Microsoft Active DirectoryとIAMアイデンティティ・ドメインの間のブリッジを構成します。
ADブリッジを作成したら、次のように構成します:
- ADブリッジを使用してIAMと同期するMicrosoft Active Directory組織単位(OU)およびグループを選択します。OUには、IAMにインポートするユーザーが含まれます。Microsoft Active Directoryと同期することで、ブリッジは、新しい、更新された、または削除されたユーザーまたはグループ・レコードをIAMに転送できます。
- ユーザーまたはグループがMicrosoft Active DirectoryからIAMに同期された後で、IAMでユーザーのアクティブ化または非アクティブ化、ユーザーの属性値の変更またはユーザーのグループ・メンバーシップの変更を行う場合に、これらの変更をMicrosoft Active Directoryに伝播するかどうかを指定します。
- IAMでADブリッジを使用してMicrosoft Active Directoryからユーザーおよびグループをインポートする頻度をスケジュールします。
- Microsoft Active DirectoryとIAM間のカスタム属性マッピングを定義します。
- ユーザーがIAMまたはMicrosoft Active Directoryパスワード(またはフェデレーテッド・アカウント)を使用してIAMに対して認証し、マイ・プロファイル・コンソール、IAMコンソール、ユーザーに割り当てられているアプリケーションなどのIAMによって保護されているリソースにアクセスできるようにするかどうかを指定します。
セキュリティ設定の管理のインフォグラフィックにアクセスして、ADブリッジを構成する方法を確認できます。
-
「ディレクトリ統合」リスト・ページで、操作するADブリッジを選択します。ディレクトリ統合ページの検索に関するヘルプが必要な場合は、Active Directoryブリッジのリストを参照してください。
ノート
ブリッジのステータスは「一部構成済」です。
-
「Microsoft Active Directoryドメインの構成」ページで、AD内のユーザーまたはグループの変更をポーリングし、それらの変更をIAMにインポートするようにMicrosoft Active Directoryドメインを構成します。
-
「ユーザー用の組織単位(OU)の選択」および「グループ用の組織単位(OU)の選択」ペインで:
-
「階層を含める」チェック・ボックスを選択します。親OUを選択すると、すべての子OUが選択されます。OUには、IAMにインポートするユーザーおよびグループが含まれます。
または
チェックボックスをクリアします。親OUを選択しても、子OUは選択されません。
-
ADブリッジを使用してIAMと同期するユーザーまたはグループを含む各OUのチェック・ボックスを選択します。
ノート
「ユーザー用の組織単位(OU)の選択」および「グループ用の組織単位(OU)の選択」ペインにユーザーまたはグループのOUが表示されない場合は、Webブラウザをリフレッシュします。
Microsoft Active DirectoryとIAM間の完全同期を強制するには、選択したユーザーまたはグループOUのすべてのチェック・ボックスをクリアし、「保存」を選択してから、「構成の変更を保存しますか。」ダイアログ・ボックスで「OK」を選択します。次に、「インポート」を選択してADからユーザーおよびグループをインポートします。
-
オプションです。「フィルタ」テキスト・ボックスにカスタム・フィルタを入力して、ユーザーまたはグループのOUを検索します。たとえば、(sn=Smith)と入力すると、姓がSmithのすべてのユーザーが返されます。または、(department=IT)と入力すると、ITグループが返されます。
ヒント
-
すべてのユーザーまたはグループを選択するには、「階層を含む」チェック・ボックスを選択してから、各ペインで最上位のチェック・ボックスを選択します。
-
「フィルタ」テキスト・ボックスでは、4,000文字を超える入力はできません。
-
AD属性がDN属性の場合を除き、ワイルドカード文字*を使用できます。ADフィルタの詳細は、ここを選択してください。
- 「フィルタ」テキスト・ボックスを使用して、OUではなくグループ・メンバーシップに基づいてMicrosoft Active DirectoryからIAMにユーザーを同期できます。これを行うには、OUのチェック・ボックスの選択を解除しないでください。かわりに、「フィルタ」テキスト・ボックスで、カスタム・グループ・メンバーシップ・フィルタを指定します。
-
IAMに転送される予定のユーザーまたはグループの数と、実際にインポートされたユーザーまたはグループの数が一致しない場合は、Active Directoryユーザーおよびコンピュータを使用してMicrosoft Active Directoryのカスタム・フィルタをテストし、IAMに移動されたユーザーおよびグループが正しいことを確認します。
-
IAMにインポートするユーザーの名前は、3文字以上にする必要があります。IAMにインポートするグループの名前は、5文字以上にする必要があります。
-
インポートするユーザーの電話番号は、RFC 3966仕様の要件を満たしている必要があります。
-
「サポートされている操作」領域で、IAMユーザーまたはグループに対してADに伝播する操作を選択します:
-
「インポート頻度の設定」領域で、IAMがADブリッジを使用してMicrosoft Active Directoryからユーザーおよびグループをインポートする頻度(時間および分)をスケジュールします。
重要
増分同期サイクル中に、Microsoft Active Directoryに100,000を超えるグループ・メンバーシップの変更がある場合は、同期サイクルに1時間以上かかる可能性があります。Microsoft Active Directoryでは、変更ログの処理にこの時間が必要です。
-
「属性マッピングの構成」領域で、「属性マッピングの編集」を選択して、Microsoft Active DirectoryとIAM間のカスタム属性マッピングを定義します。Microsoft Active Directory (AD)ブリッジの属性マッピングの定義を参照してください。それ以外の場合は、次のステップに進みます。
-
ユーザーがIAMまたはMicrosoft Active Directoryパスワードを使用してIAMに対して認証し、IAMで保護されているリソースにアクセスするには、「認証設定」領域で、「ローカル認証の有効化」を選択します。
このオプションを選択した場合は、このADブリッジに委任認証を構成します。委任認証をアクティブ化すると、ブリッジを介してIAMに転送されたユーザーは、Microsoft Active Directoryパスワードを使用してIAMにサインインできます。委任認証を非アクティブ化すると、ユーザーは、IAMパスワードを使用してIAMに対して認証する必要があります。
また、「ローカル認証の有効化」を選択した場合、「ようこそ通知を送信しない」を消去したままにして、ユーザー用に作成されたIAMアカウントをアクティブ化する必要があることをIAMからユーザーに電子メールで通知するようにします。
それ以外の場合、IAMによってユーザー用のアカウントが作成されたことを通知しないようにするには、「ようこそ通知を送信しない」チェック・ボックスを選択します。
ユーザーがフェデレーテッド・アカウントを使用してIAMに対して認証する場合は、「フェデレーテッド認証の有効化」を選択します。
ノート
このオプションを選択する場合は、「アイデンティティ・プロバイダ」ページでSSOを構成します。
重要
「フェデレーテッド認証の有効化」を選択すると、ADブリッジを介してIAMに転送されるすべてのユーザー・アカウントが、フェデレーテッド・アカウントとして分類されます。参照整合性のために、これらのユーザー・アカウントを非アクティブ化または削除したり、そのステータスを非フェデレーテッドに変更したりすることはできません。
-
「保存」を選択します。
-
「確認」ウィンドウで「OK」を選択します。
ADブリッジのステータスが
「一部構成済」から
「構成済」に変わります。ブリッジは作成され、構成されました。
ノート ADブリッジを使用してグループをIAMにインポートしてから、IAMのグループを削除すると、Microsoft Active DirectoryのグループとIAMのグループ間のリンクを再確立できます。これを行うには:
-
「グループ用の組織ユニット(OU)の選択」ペインで、選択したグループのチェック・ボックスをクリアし、「保存」を選択します。
-
グループのチェック・ボックスを選択し、「保存」を再度選択します。
-
ADブリッジを実行して、IAMとMicrosoft Active Directory間でグループをすぐに同期します。