投稿日: Dec 15, 2020
ID ソースとして Microsoft Active Directory (AD) をお使いのお客様が、 AWS Single Sign-On (SSO) でユーザー情報だけでなくグループも同期できるようになりました。AD のユーザーとグループも管理できるようになったため、AWS SSO で AD と同期することで、AWS アカウントとアプリケーションでも、同じ方法でこの情報にアクセスできるようになりました。AWS SSO に統合されたアプリケーションから AD のユーザーとグループにアクセスできるようになり、検索や共有、またはダッシュボードなどのアプリケーションリソースへのきめ細かなアクセス制御のような、コラボレーションエクスペリエンスを向上させられます。AD に対してユーザーとグループの変更を行うと、AWS SSO に自動的に反映されるので、AWS での ID 管理の労力を削減できます。
AWS SSO は、AWS アカウントやアプリケーションへのアクセスを割り当てたユーザーとグループのみ同期します。定期的に同期を行うため、ユーザーとグループ、および属性情報の一覧は最新状態に保たれます。また、AD から削除したユーザーとグループは削除されるので、AWS での個人を特定可能な情報は最小限にできます。また、AWS SSO はジャストインタイム (JIT) な同期を実装しており、ユーザー属性を最後に認証された時点の状態に保ちます。これにより、属性をベースとしたアクセス制御が期待通りに動作します。AWS SSO コンソールから管理者がユーザーとグループを見ることができます。また、AWS SSO に統合されたアプリケーションがグループを有効にしている場合は、そのユーザーは同期されたグループを検索して、一緒に作業することができます。例えば、AWS System Manager Change Manager からの変更リクエストを承認するグループとして、AD のグループを割り当てることができるようになりました。
AWS SSO の AD 同期機能は、AWS SSO がサポートしているすべてのリージョンで利用可能です。AD 同期はは追加料金なしで利用でき、AWS Directory Service ソリューションにシングルサインオンが組み込まれていれば、デフォルトでオンになっています。AWS SSO または AD 同期について詳しくは、AWS Single Sign-On ユーザーガイド またはMicrosoft AD ディレクトリへの接続をご覧ください。