翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# IAM Identity Center の構成可能な AD 同期
<a name="provision-users-from-ad-configurable-ADsync"></a>

IAM Identity Center の設定可能な Active Directory (AD) 同期を使用すると、IAM Identity Center に自動的に同期される Microsoft Active Directory の ID を明示的に設定し、同期プロセスを制御できます。
+ この同期メソッドを使用すると、次のことが行えます。
  + IAM Identity Center に自動的に同期される Microsoft Active Directory 内のユーザーとグループを明示的に定義することにより、データの境界を制御します。[ユーザーとグループを追加](manage-sync-add-users-groups-configurable-ADsync.md) したり、[ユーザーやグループを削除](manage-sync-remove-users-groups-configurable-ADsync.md) したりして、同期の範囲をいつでも変更できます。
  + 同期されたユーザーとグループに、 AWS アカウントへの [アプリケーションへのシングルサインオン [アクセス](useraccess.md)](assignuserstoapp.md) またはアプリケーションへのアクセス権を割り当てます。アプリケーションは、 AWS マネージドアプリケーションでもカスタマーマネージドアプリケーションでもかまいません。
  + 必要に応じて同期を [一時停止したり再開](manage-sync-pause-resume-sync-configurable-ADsync.md) したりして、同期プロセスを制御します。これにより、実稼働システムの負荷を調整できます。

## 前提条件と考慮事項
<a name="prerequisites-configurable-ADsync"></a>

設定可能な AD Sync を使用する前に、以下の前提条件と考慮事項に注意してください。
+ **Active Directory 内のユーザーとグループを指定して同期する**

  IAM Identity Center を使用して、新しいユーザーとグループに AWS アカウント AWS マネージドアプリケーションまたはカスタマーマネージドアプリケーションへのアクセスを割り当てる前に、Active Directory で同期するユーザーとグループを指定し、IAM Identity Center に同期する必要があります。
  + **設定可能な AD 同期** — IAM Identity Center はドメインコントローラーでユーザーやグループを直接検索しません。代わりに、同期するユーザーとグループのリストを最初に指定する必要があります。IAM アイデンティティセンターに既に同期されているユーザーとグループがあるか、設定可能な AD Sync を使用して初めて同期する新しいユーザーとグループがあるかに応じて、このリスト (*同期スコープとも呼ばれる*) を以下のいずれかの方法で設定できます。
    + 既存のユーザーとグループ:すでに IAM Identity Center と同期されているユーザーとグループがある場合、設定可能な AD Sync の同期スコープには、それらのユーザーとグループのリストがあらかじめ入力されています。新しいユーザーまたはグループを割り当てるには、それらを同期スコープに具体的に追加する必要があります。詳細については、「[ユーザーとグループを同期スコープに追加します](manage-sync-add-users-groups-configurable-ADsync.md)」を参照してください。
    + 新しいユーザーとグループ: 新しいユーザーやグループに AWS アカウント およびアプリケーションへのアクセス権を割り当てる場合は、IAM Identity Center を使用して割り当てを行う前に、設定可能な AD Sync で同期スコープに追加するユーザーとグループを指定する必要があります。詳細については、「[ユーザーとグループを同期スコープに追加します](manage-sync-add-users-groups-configurable-ADsync.md)」を参照してください。
+ <a name="makingassignmentsnestedgroups"></a>**Active Directory 内のネストされたグループへの割り当てを行う**

  別のグループのメンバーであるグループは、*ネストされたグループ* (または子グループ) と呼ばれます。
  + **設定可能な AD 同期** — 設定可能な AD 同期を使用してネストされたグループを含む Active Directory 内のグループに割り当てを行うと、 AWS アカウント またはアプリケーションにアクセスできるユーザーの範囲が広くなる場合があります。この場合、割り当ては、ネストされたグループのユーザーを含むすべてのユーザーに適用されます。たとえば、グループ A にアクセス権を割り当て、グループ B がグループ A のメンバーである場合、グループ B のメンバーもこのアクセスを継承します。
+ **自動化されたワークフローの更新**

  IAM Identity Center ID ストア API アクションと IAM Identity Center 割り当て API アクションを使用して新しいユーザーとグループにアカウントとアプリケーションへのアクセスを割り当て、IAM Identity Center と同期する自動化ワークフローがある場合は、設定可能な AD 同期によって期待どおりに機能するように、2022 年 4 月 15 日までにそれらのワークフローを調整する必要があります。設定可能な AD Sync により、ユーザーとグループの割り当てとプロビジョニングが行われる順序、およびクエリの実行方法が変わります。
  + **設定可能な AD 同期** — プロビジョニングが最初に実行され、自動的には実行されません。代わりに、まずユーザーとグループを同期スコープに追加して、ID ストアに明示的に追加する必要があります。設定可能な AD Sync の同期設定を自動化するための推奨手順については、[同期設定を自動化して、設定可能な AD 同期を実現します。](automate-sync-configuration-configurable-ADsync.md) を参照してください。

**Topics**
+ [

## 前提条件と考慮事項
](#prerequisites-configurable-ADsync)
+ [

# 設定可能な AD 同期の仕組み
](how-it-works-configurable-ADsync.md)
+ [

# 同期の属性マッピングを設定する
](manage-sync-configure-attribute-mapping-configurable-ADsync.md)
+ [

# Active Directory から IAM アイデンティティセンターへの初回同期設定
](manage-sync-configurable-ADsync.md)
+ [

# ユーザーとグループを同期スコープに追加します
](manage-sync-add-users-groups-configurable-ADsync.md)
+ [

# 同期スコープからユーザーとグループを削除します。
](manage-sync-remove-users-groups-configurable-ADsync.md)
+ [

# 同期の一時停止と再開
](manage-sync-pause-resume-sync-configurable-ADsync.md)
+ [

# 同期設定を自動化して、設定可能な AD 同期を実現します。
](automate-sync-configuration-configurable-ADsync.md)

# 設定可能な AD 同期の仕組み
<a name="how-it-works-configurable-ADsync"></a>

IAM Identity Center は、以下のプロセスで ID ストアの AD ベースの ID データをリフレッシュします。前提条件の詳細については、「[前提条件と考慮事項](provision-users-from-ad-configurable-ADsync.md#prerequisites-configurable-ADsync)」を参照してください。

## 作成
<a name="how-it-works-creation-configurable-ADsync"></a>

Active Directory のセルフマネージドディレクトリまたは AWS Managed Microsoft AD によって管理されているディレクトリ Directory Service を IAM Identity Center に接続したら、IAM Identity Center アイデンティティストアに同期する Active Directory ユーザーとグループを明示的に設定できます。選択した ID は、3 時間ごとに IAM Identity Center の ID ストアに同期されます。ディレクトリのサイズによっては、同期処理に時間がかかる場合があります。

割り当てられたグループのメンバーであるグループ (*ネストされたグループ*または*子グループ*と呼ばれる) も、ID ストアに書き込まれます。

新しいユーザーまたはグループが IAM Identity Center アイデンティティストアと同期された後にのみ、アクセス権を割り当てることができます。

## 更新
<a name="how-it-works-update-configurable-ADsync"></a>

IAM Identity Center ID ストアの ID データは、Active Directory のソース ディレクトリから定期的にデータを読み込むことで、常にリフレッシュされた状態を保たれます。IAM アイデンティティセンターは、デフォルトでは 1 時間ごとの同期サイクルでお使いの Active Directory との間でデータを同期します。Active Directory のサイズによっては、データが IAM アイデンティティセンターに同期されるまでに 30 分から 2 時間かかる場合があります。

同期スコープにあるユーザーとグループのオブジェクトとそのメンバーシップは、IAM Identity Center で作成または更新され、Active Directory のソースディレクトリの対応するオブジェクトにマッピングされます。ユーザー属性については、IAM Identity Center コンソールの「**アクセス制御用の属性**」セクションにリストされている属性のサブセットのみが IAM Identity Center で更新されます。Active Directory で行った属性の更新が IAM アイデンティティセンターに反映されるには、1 回の同期サイクルが必要な場合があります。

IAM Identity Center ID ストアに同期するユーザーとグループのサブセットを更新することもできます。このサブセットに新しいユーザーまたはグループを追加するか、削除するかを選択できます。追加した ID は、次回の定期同期時に同期されます。サブセットから削除した ID は、IAM Identity Center ID ストアで更新されなくなります。28 日以上同期されていないユーザーは、IAM Identity Center ID ストアで無効になります。対応するユーザーオブジェクトは、同期スコープにまだ含まれている別のグループに属していない限り、次回の同期サイクル時に IAM Identity Center ID ストアで自動的に無効になります。

## 削除
<a name="how-it-works-deletion-configurable-ADsync"></a>

対応するユーザーまたはグループオブジェクトが Active Directory のソース ディレクトリから削除されると、ユーザーとグループは IAM Identity Center ID ストアから削除されます。または、IAM Identity Center コンソールを使用して IAM Identity Center ID ストアからユーザーオブジェクトを明示的に削除することもできます。IAM Identity Center コンソールを使用する場合は、次回の同期サイクル中に IAM Identity Center に再同期されないように、同期スコープからユーザーを削除する必要もあります。

同期をいつでも一時停止と再開することもできます。28 日以上同期を一時停止すると、すべてのユーザーが無効になります。

# 同期の属性マッピングを設定する
<a name="manage-sync-configure-attribute-mapping-configurable-ADsync"></a>

利用可能な属性の詳細については、「[IAM アイデンティティセンターと外部 ID プロバイダーディレクトリ間の属性マッピング](attributemappingsconcept.md)」を参照してください。

**IAM Identity Center でディレクトリへの属性マッピングを設定するには**

1. [IAM Identity Center コンソール](https://console.aws.amazon.com/singlesignon) を開きます。

1. [**設定**] を選択します。

1. **[設定]**ページで**[ID ソース]**タブを選択し、**[アクション]**を選択し、**[同期を管理]** を選択します。

1. 「**同期の管理**」で、「**属性マッピングを表示**」を選択します。

1. 「**Active Directory ユーザー属性**」で、**IAM Identity Center ID ストア属性** と**Active Directory のユーザー属性**を設定します。例えば、IAM Identity Center ID ストア属性 `email` を Active Directory のユーザーディレクトリ属性 `${objectguid}` にマップすることができます。
**注記**  
「**グループ属性**」では、**IAM アイデンティティセンターの ID ストア属性** と **Active Directory グループの属性** は変更できません。

1. **[Save changes]** (変更の保存) をクリックします。これにより、「**同期の管理**」ページに戻ります。

# Active Directory から IAM アイデンティティセンターへの初回同期設定
<a name="manage-sync-configurable-ADsync"></a>

Active Directory から IAM アイデンティティセンターにユーザーとグループを初めて同期する場合は、以下の手順に従います。または、「[アイデンティティソースを変更する](manage-your-identity-source-change.md)」で説明されている手順に従って、アイデンティティソースを IAM アイデンティティセンターから Active Directory に変更することもできます。

## ガイド付きセットアップ
<a name="manage-sync-guided-setup-configurable-ADsync"></a>

1. [IAM Identity Center コンソール](https://console.aws.amazon.com/singlesignon) を開きます。
**注記**  
次のステップに進む前に、IAM Identity Center コンソールで AWS Managed Microsoft AD ディレクトリ AWS リージョン がある のいずれかを使用していることを確認してください。

1. [**設定**] を選択します。

1. ページ上部の通知メッセージで、[**ガイド付きセットアップを開始**] を選択します。

1. 「**ステップ 1 — *オプション*: 属性マッピングの設定**」で、デフォルトのユーザーおよびグループ属性マッピングを確認します。変更が不要な場合は、**[次へ]** を選択します。変更が必要な場合は、変更を行い、**[変更の保存]** を選択します。

1. 「**ステップ 2 — *オプション*: 同期範囲の設定**」で、**[ユーザー]** タブを選択します。次に、同期スコープに追加するユーザーの正確なユーザー名を入力し、[**追加**] を選択します。次に、[**グループ**] タブを選択します。同期スコープに追加するグループの正確なグループ名を入力し、[**追加**] を選択します。その後、**[Next]** を選択します。後でユーザーとグループを同期スコープに追加する場合は、変更せずに [**次へ**] を選択します。

1. 「**ステップ 3: 設定を確認して保存する**」で、「**ステップ 1: **属性マッピング**」で属性マッピングを確認し**、「**ステップ 2: 同期スコープ**」で**ユーザーとグループ**を確認します。**[設定の保存]** を選択します。これにより、「**同期を管理**」ページが表示されます。

# ユーザーとグループを同期スコープに追加します
<a name="manage-sync-add-users-groups-configurable-ADsync"></a>

**注記**  
同期スコープにグループを追加するときは、ドメイン内のグループからではなく、信頼されたオンプレミス AWS Managed Microsoft AD ドメインから直接グループを同期します。信頼されたドメインから直接同期されたグループには、IAM Identity Center がアクセスして正常に同期できる実際のユーザーオブジェクトが含まれています。

 以下の手順に従って、Active Directory ユーザーとグループを IAM アイデンティティセンターに追加します。

**ユーザーを追加するには**

1. [IAM Identity Center コンソール](https://console.aws.amazon.com/singlesignon) を開きます。

1. [**設定**] を選択します。

1. **[設定]**ページで**[ID ソース]**タブを選択し、**[アクション]**を選択し、**[同期を管理]** を選択します。

1. [**同期の管理**] ページで、[**ユーザー**] タブを選択し、[**ユーザーとグループの追加**] を選択します。

1. [**ユーザー**] タブの [**ユーザー**] に正確なユーザー名を入力し、[**追加**] を選択します。

1. [**追加したユーザーとグループ**] で、追加するユーザーを確認します。

1. [**送信**] を選択します。

1. ナビゲーションペインで **[ユーザー]** を選択します。指定したユーザーがリストに表示されない場合は、更新アイコンを選択してユーザーのリストを更新します。

**グループを追加するには**

1. [IAM Identity Center コンソール](https://console.aws.amazon.com/singlesignon) を開きます。

1. [**設定**] を選択します。

1. **設定**ページで**[ID ソース]**タブを選択し、**[アクション]**を選択し、**[同期を管理]** を選択します。

1. 「**同期の管理**」ページで「**グループ**」タブを選択し、「**ユーザーとグループの追加**」を選択します。

1. [**グループ**] タブを選択します。[**グループ**] で、正確なグループ名を入力し、[**追加**] を選択します。

1. [**追加したユーザーとグループ**] で、追加するグループを確認します。

1. [**送信**] を選択します。

1. ナビゲーションペインで、[**グループ**] を選択します。指定したグループがリストに表示されない場合は、更新アイコンを選択してグループのリストを更新します。

# 同期スコープからユーザーとグループを削除します。
<a name="manage-sync-remove-users-groups-configurable-ADsync"></a>

同期スコープからユーザーとグループを削除するとどうなるかについての詳細は、[設定可能な AD 同期の仕組み](how-it-works-configurable-ADsync.md) を参照してください。

**ユーザーを削除するには**

1. [IAM Identity Center コンソール](https://console.aws.amazon.com/singlesignon) を開きます。

1. [**設定**] を選択します。

1. **設定**ページで**[ID ソース]**タブを選択し、**[アクション]**を選択し、**[同期を管理]** を選択します。

1. **[ユーザー]** タブを選択します。

1. [**同期範囲のユーザー**] で、削除するユーザーの横にあるチェックボックスをオンにします。すべてのユーザーを削除するには、「**ユーザー名**」の横にあるチェックボックスを選択します。

1. **[**を削除] を選択します。

**グループを削除するには**

1. [IAM Identity Center コンソール](https://console.aws.amazon.com/singlesignon) を開きます。

1. [**設定**] を選択します。

1. **設定**ページで**[ID ソース]**タブを選択し、**[アクション]**を選択し、**[同期を管理]** を選択します。

1. [**グループ**] タブを選択します。

1. [**同期範囲のグループ**] で、削除するユーザーの横にあるチェックボックスをオンにします。すべてのグループを削除するには、[**グループ名**] の横にあるチェックボックスをオンにします。

1. **[**を削除] を選択します。

# 同期の一時停止と再開
<a name="manage-sync-pause-resume-sync-configurable-ADsync"></a>

同期を一時停止すると、今後のすべての同期サイクルが一時停止され、Active Directory 内のユーザーとグループに加えた変更が IAM Identity Center に反映されなくなります。同期を再開すると、同期サイクルでは次に予定されている同期からこれらの変更が反映されます。

**同期を一時停止するには**

1. [IAM Identity Center コンソール](https://console.aws.amazon.com/singlesignon) を開きます。

1. [**設定**] を選択します。

1. **[設定]**ページで**[ID ソース]**タブを選択し、**[アクション]**を選択し、**[同期を管理]** を選択します。

1. [**同期の管理] で [**同期を一時停止****] を選択します。

**同期を再開するには**

1. [IAM Identity Center コンソール](https://console.aws.amazon.com/singlesignon) を開きます。

1. [**設定**] を選択します。

1. **[設定]**ページで**[ID ソース]**タブを選択し、**[アクション]**を選択し、**[同期を管理]** を選択します。

1. [**同期の管理**] で [**同期を再開**] を選択します。
**注記**  
[**同期を再開**] ではなく [**同期を一時停止**] が表示される場合は、Active Directory から IAM Identity Center への同期はすでに再開されています。

# 同期設定を自動化して、設定可能な AD 同期を実現します。
<a name="automate-sync-configuration-configurable-ADsync"></a>

設定可能な AD 同期で自動化されたワークフローが期待どおりに機能するようにするには、次の手順を実行して同期設定を自動化することをお勧めします。

**設定可能な AD Sync の同期設定を自動化するには**

1. Active Directory で、IAM アイデンティティセンターに同期したいすべてのユーザーとグループを含む *親同期グループ*を作成します。例えば、グループに *IAMIdentityCenterAllUsersAndGroups* という名前を付けることができます。

1. IAM Identity Center で、親同期グループを設定可能な同期リストに追加します。IAM Identity Center は、親同期グループに含まれるすべてのユーザー、グループ、サブグループ、およびすべてのグループのメンバーを同期します。

1. Microsoft が提供する Active Directory ユーザーおよびグループ管理 API アクションを使用して、親同期グループにユーザーとグループを追加または削除します。