SAMLジャストインタイム・アイデンティティ・プロバイダの追加
IAMでアイデンティティ・ドメインにジャストインタイム(JIT)プロビジョニングを使用するSAMLアイデンティティ・プロバイダ(IdP)を設定します。
- アイデンティティ・ドメインに移動し、ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」をクリックします。「アイデンティティ」で、「ドメイン」をクリックします。
- 作業するアイデンティティ・ドメインの名前をクリックします。必要なドメインを見つけるには、コンパートメントの変更が必要になる場合があります。次に、「セキュリティ」、「アイデンティティ・プロバイダ」の順にクリックします。
- アイデンティティ・プロバイダの名前をクリックします。
- 詳細ページで、「JITの構成」をクリックします。
- 「Just-in-Time (JIT)プロビジョニングの有効化」を選択します。
-
次のいずれかのオプションを選択します。
- 新規アイデンティティ・ドメイン・ユーザーの作成: アイデンティティ・プロバイダとのサインイン時にユーザーが存在しない場合は、アイデンティティ・ドメインにアイデンティティ・ユーザーを作成します。
- 既存のアイデンティティ・ドメイン・ユーザーの更新: マップされたIdPからアイデンティティ・ドメイン・ユーザー・アカウント・データをマージして上書きします。既存のデータは、IdPのユーザー・データによって上書きされます。
ノート
JITを有効にするには、次のいずれかのオプションを選択する必要があります。 -
「ユーザー属性のマップ」領域で、IdPのユーザー・アカウントをアイデンティティ・ドメインのユーザー・アカウントにマップします。
-
IdPユーザー属性タイプ行で値を選択します。
- 「属性」を選択した場合は、IdPユーザー属性名を入力します。
- NameIDを選択した場合、IdPユーザー属性名を入力する必要はありません。
- (オプション)アイデンティティ・ドメイン・ユーザー属性を選択します。
- (オプション)アイデンティティ・ドメイン属性を追加します。
-
IdPユーザー属性タイプ行で値を選択します。
-
グループ・マッピングを有効にするには、「グループ・マッピングの割当て」をクリックします。
ノート
グループ・マッピングを有効にする場合は、次のステップに進みます。そうでない場合は、ステップXXXに進みます。 - 「グループ・メンバーシップ属性名」に、グループ・メンバーシップが含まれるIdP属性名を入力します。
-
グループ設定をインポートするには、次のいずれかのオプションを選択します。
- 明示的なグループ・マッピングの定義: このオプションでは、IdPとアイデンティティ・ドメイン間でマップするグループ名を指定する必要があります。このオプションを選択する場合は、IdPグループ名を入力し、使用可能なアイデンティティ・ドメイン・グループ名を選択します。
- 暗黙的なグループ・マッピングの割当て: このオプションは、IdPグループを同じ名前のアイデンティティ・ドメイン・グループにマップします。その他のアクションは必要ありません。
- (オプション)アイデンティティ・ドメインからグループ・メンバーシップを割り当てるには、「ドメイン・グループ・メンバーシップの割当て」を選択し、次のステップを実行します:
- 「グループの追加」をクリックします。
- 追加するグループを選択し、「グループの追加」をクリックします。
-
「割当てルール」で、グループ・メンバーを割り当てるときに実行するアクションを指定します:
- ユーザーが既存のグループに割り当てられている場合は、既存のグループ・メンバーシップとマージするか、既存のグループ・メンバーシップを置換するかを選択します。
-
グループが見つからない場合は、次のいずれかのアクションを実行することを選択します。
- 欠落しているグループを無視: ユーザーは正常にサインインしました。
- リクエスト全体の失敗: サインインの試行は失敗します。
- 「変更の保存」をクリックします。