チュートリアル:Azure Active Directory シングル サインオン (SSO) とアマゾン ウェブ サービス (AWS) の統合Tutorial: Azure Active Directory single sign-on (SSO) integration with Amazon Web Services (AWS)

このチュートリアルでは、Azure Active Directory (Azure AD) とアマゾン ウェブ サービス (AWS) を統合する方法について説明します。In this tutorial, you'll learn how to integrate Amazon Web Services (AWS) with Azure Active Directory (Azure AD). Azure AD とアマゾン ウェブ サービス (AWS) を統合すると、以下を実行できます。When you integrate Amazon Web Services (AWS) with Azure AD, you can:

  • アマゾン ウェブ サービス (AWS) にアクセスできるユーザーを Azure AD で制御する。Control in Azure AD who has access to Amazon Web Services (AWS).
  • ユーザーが自分の Azure AD アカウントを使用して自動的にアマゾン ウェブ サービス (AWS) にサインインできるようにする。Enable your users to be automatically signed-in to Amazon Web Services (AWS) with their Azure AD accounts.
  • 1 つの中央サイト (Azure Portal) で自分のアカウントを管理します。Manage your accounts in one central location - the Azure portal.

SaaS アプリと Azure AD の統合の詳細については、「Azure Active Directory でのアプリケーションへのシングル サインオン」を参照してください。To learn more about SaaS app integration with Azure AD, see What is application access and single sign-on with Azure Active Directory.

Azure AD と AWS の関係の図

複数のインスタンスに対して複数の識別子を構成できます。You can configure multiple identifiers for multiple instances. 次に例を示します。For example:

  • https://signin.aws.amazon.com/saml#1

  • https://signin.aws.amazon.com/saml#2

Azure AD ではこれらの値から # の値を削除し、正しい値 https://signin.aws.amazon.com/saml を SAML トークンの対象 URL として送信します。With these values, Azure AD removes the value of #, and sends the correct value https://signin.aws.amazon.com/saml as the audience URL in the SAML token.

次の理由により、このアプローチをお勧めします。We recommend this approach for the following reasons:

  • アプリケーションごとに一意の X509 証明書が提供されます。Each application provides you with a unique X509 certificate. AWS アプリのインスタンスごとに異なる証明書の有効期限を設定でき、それらを個別の AWS アカウントに基づいて管理できます。Each instance of an AWS app instance can then have a different certificate expiry date, which can be managed on an individual AWS account basis. この場合、証明書全体のロールオーバーが容易になります。Overall certificate rollover is easier in this case.

  • Azure AD での AWS アプリによるユーザー プロビジョニングを有効にでき、続いてその AWS アカウントからすべてのロールが Microsoft のサービスによってフェッチされます。You can enable user provisioning with an AWS app in Azure AD, and then our service fetches all the roles from that AWS account. アプリでの AWS ロールの追加や更新は手動で行う必要はありません。You don't have to manually add or update the AWS roles on the app.

  • アプリに対してアプリ所有者を個別に割り当てることができます。You can assign the app owner individually for the app. このユーザーは、Azure AD で直接アプリを管理できます。This person can manage the app directly in Azure AD.


必ずギャラリー アプリケーションのみを使用してください。Make sure you use a gallery application only.


開始するには、次が必要です。To get started, you need the following items:

  • Azure AD サブスクリプション。An Azure AD subscription. サブスクリプションがない場合は、無料アカウントを取得できます。If you don't have a subscription, you can get a free account.
  • AWS シングル サインオン (SSO) が有効なサブスクリプション。An AWS single sign-on (SSO) enabled subscription.

シナリオの説明Scenario description

このチュートリアルでは、テスト環境で Azure AD の SSO を構成してテストします。In this tutorial, you configure and test Azure AD SSO in a test environment.

  • アマゾン ウェブ サービス (AWS) では、SP と IDP によって開始される SSO がサポートされますAmazon Web Services (AWS) supports SP and IDP initiated SSO
  • アマゾン ウェブ サービス (AWS) を構成したら、組織の機密データを流出と侵入からリアルタイムで保護するセッション制御を適用することができます。Once you configure Amazon Web Services (AWS) you can enforce Session Control, which protect exfiltration and infiltration of your organization's sensitive data in real-time. セッション制御は、条件付きアクセスを拡張したものです。Session Control extend from Conditional Access. Microsoft Cloud App Security でセッション制御を適用する方法をご覧ください。Learn how to enforce session control with Microsoft Cloud App Security


このアプリケーションの識別子は固定文字列値であるため、1 つのテナントで構成できるインスタンスは 1 つだけです。Identifier of this application is a fixed string value so only one instance can be configured in one tenant.

Azure AD への Amazon Web Services (AWS) の統合を構成するには、ギャラリーから管理対象 SaaS アプリの一覧に Amazon Web Services (AWS) を追加する必要があります。To configure the integration of Amazon Web Services (AWS) into Azure AD, you need to add Amazon Web Services (AWS) from the gallery to your list of managed SaaS apps.

  1. 職場アカウント、学校アカウント、または個人の Microsoft アカウントを使用して、Azure portal にサインインします。Sign in to the Azure portal using a work account, school account, or personal Microsoft account.
  2. Azure portal で、 [Azure Active Directory] を検索して選択します。In the Azure portal, search for and select Azure Active Directory.
  3. Azure Active Directory の概要メニューで、 [エンタープライズ アプリケーション] > [すべてのアプリケーション] を選択します。Within the Azure Active Directory overview menu, choose Enterprise Applications > All applications.
  4. アプリケーションを追加するには、 [新しいアプリケーション] を選択します。Select New application to add an application.
  5. [ギャラリーから追加する] セクションで、検索ボックスに「アマゾン ウェブ サービス (AWS) 」と入力します。In the Add from the gallery section, type Amazon Web Services (AWS) in the search box.
  6. 結果パネルから [アマゾン ウェブ サービス (AWS)] を選択してそのアプリを追加します。Select Amazon Web Services (AWS) from results panel and then add the app. お使いのテナントにアプリが追加されるのを数秒待機します。Wait a few seconds while the app is added to your tenant.

アマゾン ウェブ サービス (AWS) の Azure AD SSO の構成とテストConfigure and test Azure AD SSO for Amazon Web Services (AWS)

B.Simon というテスト ユーザーを使用して、アマゾン ウェブ サービス (AWS) に対する Azure AD SSO を構成してテストします。Configure and test Azure AD SSO with Amazon Web Services (AWS) using a test user called B.Simon. SSO が機能するために、Azure AD ユーザーとアマゾン ウェブ サービス (AWS) の関連ユーザーの間で、リンク関係を確立する必要があります。For SSO to work, you need to establish a link relationship between an Azure AD user and the related user in Amazon Web Services (AWS).

アマゾン ウェブ サービス (AWS) との Azure AD SSO を構成してテストするには、次の構成要素を完了します。To configure and test Azure AD SSO with Amazon Web Services (AWS), complete the following building blocks:

  1. Azure AD SSO の構成 - ユーザーがこの機能を使用できるようにします。Configure Azure AD SSO - to enable your users to use this feature.
    1. Azure AD のテスト ユーザーの作成 - B.Simon で Azure AD のシングル サインオンをテストします。Create an Azure AD test user - to test Azure AD single sign-on with B.Simon.
    2. Azure AD テスト ユーザーの割り当て - B.Simon が Azure AD シングル サインオンを使用できるようにします。Assign the Azure AD test user - to enable B.Simon to use Azure AD single sign-on.
  2. アマゾン ウェブ サービス (AWS) の SSO の構成 - アプリケーション側でシングル サインオン設定を構成します。Configure Amazon Web Services (AWS) SSO - to configure the single sign-on settings on application side.
    1. アマゾン ウェブ サービス (AWS) のテスト ユーザーの作成 - アマゾン ウェブ サービス (AWS) で B.Simon に対応するユーザーを作成し、Azure AD の B.Simon にリンクさせます。Create Amazon Web Services (AWS) test user - to have a counterpart of B.Simon in Amazon Web Services (AWS) that is linked to the Azure AD representation of user.
    2. アマゾン ウェブ サービス (AWS) でロール プロビジョニングを構成する方法How to configure role provisioning in Amazon Web Services (AWS)
  3. SSO のテスト - 構成が機能するかどうかを確認します。Test SSO - to verify whether the configuration works.

Azure AD SSO の構成Configure Azure AD SSO

これらの手順に従って、Azure portal で Azure AD SSO を有効にします。Follow these steps to enable Azure AD SSO in the Azure portal.

  1. Azure portalアマゾン ウェブ サービス (AWS) アプリケーション統合ページで、 [管理] セクションを見つけて、 [シングル サインオン] を選択します。In the Azure portal, on the Amazon Web Services (AWS) application integration page, find the Manage section and select single sign-on.

  2. [シングル サインオン方式の選択] ページで、 [SAML] を選択します。On the Select a single sign-on method page, select SAML.

  3. [SAML でシングル サインオンをセットアップします] ページで、 [基本的な SAML 構成] の編集 (ペン) アイコンをクリックして設定を編集します。On the Set up single sign-on with SAML page, click the edit/pen icon for Basic SAML Configuration to edit the settings.

    基本的な SAML 構成を編集する

  4. [基本的な SAML 構成] セクションで、 [識別子 (エンティティ ID)][応答 URL] の両方を同じ既定値 (https://signin.aws.amazon.com/saml) に更新します。In the Basic SAML Configuration section, update both Identifier (Entity ID) and Reply URL with the same default value: https://signin.aws.amazon.com/saml. [保存] を選択して構成の変更を保存する必要があります。You must select Save to save the configuration changes.

  5. 複数のインスタンスを構成している場合は、識別子の値を指定します。When you are configuring more than one instance, provide an identifier value. 2 番目のインスタンス以降は、次の形式を使用します。これには、一意の SPN 値を指定するための # 符号が含まれます。From second instance onwards, use the following format, including a # sign to specify a unique SPN value.


  6. AWS アプリケーションでは特定の形式の SAML アサーションが使用されるため、カスタム属性のマッピングを SAML トークンの属性の構成に追加する必要があります。AWS application expects the SAML assertions in a specific format, which requires you to add custom attribute mappings to your SAML token attributes configuration. 次のスクリーンショットには、既定の属性一覧が示されています。The following screenshot shows the list of default attributes.


  7. その他に、AWS アプリケーションでは、いくつかの属性が SAML 応答で返されることが想定されています。それらの属性を次に示します。In addition to above, AWS application expects few more attributes to be passed back in SAML response which are shown below. これらの属性も値が事前に設定されますが、要件に従ってそれらの値を確認することができます。These attributes are also pre populated but you can review them as per your requirements.

    名前Name ソース属性Source attribute 名前空間Namespace
    RoleSessionNameRoleSessionName user.userprincipalnameuser.userprincipalname https://aws.amazon.com/SAML/Attributes
    RoleRole user.assignedrolesuser.assignedroles https://aws.amazon.com/SAML/Attributes
    SessionDurationSessionDuration 「900 秒 (15 分) から43200 秒 (12 時間) の値を指定してください」"provide a value between 900 seconds (15 minutes) to 43200 seconds (12 hours)" https://aws.amazon.com/SAML/Attributes
  8. [SAML によるシングル サインオンのセットアップ] ページの [SAML 署名証明書] (手順 3) ダイアログ ボックスで、 [証明書の追加] を選択します。On the Set up single sign-on with SAML page, in the SAML Signing Certificate (Step 3) dialog box, select Add a certificate.

    新しい SAML 証明書を作成する

  9. 新しい SAML 署名証明書を生成し、 [新しい証明書] を選択します。Generate a new SAML signing certificate, and then select New Certificate. 証明書通知のメール アドレスを入力します。Enter an email address for certificate notifications.

    新しい SAML 証明書

  10. [SAML 署名証明書] セクションで、 [フェデレーション メタデータ XML] を探して [ダウンロード] を選択し、証明書をダウンロードして、お使いのコンピューターに保存します。In the SAML Signing Certificate section, find Federation Metadata XML and select Download to download the certificate and save it on your computer.


  11. [アマゾン ウェブ サービス (AWS) のセットアップ] セクションで、要件に基づく適切な URL をコピーします。In the Set up Amazon Web Services (AWS) section, copy the appropriate URL(s) based on your requirement.

    構成 URL のコピー

Azure AD のテスト ユーザーの作成Create an Azure AD test user

このセクションでは、Azure portal 内で B.Simon というテスト ユーザーを作成します。In this section, you'll create a test user in the Azure portal called B.Simon.

  1. Azure portal で、 [Azure Active Directory] を検索して選択します。In the Azure portal, search for and select Azure Active Directory.
  2. Azure Active Directory の概要メニューで、 [ユーザー] > [すべてのユーザー] を選択します。Within the Azure Active Directory overview menu, choose Users > All users.
  3. 画面の上部にある [新しいユーザー] を選択します。Select New user at the top of the screen.
  4. [ユーザー] プロパティで、以下の手順を実行します。In the User properties, follow these steps:
    1. [名前] フィールドに「B.Simon」と入力します。In the Name field, enter B.Simon.
    2. [ユーザー名] フィールドに「username@companydomain.extension」と入力します。In the User name field, enter the username@companydomain.extension. たとえば、「 B.Simon@contoso.com 」のように入力します。For example, B.Simon@contoso.com.
    3. [パスワードを表示] チェック ボックスをオンにし、 [パスワード] ボックスに表示された値を書き留めます。Select the Show password check box, and then write down the value that's displayed in the Password box.
    4. Create をクリックしてください。Click Create.

Azure AD テスト ユーザーの割り当てAssign the Azure AD test user

このセクションでは、B.Simon にアマゾン ウェブ サービス (AWS) へのアクセスを許可することで、このユーザーが Azure シングル サインオンを使用できるようにします。In this section, you'll enable B.Simon to use Azure single sign-on by granting access to Amazon Web Services (AWS).

  1. Azure portal で、 [Azure Active Directory] を検索して選択します。In the Azure portal, search for and select Azure Active Directory.

  2. Azure Active Directory の概要メニューで、 [エンタープライズ アプリケーション] > [すべてのアプリケーション] を選択します。Within the Azure Active Directory overview menu, choose Enterprise Applications > All applications.

  3. アプリケーションの一覧で、 [Amazon Web Services (AWS)](アマゾン ウェブ サービス (AWS)) を選択します。In the application list, select Amazon Web Services (AWS).

  4. アプリの概要ページで、 [管理] セクションを見つけて、 [ユーザーとグループ] を選択します。In the app's overview page, find the Manage section and select Users and groups.

    [ユーザーとグループ] リンク

  5. [ユーザーの追加] を選択し、 [割り当ての追加] ダイアログで [ユーザーとグループ] を選択します。Select Add user, then select Users and groups in the Add Assignment dialog.

    [ユーザーの追加] リンク

  6. [ユーザーとグループ] ダイアログの [ユーザー] の一覧から [B.Simon] を選択し、画面の下部にある [選択] ボタンをクリックします。In the Users and groups dialog, select B.Simon from the Users list, then click the Select button at the bottom of the screen.

  7. SAML アサーション内に任意のロール値が必要な場合、 [ロールの選択] ダイアログでユーザーに適したロールを一覧から選択し、画面の下部にある [選択] をクリックします。If you're expecting any role value in the SAML assertion, in the Select Role dialog, select the appropriate role for the user from the list and then click the Select button at the bottom of the screen.

  8. [割り当ての追加] ダイアログで、 [割り当て] をクリックします。In the Add Assignment dialog, click the Assign button.

アマゾン ウェブ サービス (AWS) の SSO の構成Configure Amazon Web Services (AWS) SSO

  1. 別のブラウザー ウィンドウで、管理者として AWS 企業サイトにサインオンします。In a different browser window, sign-on to your AWS company site as an administrator.

  2. AWS ホームを選択します。Select AWS Home.

    AWS ホーム アイコンが強調表示された AWS 企業サイトのスクリーンショット

  3. [Identity and Access Management](ID とアクセス管理) を選択します。Select Identity and Access Management.

    IAM が強調表示された AWS サービス ページのスクリーンショット

  4. [ID プロバイダー] > [プロバイダーの作成] を選択します。Select Identity Providers > Create Provider.

    [ID プロバイダー] と [プロバイダーの作成] が強調表示された IAM ページのスクリーンショット

  5. [プロバイダーの設定] ページで、次の手順を行います。On the Configure Provider page, perform the following steps:

    [プロバイダーの設定] のスクリーンショット

    a.a. [Provider Type](プロバイダーの種類)[SAML] を選択します。For Provider Type, select SAML.

    b.b. [プロバイダ名] にプロバイダー名を入力します (例: WAAD)。For Provider Name, type a provider name (for example: WAAD).

    c.c. Azure Portal からダウンロードしたメタデータ ファイルをアップロードするには、 [Choose File](ファイルの選択) を選択します。To upload your downloaded metadata file from the Azure portal, select Choose File.

    d.d. [Next Step](次のステップ) を選択します。Select Next Step.

  6. [プロバイダー情報の検証] ページで [作成] を選択します。On the Verify Provider Information page, select Create.

    [作成] が強調表示された [プロバイダー情報の検証] のスクリーンショット

  7. [ロール] > [ロールの作成] を選択します。Select Roles > Create role.

    [ロール] ページのスクリーンショット

  8. [Create role] ページで、以下の手順を実行します。On the Create role page, perform the following steps:

    [ロールの作成] ページのスクリーンショット

    a.a. [信頼されたエンティティの種類を選択] で、 [SAML 2.0 フェデレーション] を選択します。Under Select type of trusted entity, select SAML 2.0 federation.

    b.b. [SAML 2.0 プロバイダーを選択] で、先ほど作成した SAML プロバイダーを選択します (例: WAAD)。Under Choose a SAML 2.0 Provider, select the SAML provider you created previously (for example: WAAD).

    c.c. [Allow programmatic and AWS Management Console access] を選択します。Select Allow programmatic and AWS Management Console access.

    d.d. Permissions(次へ: アクセス許可) をクリックします。Select Next: Permissions.

  9. [Attach アクセス権限ポリシー] ダイアログ ボックスで、組織の規定に準拠した適切なポリシーをアタッチします。On the Attach permissions policies dialog box, attach the appropriate policy, per your organization. 次に、次のステップ: 確認) をクリックします。Then select Next: Review.

    アクセス権限ポリシーをアタッチするダイアログ ボックスのスクリーンショット

  10. [確認] ダイアログ ボックスで、次の手順を行います。On the Review dialog box, perform the following steps:

    [確認] ダイアログ ボックスのスクリーンショット

    a.a. [ロール名] に、使用するロール名を入力します。In Role name, enter your role name.

    b.b. [ロールの説明] に説明を入力します。In Role description, enter the description.

    c.c. [ロールの作成] を選択します。Select Create role.

    d.d. 必要な数のロールを作成し、それらを ID プロバイダーにマップします。Create as many roles as needed, and map them to the identity provider.

  11. Azure AD ユーザー プロビジョニングの際に AWS アカウントからロールをフェッチするには、AWS サービス アカウントの資格情報を使用します。Use AWS service account credentials for fetching the roles from the AWS account in Azure AD user provisioning. そのためには、AWS コンソール ホームを開きます。For this, open the AWS console home.

  12. [サービス] を選択します。Select Services. [セキュリティ、アイデンティティ、コンプライアンス][IAM] を選択します。Under Security, Identity & Compliance, select IAM.

    [サービス] と [IAM] が強調表示された AWS コンソール ホームのスクリーンショット

  13. IAM セクションで [ポリシー] を選択します。In the IAM section, select Policies.

    [ポリシー] が強調表示された IAM セクションのスクリーンショット

  14. Azure AD ユーザー プロビジョニングの際に AWS アカウントからロールをフェッチするために、 [ポリシーの作成] を選択して新しいポリシーを作成します。Create a new policy by selecting Create policy for fetching the roles from the AWS account in Azure AD user provisioning.

    [ポリシーの作成] が強調表示された [ロールの作成] ページのスクリーンショット

  15. AWS アカウントからすべてのロールをフェッチする独自のポリシーを作成します。Create your own policy to fetch all the roles from AWS accounts.

    [JSON] が強調表示された [ポリシーの作成] ページのスクリーンショット

    a.a. [ポリシーの作成] セクションで、 [JSON] タブを選択します。In Create policy, select the JSON tab.

    b.b. ポリシー ドキュメントで、次の JSON を追加します。In the policy document, add the following JSON:

        "Version": "2012-10-17",
        "Statement": [
                "Effect": "Allow",
                "Action": [
                "Resource": "*"

    c.c. [Review policy] ボタン を選択して、ポリシーを検証します。Select Review policy to validate the policy.

    [ポリシーの作成] ページのスクリーンショット

  16. 新しいポリシーを定義します。Define the new policy.

    [名前] と [説明] のフィールドが強調表示された [ポリシーの作成] ページのスクリーンショット

    a.a. [名前] に「AzureAD_SSOUserRole_Policy」と入力します。For Name, enter AzureAD_SSOUserRole_Policy.

    b.b. ポリシーの [説明] に、「This policy will allow to fetch the roles from AWS accounts」と入力します。For Description, enter This policy will allow to fetch the roles from AWS accounts.

    c.c. [ポリシーの作成] を選択します。Select Create policy.

  17. AWS IAM サービスの新しいユーザー アカウントを作成します。Create a new user account in the AWS IAM service.

    a.a. AWS IAM コンソールで、 [ユーザー] を選択します。In the AWS IAM console, select Users.

    [ユーザー] が強調表示された AWS IAM コンソールのスクリーンショット

    b.b. 新しいユーザーを作成するために、 [ユーザーを追加] を選択します。To create a new user, select Add user.

    [ユーザーを追加] ボタンのスクリーンショット

    c.c. [ユーザーを追加] セクションで、次の手順を行います。In the Add user section:

    [ユーザー名] と [アクセスの種類] が強調表示された [ユーザーを追加] ページのスクリーンショット

    • ユーザー名として「AzureADRoleManager」を入力します。Enter the user name as AzureADRoleManager.

    • [アクセスの種類] で [プログラムによるアクセス] を選択します。For the access type, select Programmatic access. こうすると、ユーザーは API を呼び出し、AWS アカウントからロールをフェッチできます。This way, the user can invoke the APIs and fetch the roles from the AWS account.

    • [次のステップ: アクセス権限] を選択します。Select Next Permissions.

  18. このユーザー用の新しいポリシーを作成します。Create a new policy for this user.

    このスクリーンショットは、[Add user](ユーザーを追加) ページを示しています。ここで、ユーザーのポリシーを作成できます。

    a.a. [既存のポリシーを直接アタッチ] を選択します。Select Attach existing policies directly.

    b.b. [フィルター] セクションで、新しく作成されたポリシー AzureAD_SSOUserRole_Policy を検索します。Search for the newly created policy in the filter section AzureAD_SSOUserRole_Policy.

    c.c. ポリシーを選択し、次のステップ: 確認) をクリックします。Select the policy, and then select Next: Review.

  19. ユーザーにアタッチしたポリシーを確認します。Review the policy to the attached user.

    [ユーザーの作成] が強調表示された [ユーザーを追加] ページのスクリーンショット

    a.a. ユーザー名、アクセスの種類、ユーザーにマップされているポリシーを確認します。Review the user name, access type, and policy mapped to the user.

    b.b. [Create user](ユーザーの作成) を選択します。Select Create user.

  20. ユーザーのユーザー資格情報をダウンロードします。Download the user credentials of a user.

    このスクリーンショットは、ユーザー資格情報を取得するための [Download c s v](c s v のダウンロード) ボタンを備えた [Add user](ユーザーを追加) ページを示しています。

    a.a. ユーザーの [Access key ID][Secret access key] をコピーします。Copy the user Access key ID and Secret access key.

    b.b. これらの資格情報を Azure AD の [ユーザー プロビジョニング] セクションに入力して、AWS コンソールからロールをフェッチします。Enter these credentials into the Azure AD user provisioning section to fetch the roles from the AWS console.

    c.c. [閉じる] を選択します。Select Close.

アマゾン ウェブ サービス (AWS) でロール プロビジョニングを構成する方法How to configure role provisioning in Amazon Web Services (AWS)

  1. Azure AD 管理ポータルの AWS アプリで、 [プロビジョニング] に移動します。In the Azure AD management portal, in the AWS app, go to Provisioning.

    [プロビジョニング] が強調表示された AWS アプリのスクリーンショット

  2. アクセス キーとシークレットをそれぞれ [クライアント シークレット] フィールドと [シークレット トークン] フィールドに入力します。Enter the access key and secret in the clientsecret and Secret Token fields, respectively.

    [管理者資格情報] ダイアログ ボックスのスクリーンショット

    a.a. AWS ユーザーのアクセス キーを [clientsecret]/(clientsecret/) フィールドに入力します。Enter the AWS user access key in the clientsecret field.

    b.b. AWS ユーザー シークレットを [シークレット トークン] フィールドに入力します。Enter the AWS user secret in the Secret Token field.

    c.c. [接続テスト] を選択します。Select Test Connection.

    d.d. [保存] を選択して設定を保存します。Save the setting by selecting Save.

  3. [設定] セクションの [プロビジョニング状態][オン] を選択します。In the Settings section, for Provisioning Status, select On. 次に、 [保存] を選択します。Then select Save.

    [オン] が強調表示された [設定] セクションのスクリーンショット


プロビジョニング サービスは、AWS から Azure AD にロールをインポートするだけです。The provisioning service imports roles only from AWS to Azure AD. Azure AD のユーザーとグループが、このサービスによって AWS にプロビジョニングされることはありません。The service does not provision users and groups from Azure AD to AWS.


プロビジョニングの資格情報を保存したら、初回同期サイクルが実行されるまで待機する必要があります。After you save the provisioning credentials, you must wait for the initial sync cycle to run. 同期には通常、約 40 分かかります。Sync usually takes around 40 minutes to finish. その状態は、 [プロビジョニング] ページ下部の [現在の状態] で確認できます。You can see the status at the bottom of the Provisioning page, under Current Status.

アマゾン ウェブ サービス (AWS) テスト ユーザーの作成Create Amazon Web Services (AWS) test user

このセクションの目的は、アマゾン ウェブ サービス (AWS) で B.Simon というユーザーを作成することです。The objective of this section is to create a user called B.Simon in Amazon Web Services (AWS). アマゾン ウェブ サービス (AWS) では、SSO 用にユーザーをシステムに作成する必要がないため、ここで操作を実行する必要はありません。Amazon Web Services (AWS) doesn't need a user to be created in their system for SSO, so you don't need to perform any action here.

SSO のテストTest SSO

このセクションでは、アクセス パネルを使用して Azure AD のシングル サインオン構成をテストします。In this section, you test your Azure AD single sign-on configuration using the Access Panel.

アクセス パネルで [アマゾン ウェブ サービス (AWS)] タイルをクリックすると、SSO を設定した Amazon Web Services (AWS) アプリケーションに自動的にサインインします。When you click the Amazon Web Services (AWS) tile in the Access Panel, you should be automatically signed in to the Amazon Web Services (AWS) for which you set up SSO. アクセス パネルの詳細については、アクセス パネルの概要に関する記事を参照してください。For more information about the Access Panel, see Introduction to the Access Panel.

既知の問題Known issues

  • [プロビジョニング] セクションの [マッピング] サブセクションには、"読み込み中..." というメッセージが表示され、属性マッピングは表示されません。In the Provisioning section, the Mappings subsection shows a "Loading..." message, and never displays the attribute mappings. 現在サポートされている唯一のプロビジョニング ワークフローは、ユーザーまたはグループ割り当て時の選択のために、AWS から Azure AD にロールをインポートすることです。The only provisioning workflow supported today is the import of roles from AWS into Azure AD for selection during a user or group assignment. このための属性マッピングは事前に決定されており、構成はできません。The attribute mappings for this are predetermined, and aren't configurable.

  • [準備中] セクションでは、1 つの AWS テナントに対して、一度に 1 セットの資格情報の入力だけがサポートされています。The Provisioning section only supports entering one set of credentials for one AWS tenant at a time. インポートされたすべてのロールは、AWS テナントの Azure AD servicePrincipal オブジェクトappRoles プロパティに書き込まれます。All imported roles are written to the appRoles property of the Azure AD servicePrincipal object for the AWS tenant.

    プロビジョニングのために複数の AWS テナント (servicePrincipals によって表される) をギャラリーから Azure AD に追加できます。Multiple AWS tenants (represented by servicePrincipals) can be added to Azure AD from the gallery for provisioning. ただし、プロビジョニングに使用される複数の AWS servicePrincipals からインポートされたすべてのロールを、SSO に使用される単一の servicePrincipal に自動的に書き込むことができないという既知の問題があります。There's a known issue, however, with not being able to automatically write all of the imported roles from the multiple AWS servicePrincipals used for provisioning into the single servicePrincipal used for SSO.

    回避策として、Microsoft Graph API を使用して、プロビジョニングが構成されている各 AWS servicePrincipal にインポートされたすべての appRoles を抽出できます。As a workaround, you can use the Microsoft Graph API to extract all of the appRoles imported into each AWS servicePrincipal where provisioning is configured. その後、これらのロール文字列を、SSO が構成されている AWS servicePrincipal に追加できます。You can subsequently add these role strings to the AWS servicePrincipal where SSO is configured.

  • AWS から Azure AD へのインポート対象となるロールは、次の要件を満たす必要があります。Roles must meet the following requirements to be eligible to be imported from AWS into Azure AD:

    • ロールには、AWS で SAML プロバイダーが 1 つだけ定義されている必要があります。Roles must have exactly one saml-provider defined in AWS

その他のリソースAdditional resources