM アイデンティティセンターがユーザーとグループをどのようにプロビジョニングするかについては、「[Microsoft AD ディレクトリ](manage-your-identity-source-ad.md)」を参照してください。

## IAM アイデンティティセンターから外部 IdP への変更
<a name="changing-from-idc-and-idp"></a>

ID ソースを IAM アイデンティティセンターから外部 ID プロバイダー (IdP) に変更する場合は、次の点を考慮してください。
+ **割り当てとメンバーシップは正しいアサーションで機能する** – 新しい IdP が正しいアサーション (SAML nameID など) を送信する限り、ユーザー割り当て、グループ割り当て、グループメンバーシップは引き続き機能します。これらのアサーションは、IAM アイデンティティセンターのユーザー名およびグループと一致する必要があります。
+ **アウトバウンド同期なし** — IAM アイデンティティセンターはアウトバウンド同期をサポートしていないため、IAM アイデンティティセンターで行ったユーザーやグループの変更によって外部 IdP が自動的に更新されることはありません。
+ **SCIM プロビジョニング** – SCIM プロビジョニングを使用している場合、ID プロバイダーのユーザーおよびグループに対する変更は、ID プロバイダーがそれらの変更を IAM アイデンティティセンターに送信した後にのみ IAM アイデンティティセンターに反映されます。「[自動プロビジョニングを使用する際の注意事項](provision-automatically.md#auto-provisioning-considerations)」を参照してください。
+ **ロールバック** – IAM アイデンティティセンターを使用して ID ソースをいつでも元に戻すことができます。「[IAM アイデンティティセンターから外部 IdP への変更](#changing-from-idp-and-idc)」を参照してください。
+ **セッション期間の有効期限が切れると、既存のユーザーセッションを取り消し** – ID ソースを外部 ID プロバイダーに変更すると、アクティブなユーザーセッションは、コンソールで設定された最大セッション期間の残りの間、継続します。例えば、 AWS アクセスポータルセッションの期間を 8 時間に設定し、4 時間以内に ID ソースを変更した場合、アクティブなユーザーセッションはさらに 4 時間保持されます。ユーザーセッションを取り消すには、「[ワークフォースユーザーのアクティブなセッションを表示および終了する](end-active-sessions.md)」を参照してください。

  IAM アイデンティティセンターコンソールで ID ストア API を使用してユーザーが削除または無効化された場合、アクティブなセッションを持つユーザーは、 統合されたアプリケーションおよびアカウントに引き続きアクセスできます。認証セッションの期間とユーザー動作については、「[IAM アイデンティティセンターの認証セッションについて](authconcept.md)」を参照してください。
**注記**  
ユーザーの削除後、IAM アイデンティティセンターコンソールからユーザーセッションを取り消すことはできません。

IAM アイデンティティセンターがユーザーとグループをどのようにプロビジョニングするかについては、「[外部 ID プロバイダー](manage-your-identity-source-idp.md)」を参照してください。

## IAM アイデンティティセンターから外部 IdP への変更
<a name="changing-from-idp-and-idc"></a>

ID ソースを IAM アイデンティティセンターから外部 ID プロバイダー (IdP) に変更する場合は、次の点を考慮してください。
+ IAM アイデンティティセンターセンターではすべての割り当てが保持されます。
+ **パスワードリセットを強制する** — IAM アイデンティティセンターでパスワードを持っていたユーザーは、以前のパスワードでサインインを続けることができます。外部 IdP にいて、IAM アイデンティティセンターにいなかったユーザーに対して、パスワードリセットを強制する必要があります。
+ **セッション期間の有効期限が切れると、既存のユーザーセッションが取り消される** – ID ソースを IAM アイデンティティセンターに変更すると、アクティブなユーザーセッションは、コンソールで設定された最大セッション期間の残りの時間の間、継続されます。例えば、 AWS アクセスポータルセッションの所要時間が 8 時間で、4 時間目に ID ソースを変更した場合、アクティブなユーザーセッションはさらに 4 時間実行されます。ユーザーセッションを取り消すには、「[ワークフォースユーザーのアクティブなセッションを表示および終了する](end-active-sessions.md)」を参照してください。

  IAM アイデンティティセンターコンソールで ID ストア API を使用してユーザーが削除または無効化された場合、アクティブなセッションを持つユーザーは、 統合されたアプリケーションおよびアカウントに引き続きアクセスできます。認証セッションの期間とユーザー動作については、「[IAM アイデンティティセンターの認証セッションについて](authconcept.md)」を参照してください。
**注記**  
ユーザーの削除後、IAM アイデンティティセンターコンソールからユーザーセッションを取り消すことはできなくなります。
+ **マルチリージョンのサポート** – IAM Identity Center を追加のリージョンにレプリケートした場合、またはレプリケートする予定がある場合は、外部 ID プロバイダーを ID ソースとして使用する必要があります。その他の前提条件を含む詳細については、「」を参照してください[複数の で IAM Identity Center を使用する AWS リージョン](multi-region-iam-identity-center.md)。

IAM Identity Center がユーザーとグループをどのようにプロビジョニングするかについては、「[アイデンティティセンターディレクトリでユーザーを管理する](manage-your-identity-source-sso.md)」を参照してください。

## ある外部 IdP から別の外部 IdP への変更
<a name="changing-from-one-idp-to-another-idp"></a>

IAM アイデンティティセンターの ID ソースとして既に外部 IdP を使用していて、別の外部 IdP に変更する場合は、次の点を考慮してください。
+ **アサインメントとメンバーシップは正しいアサーションで機能する** – IAM アイデンティティセンターはアサインメントをすべて保持します。新しい IdP が正しいアサーション (SAML nameID など) を送信する限り、ユーザー割り当て、グループ割り当て、グループメンバーシップは引き続き機能します。

   これらのアサーションは、ユーザーが新しい外部 IdP を介して認証する際に、IAM アイデンティティセンターのユーザー名と一致する必要があります。
+ **SCIM プロビジョニング** – IAM アイデンティティセンターへのプロビジョニングに SCIM を使用している場合は、本ガイドの IdP 固有の情報や IdP のドキュメントを確認して、SCIM を有効にしたときに新しいプロバイダーでユーザーやグループが正しく一致するかどうかを確認するようお勧めします。
+ **セッション期間の有効期限が切れると、既存のユーザーセッションが取り消される** – ID ソースを別の外部 ID プロバイダーに変更すると、アクティブなユーザーセッションは、コンソールで設定された最大セッション期間の残り時間の間、継続します。例えば、 AWS アクセスポータルセッションの所要時間が 8 時間で、4 時間目に ID ソースを変更した場合、アクティブなユーザーセッションはさらに 4 時間保持されます。ユーザーセッションを取り消すには、「[ワークフォースユーザーのアクティブなセッションを表示および終了する](end-active-sessions.md)」を参照してください。

  IAM アイデンティティセンターコンソールで ID ストア API を使用してユーザーが削除または無効化された場合、アクティブなセッションを持つユーザーは、 統合されたアプリケーションおよびアカウントに引き続きアクセスできます。認証セッションの期間とユーザー動作については、「[IAM アイデンティティセンターの認証セッションについて](authconcept.md)」を参照してください。
**注記**  
ユーザーの削除後、IAM アイデンティティセンターコンソールからユーザーセッションを取り消すことはできません。

IAM Identity Center がユーザーとグループをどのようにプロビジョニングするかについては、「[外部 ID プロバイダー](manage-your-identity-source-idp.md)」を参照してください。

## IAM アイデンティティセンターと Active Directory の切り替え
<a name="changing-between-microsoft-ad-and-azure-active-directory"></a>

アイデンティティソースを外部 IdP から Active Directory に、または Active Directory から外部 IdP に変更する場合は、次の点を考慮してください。
+ **ユーザー、グループ、割り当てが削除される** — すべてのユーザー、グループ、および割り当てが IAM アイデンティティセンターから削除されます。外部の IdP や Active Directory のユーザーやグループの情報は影響を受けません。
+ **ユーザーのプロビジョニング** — 外部 IdP に変更した場合、ユーザーのプロビジョニングに IAM アイデンティティセンターを設定する必要があります。または、外部 IdP のユーザーやグループを手動でプロビジョニングしてから、割り当てを設定する必要があります。
+ **アサインメントとグループの作成** — Active Directory に変更する場合は、Active Directory 内のディレクトリにあるユーザーとグループを使用してアサインメントを作成する必要があります。
+ IAM アイデンティティセンターコンソールで ID ストア API を使用してユーザーが削除または無効化された場合、アクティブなセッションを持つユーザーは、 統合されたアプリケーションおよびアカウントに引き続きアクセスできます。認証セッションの期間とユーザー動作については、「[IAM アイデンティティセンターの認証セッションについて](authconcept.md)」を参照してください。
+ **マルチリージョンのサポート** – IAM Identity Center を追加のリージョンにレプリケートした場合、またはレプリケートする予定がある場合は、外部 ID プロバイダーを ID ソースとして使用する必要があります。その他の前提条件を含む詳細については、「」を参照してください[複数の で IAM Identity Center を使用する AWS リージョン](multi-region-iam-identity-center.md)。

IAM Identity Center がユーザーとグループをどのようにプロビジョニングするかについては、「[Microsoft AD ディレクトリ](manage-your-identity-source-ad.md)」を参照してください。