チュートリアル:Azure Active Directory とアマゾン ウェブ サービス (AWS) の統合Tutorial: Integrate Amazon Web Services (AWS) with Azure Active Directory

このチュートリアルでは、Azure Active Directory (Azure AD) とアマゾン ウェブ サービス (AWS) を統合する方法について説明します。In this tutorial, you'll learn how to integrate Amazon Web Services (AWS) with Azure Active Directory (Azure AD). Azure AD とアマゾン ウェブ サービス (AWS) を統合すると、以下を実行できます。When you integrate Amazon Web Services (AWS) with Azure AD, you can:

  • アマゾン ウェブ サービス (AWS) にアクセスできるユーザーを Azure AD で制御する。Control in Azure AD who has access to Amazon Web Services (AWS).
  • ユーザーが自分の Azure AD アカウントを使用して自動的にアマゾン ウェブ サービス (AWS) にサインインできるようにする。Enable your users to be automatically signed-in to Amazon Web Services (AWS) with their Azure AD accounts.
  • 1 つの中央サイト (Azure Portal) で自分のアカウントを管理できます。Manage your accounts in one central location - the Azure portal.

SaaS アプリと Azure AD の統合の詳細については、「Azure Active Directory でのアプリケーションへのシングル サインオン」を参照してください。To learn more about SaaS app integration with Azure AD, see What is application access and single sign-on with Azure Active Directory.

アマゾン ウェブ サービス (AWS)

次のように、複数のインスタンスに対し複数の識別子を構成できます。You can configure multiple Identifiers for multiple instances as below.

  • https://signin.aws.amazon.com/saml#1

  • https://signin.aws.amazon.com/saml#2

Azure AD はこれらの値から # の値を削除し、正しい値 https://signin.aws.amazon.com/saml を SAML トークンの Audience URL として送信します。With these values, Azure AD will remove the value of # and send the correct value https://signin.aws.amazon.com/saml as the Audience URL in the SAML Token.

次の理由により、このアプローチを使用することをお勧めします。We recommend to use this approach for the following reasons:

a.a. アプリケーションごとに独自の X509 証明書が提供されます。Each application will provide you a unique X509 certificate. AWS アプリのインスタンスごとに異なる証明書の有効期限を設定でき、それらを個別の AWS アカウントに基づいて管理できます。Each instance of AWS App instance can then have a different certificate expiry date which can be managed on an individual AWS account basis. この場合、証明書全体のロールオーバーが容易になります。Overall certificate rollover will be easier in this case.

b.b. Azure AD での AWS アプリによるユーザー プロビジョニングを有効にでき、続いてその AWS アカウントからすべてのロールを Microsoft のサービスがフェッチします。You can enable User Provisioning with AWS app in Azure AD and then our service will fetch all the roles from that AWS account. アプリでの AWS ロールの追加や更新は手動で行う必要はありません。You don’t have to manually add or update the AWS roles on the app.

c.c. Azure AD で直接アプリを管理できるアプリ所有者をアプリに対して個別に割り当てられます。You can assign the app owner individually for the app who can manage the app directly in Azure AD.

注意

必ずギャラリー アプリだけを使用してくださいMake sure you use only Gallery App

前提条件Prerequisites

開始するには、次が必要です。To get started, you need the following items:

  • Azure AD サブスクリプション。An Azure AD subscription. サブスクリプションがない場合は、無料アカウントを取得できます。If you don't have a subscription, you can get a free account.
  • アマゾン ウェブ サービス (AWS) シングル サインオン (SSO) 対応のサブスクリプション。Amazon Web Services (AWS) single sign-on (SSO) enabled subscription.

シナリオの説明Scenario description

このチュートリアルでは、テスト環境で Azure AD の SSO を構成してテストします。In this tutorial, you configure and test Azure AD SSO in a test environment. アマゾン ウェブ サービス (AWS) では、SP initiated SSO と IDP initiated SSO がサポートされます。Amazon Web Services (AWS) supports SP and IDP initiated SSO.

Azure AD への Amazon Web Services (AWS) の統合を構成するには、ギャラリーから管理対象 SaaS アプリの一覧に Amazon Web Services (AWS) を追加する必要があります。To configure the integration of Amazon Web Services (AWS) into Azure AD, you need to add Amazon Web Services (AWS) from the gallery to your list of managed SaaS apps.

  1. 職場または学校アカウントか、個人の Microsoft アカウントを使用して、Azure portal にサインインします。Sign in to the Azure portal using either a work or school account, or a personal Microsoft account.
  2. 左のナビゲーション ウィンドウで [Azure Active Directory] サービスを選択します。On the left navigation pane, select the Azure Active Directory service.
  3. [エンタープライズ アプリケーション] に移動し、 [すべてのアプリケーション] を選択します。Navigate to Enterprise Applications and then select All Applications.
  4. 新しいアプリケーションを追加するには、 [新しいアプリケーション] を選択します。To add new application, select New application.
  5. [ギャラリーから追加する] セクションで、検索ボックスに「アマゾン ウェブ サービス (AWS) 」と入力します。In the Add from the gallery section, type Amazon Web Services (AWS) in the search box.
  6. 結果パネルから [アマゾン ウェブ サービス (AWS)] を選択してそのアプリを追加します。Select Amazon Web Services (AWS) from results panel and then add the app. お使いのテナントにアプリが追加されるのを数秒待機します。Wait a few seconds while the app is added to your tenant.

Azure AD シングル サインオンの構成とテストConfigure and test Azure AD single sign-on

B.Simon というテスト ユーザーを使用して、アマゾン ウェブ サービス (AWS) に対する Azure AD SSO を構成してテストします。Configure and test Azure AD SSO with Amazon Web Services (AWS) using a test user called B.Simon. SSO が機能するために、Azure AD ユーザーとアマゾン ウェブ サービス (AWS) の関連ユーザーの間で、リンク関係を確立する必要があります。For SSO to work, you need to establish a link relationship between an Azure AD user and the related user in Amazon Web Services (AWS).

アマゾン ウェブ サービス (AWS) との Azure AD SSO を構成してテストするには、次の構成要素を完了します。To configure and test Azure AD SSO with Amazon Web Services (AWS), complete the following building blocks:

  1. Azure AD SSO の構成 - ユーザーがこの機能を使用できるようにします。Configure Azure AD SSO to enable your users to use this feature.
  2. アマゾン ウェブ サービス (AWS) の構成 - アプリケーション側で SSO 設定を構成します。Configure Amazon Web Services (AWS) to configure the SSO settings on application side.
  3. Azure AD テスト ユーザーの作成 - B.Simon で Azure AD のシングル サインオンをテストします。Create an Azure AD test user to test Azure AD single sign-on with B.Simon.
  4. Azure AD テスト ユーザーの割り当て - B.Simon が Azure AD シングル サインオンを使用できるようにします。Assign the Azure AD test user to enable B.Simon to use Azure AD single sign-on.
  5. アマゾン ウェブ サービス (AWS) テスト ユーザーの作成 - アマゾン ウェブ サービス (AWS) で B.Simon に対応するユーザーを作成し、Azure AD の B.Simon にリンクさせます。Create Amazon Web Services (AWS) test user to have a counterpart of B.Simon in Amazon Web Services (AWS) that is linked to the Azure AD representation of user.
  6. SSO のテスト - 構成が機能するかどうかを確認します。Test SSO to verify whether the configuration works.

Azure AD SSO の構成Configure Azure AD SSO

これらの手順に従って、Azure portal で Azure AD SSO を有効にします。Follow these steps to enable Azure AD SSO in the Azure portal.

  1. Azure portalアマゾン ウェブ サービス (AWS) アプリケーション統合ページで、 [管理] セクションを見つけて、 [シングル サインオン] を選択します。In the Azure portal, on the Amazon Web Services (AWS) application integration page, find the Manage section and select Single sign-on.

  2. [シングル サインオン方式の選択] ページで、 [SAML] を選択します。On the Select a Single sign-on method page, select SAML.

  3. [SAML でシングル サインオンをセットアップします] ページで、 [基本的な SAML 構成] の編集/ペン アイコンをクリックして設定を編集します。On the Set up Single Sign-On with SAML page, click the edit/pen icon for Basic SAML Configuration to edit the settings.

    基本的な SAML 構成を編集する

  4. [基本的な SAML 構成] セクションでは、アプリケーションは事前に構成されており、必要な URL は既に Azure で事前に設定されています。On the Basic SAML Configuration section, the application is pre-configured and the necessary URLs are already pre-populated with Azure. 構成を保存するには、 [保存] ボタンをクリックします。The user needs to save the configuration by clicking the Save button.

  5. 複数のインスタンスを構成している場合は、識別子の値を指定してください。When you are configuring more than one instance, please provide Identifier value. 2 番目以降のインスタンスからは、次の形式で識別子の値を指定してください。From second instance onwards, please provide Identifier value in following format. 一意の SPN 値を指定するには、 # 記号を使用してください。Please use a # sign to specify a unique SPN value.

    https://signin.aws.amazon.com/saml#2

  6. アマゾン ウェブ サービス (AWS) アプリケーションでは、特定の形式の SAML アサーションが使用されるため、カスタム属性のマッピングを SAML トークン属性の構成に追加する必要があります。Amazon Web Services (AWS) application expects the SAML assertions in a specific format, which requires you to add custom attribute mappings to your SAML token attributes configuration. 次のスクリーンショットには、既定の属性一覧が示されています。The following screenshot shows the list of default attributes.  [編集]   アイコンをクリックして、[ユーザー属性] ダイアログを開きます。Click Edit icon to open User Attributes dialog.

    image

  7. その他に、アマゾン ウェブ サービス (AWS) アプリケーションでは、いくつかの属性が SAML 応答で返されることが想定されています。In addition to above, Amazon Web Services (AWS) application expects few more attributes to be passed back in SAML response. [ユーザー属性] ダイアログの [ユーザー要求] セクションで、以下の手順を実行して、以下の表のように SAML トークン属性を追加します。In the User Claims section on the User Attributes dialog, perform the following steps to add SAML token attribute as shown in the below table:

    NameName ソース属性Source Attribute 名前空間Namespace
    RoleSessionNameRoleSessionName user.userprincipalnameuser.userprincipalname https://aws.amazon.com/SAML/Attributes
    RoleRole user.assignedrolesuser.assignedroles https://aws.amazon.com/SAML/Attributes
    SessionDurationSessionDuration 「900 秒 (15 分) から43200 秒 (12 時間) の値を指定してください」"provide a value between 900 seconds (15 minutes) to 43200 seconds (12 hours)" https://aws.amazon.com/SAML/Attributes

    a.a. [新しい要求の追加] をクリックして [ユーザー要求の管理] ダイアログを開きます。Click Add new claim to open the Manage user claims dialog.

    image

    image

    b.b. [名前] ボックスに、その行に対して表示される属性名を入力します。In the Name textbox, type the attribute name shown for that row.

    c.c. [名前空間] ボックスに、その行に表示される名前空間の値を入力します。In the Namespace textbox, type the Namespace value shown for that row.

    d.d. [ソース] として [属性] を選択します。Select Source as Attribute.

    e.e. [ソース属性] の一覧から、その行に表示される属性値を入力します。From the Source attribute list, type the attribute value shown for that row.

    f.f. [OK] をクリックします。Click Ok

    g.g. [Save] をクリックします。Click Save.

  8. [SAML でシングル サインオンをセットアップします] ページの [SAML 署名証明書] セクションで、 [フェデレーション メタデータ XML] を探して [ダウンロード] を選択し、証明書をダウンロードしてコンピューターに保存します。On the Set up Single Sign-On with SAML page, in the SAML Signing Certificate section, find Federation Metadata XML and select Download to download the certificate and save it on your computer.

    証明書のダウンロードのリンク

  9. [アマゾン ウェブ サービス (AWS) のセットアップ] セクションで、要件に基づく適切な URL をコピーします。On the Set up Amazon Web Services (AWS) section, copy the appropriate URL(s) based on your requirement.

    構成 URL のコピー

アマゾン ウェブ サービス (AWS) を構成するConfigure Amazon Web Services (AWS)

  1. 別の Web ブラウザーのウィンドウで、管理者として Amazon Web Services (AWS) 企業サイトにサインオンします。In a different browser window, sign-on to your Amazon Web Services (AWS) company site as administrator.

  2. [AWS Home] をクリックします。Click AWS Home.

    シングル サインオン ホームの構成

  3. [Identity and Access Management] をクリックします。Click Identity and Access Management.

    シングル サインオン ID の構成

  4. [Identity Providers][Create Provider] の順にクリックします。Click Identity Providers, and then click Create Provider.

    シングル サインオン プロバイダーの構成

  5. [Configure Provider] ダイアログ ページで、次の手順を実行します。On the Configure Provider dialog page, perform the following steps:

    シングル サインオンの構成ダイアログ

    a.a. [Provider Type] として [SAML] を選択します。As Provider Type, select SAML.

    b.b. [Provider Name](プロバイダー名) ボックスにプロバイダー名を入力します (例: WAAD)。In the Provider Name textbox, type a provider name (for example: WAAD).

    c.c. Azure Portal からダウンロードしたメタデータ ファイルをアップロードするには、 [ファイルの選択] をクリックします。To upload your downloaded metadata file from Azure portal, click Choose File.

    d.d. ページの下部にある [Next Step] 」を参照してください。Click Next Step.

  6. [Verify Provider Information] ダイアログ ボックスで、 [Create] をクリックします。On the Verify Provider Information dialog page, click Create.

    シングル サインオンの検証の構成

  7. [Roles] をクリックしてから [Create role] をクリックします。Click Roles, and then click Create role.

    シングル サインオン ロールの構成

  8. [Create role] ページで、以下の手順を実行します。On the Create role page, perform the following steps:

    シングル サインオンの信頼の構成

    a.a. [Select type of trusted entity][SAML 2.0 federation] を選択します。Select SAML 2.0 federation under Select type of trusted entity.

    b.b. [Choose a SAML 2.0 Provider](SAML 2.0 プロバイダーの選択) セクションで、先ほど作成した SAML プロバイダーを選択します (例: WAAD)Under Choose a SAML 2.0 Provider section, select the SAML provider you have created previously (for example: WAAD)

    c.c. [Allow programmatic and AWS Management Console access] を選択します。Select Allow programmatic and AWS Management Console access.

    d.d. [次へ: Permissions](次へ: アクセス許可) をクリックします。Click Next: Permissions.

  9. [Attach Permissions Policies](アクセス許可ポリシーのアタッチ) ダイアログで、組織の規定に準拠した適切なポリシーを添付します。On the Attach Permissions Policies dialog, please attach appropriate policy as per your organization. 次へ: 確認) をクリックします。Click Next: Review.

    シングル サインオン ポリシーの構成

  10. [Review] ダイアログで、次の手順を実行します。On the Review dialog, perform the following steps:

    シングル サインオンの構成の確認

    a.a. [Role name] テキストボックスに自分のロール名を入力します。In the Role name textbox, enter your Role name.

    b.b. [Role description] ボックスに説明を入力しますIn the Role description textbox, enter the description.

    c.c. [Create Role] をクリックします。Click Create Role.

    d.d. 必要な数の役割ロールを作成し、それらを ID プロバイダーにマップします。Create as many roles as needed and map them to the Identity Provider.

  11. Azure AD ユーザー プロビジョニングの AWS アカウントからロールをフェッチするには、AWS サービス アカウントの資格情報を使用します。Use AWS service account credentials for fetching the roles from AWS account in Azure AD User Provisioning. そのためには、AWS コンソール ホームを開きます。For this, open the AWS console home.

  12. [Services] -> [Security, Identity& Compliance] -> [IAM] をクリックします。Click on Services -> Security, Identity& Compliance -> IAM.

    AWS アカウントからのロールのフェッチ

  13. [IAM] セクションで [Policies] タブを選択します。Select the Policies tab in the IAM section.

    AWS アカウントからのロールのフェッチ

  14. AWS アカウントからロールを取得するために、Azure AD User Provisioning で [Create policy] をクリックして新しいポリシーを作成します。Create a new policy by clicking on Create policy for fetching the roles from AWS account in Azure AD User Provisioning.

    新しいポリシーの作成

  15. 以下の手順を実行して、AWS アカウントからすべてのロールをフェッチする独自のポリシーを作成します。Create your own policy to fetch all the roles from AWS accounts by performing the following steps:

    新しいポリシーの作成

    a.a. [ポリシーの作成] セクションで、 [JSON] タブをクリックします。In the “Create policy” section click on “JSON” tab.

    b.b. ポリシー ドキュメントで、次の JSON を追加します。In the policy document, add the below JSON.

    {
        "Version": "2012-10-17",
        "Statement": [
            {
                "Effect": "Allow",
                "Action": [
                "iam:ListRoles"
                ],
                "Resource": "*"
            }
        ]
    }
    

    c.c. [ポリシーの確認] ボタンをクリックして、ポリシーを検証します。Click on Review Policy button to validate the policy.

    新しいポリシーの定義

  16. 以下の手順を実行して新しいポリシーを定義します。Define the new policy by performing the following steps:

    新しいポリシーの定義

    a.a. [Policy Name] として AzureAD_SSOUserRole_Policy を指定します。Provide the Policy Name as AzureAD_SSOUserRole_Policy.

    b.b. ポリシーの [Description] には、「This policy will allow to fetch the roles from AWS accounts」を指定できます。You can provide Description to the policy as This policy will allow to fetch the roles from AWS accounts.

    c.c. [ポリシーの作成] ボタンをクリックします。Click on “Create Policy” button.

  17. 次の手順を実行して、AWS IAM サービスで新しいユーザー アカウントを作成します。Create a new user account in the AWS IAM Service by performing the following steps:

    a.a. AWS IAM コンソールで [Users] ナビゲーションをクリックします。Click on Users navigation in the AWS IAM console.

    新しいポリシーの定義

    b.b. [Add user] をクリックして新しいユーザーを作成します。Click on Add user button to create a new user.

    ユーザーの追加

    c.c. [Add user] セクションで、次の手順を実行します。In the Add user section, perform the following steps:

    ユーザーの追加

    • ユーザー名として「AzureADRoleManager」を入力します。Enter the user name as AzureADRoleManager.

    • [Access type] で [Programmatic access] オプションを選択します。In the Access type, select the Programmatic access option. こうすると、ユーザーは API を呼び出し、AWS アカウントからロールをフェッチできます。This way the user can invoke the APIs and fetch the roles from AWS account.

    • 右下隅の [Next Permissions] をクリックします。Click on the Next Permissions button in the bottom right corner.

  18. ここで、次の手順を実行して、このユーザーの新しいポリシーを作成します。Now create a new policy for this user by performing the following steps:

    ユーザーの追加

    a.a. [Attach existing policies directly] をクリックします。Click on the Attach existing policies directly button.

    b.b. [フィルター] セクションで、新しく作成されたポリシー AzureAD_SSOUserRole_Policy を検索します。Search for the newly created policy in the filter section AzureAD_SSOUserRole_Policy.

    c.c. ポリシーを選択し、 [Next: Review](次へ: 確認) をクリックします。Select the policy and then click on the Next: Review button.

  19. 次の手順を実行して、接続されたユーザーに対するポリシーを確認します。Review the policy to the attached user by performing following steps:

    ユーザーの追加

    a.a. ユーザー名、アクセスの種類、ユーザーにマップされているポリシーを確認します。Review the user name, access type, and policy mapped to the user.

    b.b. 右下隅にある [Create user] をクリックしてユーザーを作成します。Click on the Create user button at the bottom right corner to create the user.

  20. 次の手順を実行して、ユーザーのユーザー資格情報をダウンロードします。Download the user credentials of a user by performing following steps:

    ユーザーの追加

    a.a. ユーザーの [Access key ID][Secret access key] をコピーします。Copy the user Access key ID and Secret access key.

    b.b. これらの資格情報を Azure AD の [ユーザー プロビジョニング] セクションに入力して、AWS コンソールからロールをフェッチします。Enter these credentials into Azure AD user provisioning section to fetch the roles from AWS console.

    c.c. 下部にある [Close] をクリックします。Click on Close button at the bottom.

  21. Azure AD 管理ポータルでアマゾン ウェブ サービス アプリの [ユーザー プロビジョニング] セクションに移動します。Navigate to User Provisioning section of Amazon Web Services app in Azure AD Management Portal.

    ユーザーの追加

  22. アクセス キーシークレットをそれぞれ [クライアント シークレット] フィールドと [シークレット トークン] フィールドに入力します。Enter the Access Key and Secret in the Client Secret and Secret Token field respectively.

    ユーザーの追加

    a.a. AWS ユーザーのアクセス キーを [clientsecret]/(clientsecret/) フィールドに入力します。Enter the AWS user access key in the clientsecret field.

    b.b. AWS ユーザー シークレットを [シークレット トークン] フィールドに入力します。Enter the AWS user secret in the Secret Token field.

    c.c. [テスト接続] をクリックすると、この接続を正常にテストできます。Click on the Test Connection button and you should able to successfully test this connection.

    d.d. 上部にある [保存] をクリックして、設定を保存します。Save the setting by clicking on the Save button at the top.

  23. スイッチをオンにしてから上部の [保存] をクリックして、[設定] セクションで [プロビジョニングの状態] を [オン] にします。Now make sure that you enable the Provisioning Status On in the Settings section by making the switch on and then clicking on the Save button at the top.

    ユーザーの追加

Azure AD のテスト ユーザーの作成Create an Azure AD test user

このセクションでは、Azure portal で B.Simon というテスト ユーザーを作成します。In this section, you'll create a test user in the Azure portal called B.Simon.

  1. Azure portal の左側のウィンドウから、 [Azure Active Directory][ユーザー][すべてのユーザー] の順に選択します。From the left pane in the Azure portal, select Azure Active Directory, select Users, and then select All users.
  2. 画面の上部にある [新しいユーザー] を選択します。Select New user at the top of the screen.
  3. [ユーザー] プロパティで、以下の手順を実行します。In the User properties, follow these steps:
    1. [名前] フィールドに「B.Simon」と入力します。In the Name field, enter B.Simon.
    2. [ユーザー名] フィールドに「username@companydomain.extension」と入力します。In the User name field, enter the username@companydomain.extension. たとえば、「 B.Simon@contoso.com 」のように入力します。For example, B.Simon@contoso.com.
    3. [パスワードを表示] チェック ボックスをオンにし、 [パスワード] ボックスに表示された値を書き留めます。Select the Show password check box, and then write down the value that's displayed in the Password box.
    4. Create をクリックしてください。Click Create.

Azure AD テスト ユーザーの割り当てAssign the Azure AD test user

このセクションでは、B.Simon にアマゾン ウェブ サービス (AWS) へのアクセスを許可することで、このユーザーが Azure シングル サインオンを使用できるようにします。In this section, you'll enable B.Simon to use Azure single sign-on by granting access to Amazon Web Services (AWS).

  1. Azure portal で [エンタープライズ アプリケーション] を選択し、 [すべてのアプリケーション] を選択します。In the Azure portal, select Enterprise Applications, and then select All applications.

  2. アプリケーションの一覧で、 [Amazon Web Services (AWS)] を選択します。In the applications list, select Amazon Web Services (AWS).

  3. アプリの概要ページで、 [管理] セクションを見つけて、 [ユーザーとグループ] を選択します。In the app's overview page, find the Manage section and select Users and groups.

    [ユーザーとグループ] リンク

  4. [ユーザーの追加] を選択し、 [割り当ての追加] ダイアログで [ユーザーとグループ] を選択します。Select Add user, then select Users and groups in the Add Assignment dialog.

    [ユーザーの追加] リンク

  5. [ユーザーとグループ] ダイアログの [ユーザー] の一覧から [B.Simon] を選択し、画面の下部にある [選択] ボタンをクリックします。In the Users and groups dialog, select B.Simon from the Users list, then click the Select button at the bottom of the screen.

  6. SAML アサーション内に任意のロール値が必要な場合、 [ロールの選択] ダイアログでユーザーに適したロールを一覧から選択し、画面の下部にある [選択] をクリックします。If you're expecting any role value in the SAML assertion, in the Select Role dialog, select the appropriate role for the user from the list and then click the Select button at the bottom of the screen.

  7. [割り当ての追加] ダイアログで、 [割り当て] をクリックします。In the Add Assignment dialog, click the Assign button.

アマゾン ウェブ サービス (AWS) テスト ユーザーの作成Create Amazon Web Services (AWS) test user

このセクションの目的は、アマゾン ウェブ サービス (AWS) で B.Simon というユーザーを作成することです。The objective of this section is to create a user called B.Simon in Amazon Web Services (AWS). アマゾン ウェブ サービス (AWS) では、SSO 用にユーザーをシステムに作成する必要がないため、ここで操作を実行する必要はありません。Amazon Web Services (AWS) doesn't need a user to be created in their system for SSO, so you don't need to perform any action here.

SSO のテストTest SSO

アクセス パネルで [アマゾン ウェブ サービス (AWS)] タイルを選択すると、SSO を設定したアマゾン ウェブ サービス (AWS) アプリケーションに自動的にサインインします。When you select the Amazon Web Services (AWS) tile in the Access Panel, you should be automatically signed in to the Amazon Web Services (AWS) for which you set up SSO. アクセス パネルの詳細については、アクセス パネルの概要に関する記事を参照してください。For more information about the Access Panel, see Introduction to the Access Panel.

既知の問題Known issues

  • [準備中] セクションの [マッピング] サブセクションには、"読み込み中..." というメッセージが表示され、属性マッピングは表示されません。In the Provisioning section, the Mappings sub-section will show a "Loading..." message and never display the attribute mappings. 現在サポートされている唯一のプロビジョニング ワークフローは、ユーザー/グループ割り当て時の選択のために、AWS から Azure AD にロールをインポートすることです。The only provisioning workflow supported today is the import of roles from AWS into Azure AD for selection during user/group assignment. このための属性マッピングは事前に決定されており、構成はできません。The attribute mappings for this are predetermined and not configurable.

  • [準備中] セクションでは、1 つの AWS テナントに対して、一度に 1 セットの資格情報の入力だけがサポートされています。The Provisioning section only supports entering one set of credentials for one AWS tenant at a time. インポートされたすべてのロールは、AWS テナントの Azure AD servicePrincipal オブジェクトの appRoles プロパティに書き込まれます。All imported roles are written to the appRoles property of the Azure AD servicePrincipal object for the AWS tenant. プロビジョニングのために、ギャラリーから Azure AD に複数の AWS テナント (servicePrincipals で表される) を追加できますが、プロビジョニングのために使用される複数の AWS servicePrincipals からインポートされたすべてのロールを、シングル サインオンに使用される単一の servicePrincipal に自動的に書き込むことができないという既知の問題があります。Multiple AWS tenants (represented by servicePrincipals) can be added to Azure AD from the gallery for provisioning, however there is a known issue with not being able to automatically write all of the imported roles from the multiple AWS servicePrincipals used for provisioning into the single servicePrincipal used for single sign-on. 回避策として、Microsoft Graph API を使用して、プロビジョニングが構成されている各 AWS servicePrincipal にインポートされたすべての appRole を抽出できます。As a workaround, the Microsoft Graph API can be used to extract all of the appRoles imported into each AWS servicePrincipal where provisioning is configured. これらのロール文字列は、後で、シングル サインオンが構成されている AWS servicePrincipal に追加できます。These role strings can be subsequently added to the AWS servicePrincipal where single sign-on is configured.

その他のリソースAdditional Resources