Microsoft Active DirectoryとIAMアイデンティティ・ドメイン間のブリッジを構成します。
ADブリッジを作成した後、次の方法で構成します。
- ADブリッジを使用してIAMと同期するMicrosoft Active Directory組織単位(OU)およびグループを選択しますOUには、IAMにインポートするユーザーが含まれています。Microsoft Active Directoryと同期することで、ブリッジは、新規、更新済または削除されたユーザーまたはグループ・レコードをIAMに転送できます。
- ユーザーまたはグループがMicrosoft Active DirectoryからIAMに同期された後で、ユーザーのアクティブ化または非アクティブ化、ユーザーの属性値の変更またはIAMでのユーザーのグループ・メンバーシップの変更を行う場合に、それらの変更をMicrosoft Active Directoryに伝播するかどうかを指定します。
- IAMでAD Bridgeを使用してMicrosoft Active Directoryからユーザーおよびグループをインポートする頻度を計画します。
- Microsoft Active DirectoryとIAM間のカスタム属性マッピングの定義。
- ユーザーがIAMまたはMicrosoft Active Directoryのパスワード(またはフェデレーテッド・アカウント)を使用してIAMに対して認証し、IAMによって保護されるリソース(「マイ・プロファイル」コンソール、IAMコンソール、ユーザーに割り当てられているアプリケーションなど)にアクセスできるようにするかどうかを指定します。
セキュリティ設定の管理のインフォグラフィックにアクセスして、ADブリッジを構成する方法を確認できます。
-
「ディレクトリ統合」リスト・ページで、操作するADブリッジを選択します。ディレクトリ統合ページの検索に関するヘルプが必要な場合は、Active Directoryブリッジのリストを参照してください。
-
「Microsoft Active Directoryドメインの構成」ページで、AD内のユーザーまたはグループの変更をポーリングし、それらの変更をIAMにインポートするようにMicrosoft Active Directoryドメインを構成します。
-
「ユーザー用の組織単位(OU)の選択」および「グループ用の組織単位(OU)の選択」ペインで:
-
「階層を含める」チェック・ボックスを選択します。親OUを選択すると、すべての子OUが選択されています。OUには、IAMにインポートするユーザーおよびグループが含まれています。
または
チェック・ボックスの選択を解除します。親OUを選択しても、子OUは選択されません。
-
ADブリッジを使用してIAMと同期するユーザーまたはグループを含む各OUのボックスを選択します。
ノート
「ユーザー用の組織の単位(OU)の選択」および「グループ用の組織の単位(OU)の選択」ペインにユーザーまたはグループのOUが表示されない場合は、Webブラウザをリフレッシュします。
Microsoft Active DirectoryとIAM間の完全同期を強制するには、選択したユーザーまたはグループOUのすべてのチェック・ボックスの選択を解除し、「保存」を選択し、「構成変更の保存」ダイアログ・ボックスで「OK」を選択します。次に、「インポート」を選択して、ADからユーザーおよびグループをインポートします。
-
オプション。「フィルタ」テキスト・ボックスにカスタム・フィルタを入力して、ユーザーまたはグループのOUを検索します。たとえば、(sn=Smith)と入力すると、姓がSmithのすべてのユーザーが戻されます。または、(department=IT)と入力すると、ITグループが返されます。
ヒント
-
すべてのユーザーまたはグループを選択するには、「階層を含める」チェック・ボックスを選択し、各ペインで最上位のチェック・ボックスを選択します。
-
「フィルタ」テキスト・ボックスには、4,000文字を超える入力を入力できません。
-
AD属性がDN属性の場合を除き、ワイルドカード文字*を使用できます。ADフィルタの詳細は、ここを選択してください。
- 「フィルタ」テキスト・ボックスを使用して、OUではなくグループ・メンバーシップに基づいてMicrosoft Active DirectoryからIAMにユーザーを同期できます。これを行うには、OUのチェックボックスをクリアしないでください。かわりに、「フィルタ」テキスト・ボックスで、カスタム・グループ・メンバーシップ・フィルタを指定します。
-
IAMに転送する予定のユーザーまたはグループの数と実際にインポートされるユーザーまたはグループの数が一致しない場合は、Active Directoryユーザーとコンピュータを使用してMicrosoft Active Directoryでカスタム・フィルタをテストし、IAMに取り込まれたユーザーおよびグループが正しいことを確認します。
-
IAMにインポートするユーザーの名前は、3文字以上にする必要があります。IAMにインポートするグループの名前は、5文字以上にする必要があります。
-
インポートするユーザーの電話番号は、RFC 3966仕様の要件を満たしている必要があります。
-
「サポートされている操作」領域では、ADに伝播するIAMユーザーまたはグループに対する操作を選択します:
-
「インポート頻度の設定」領域で、IAMでADブリッジを使用してMicrosoft Active Directoryからユーザーおよびグループをインポートする頻度、時間および分をスケジュールします。
重要
増分同期サイクル中に、Microsoft Active Directoryに100,000を超えるグループ・メンバーシップの変更がある場合は、同期サイクルに1時間以上かかる可能性があります。Microsoft Active Directoryでは、変更ログの処理にこの時間が必要です。
-
「属性マッピングの構成」領域で、「属性マッピングの編集」を選択して、Microsoft Active DirectoryとIAM間のカスタム属性マッピングを定義します。Microsoft Active Directory (AD)ブリッジの属性マッピングの定義を参照してください。それ以外の場合は、次のステップに進みます。
-
ユーザーがIAMまたはMicrosoft Active Directoryパスワードを使用してIAMに対して認証し、IAMで保護されたリソースにアクセスできるようにする場合は、「認証設定」領域から「ローカル承認の有効化」を選択します。
このオプションを選択した場合は、このADブリッジに委任認証を構成します。委任認証をアクティブ化すると、ブリッジを介してIAMに転送されるユーザーは、Microsoft Active Directoryパスワードを使用してIAMにサインインします。委任認証を非アクティブ化すると、ユーザーは、IAMパスワードを使用してIAMに対して認証する必要があります。
また、「ローカル認証の有効化」を選択した場合、「ようこそ通知を送信しない」の選択を解除して、ユーザー用に作成されたIAMアカウントをアクティブ化する必要があることをIAMからユーザーに電子メールで通知するようにします。
それ以外の場合、IAMによってユーザー用にアカウントが作成されたことを通知しないようにする場合は、「ようこそ通知を送信しない」チェック・ボックスを選択します。
ユーザーがフェデレーテッド・アカウントを使用してIAMに対して認証する場合は、「フェデレーテッド認証の有効化」を選択します。
ノート
このオプションを選択する場合は、「アイデンティティ・プロバイダ」ページでSSOを構成します。
重要
「フェデレーテッド認証の有効化」を選択すると、AD橋を介してIAMに転送されるすべてのユーザー・アカウントがフェデレーテッド・アカウントとして分類されます。参照整合性のために、これらのユーザー・アカウントを非アクティブ化または削除したり、そのステータスを非フェデレーテッドに変更したりすることはできません。
-
「保存」を選択します。
-
「確認」ウィンドウで、「OK」を選択します。
ADブリッジのステータスが
「一部構成済み」から
「構成済み」に変わります。ブリッジは作成され、構成されました。
ノート ADブリッジを使用してグループをIAMにインポートしてから、IAMのグループを削除すると、Microsoft Active DirectoryのグループとIAMのグループ間のリンクを再確立できます。これを行うには、次の手順を実行します。
-
「グループの組織単位(OU)の選択」ペインで、選択したグループのチェック・ボックスの選択を解除し、「保存」を選択します。
-
グループのチェック・ボックスを選択し、「保存」を再度選択します。
-
ADブリッジを実行して、IAMとMicrosoft Active Directoryの間でグループをすぐに同期します。