0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

AWS IAM Identity Center に外部 IdP から自動プロビジョニングするための SCIM トークンを有効期限が切れる前にローテーションする(Entra ID 編)

Posted at

IAMIdentityCenter.drawio.png

AWS IAM Identity Center では、Microsoft Entra ID のような外部 ID Provider (IdP) と連携し、ユーザーとグループを自動プロビジョニングすることができます。

このとき使われるのは SCIM (System for Cross-domain Identity Management) というクロスドメインアイデンティティ管理システムのプロトコルで、IAM Identity Center では SCIM v2.0 プロトコルに対応しています。

IAM アイデンティティセンターは、クロスドメインアイデンティティ管理システム (SCIM) v2.0 プロトコルを使用して、ID プロバイダー (IdP) から IAM アイデンティティセンターへのユーザーおよびグループ情報の自動プロビジョニング (同期化) をサポートしています。SCIM 同期を設定すると、ID プロバイダー (IdP) のユーザー属性と IAM アイデンティティセンターの名前付き属性のマッピングが作成されます。これにより、IAM アイデンティティセンターとお客様の IdP の間で、期待される属性が一致します。この接続を IdP で設定するには、IAM アイデンティティセンター用の SCIM エンドポイントと IAM アイデンティティセンターで作成したベアラートークンを使用します。

IAM Identity Center で作成した SCIM エンドポイントと SCIM ベアラートークン(以下「SCIM トークン」とします)を外部 IdP に渡すことで、外部 IdP から IAM Identity Center への自動プロビジョニングを設定できるのですが、このうち SCIM トークンの有効期限は 1 年間となっており、有効期限が切れてしまうと自動プロビジョニングができなくなってしまいます。

自分の AWS 環境は、Entra ID と IAM Identity Center で自動プロビジョニングを設定しているのですが、設定している SCIM トークンの有効期限が近づいたため、AWS から「[Action required] AWS IAM Identity Center (successor to AWS Single Sign-On) SCIM Access Token Approaching Expiration.」という通知が来ました。

スクリーンショット 2025-09-06 8.30.16.png

そのため、SCIM トークンのローテーションを行い、来年また作業する際の備忘録として手順を残しておくことにします。

なお、Entra ID に設定した SCIM のローテーションの手順は、クラスメソッドさんのブログを参考にしました。

IAM Identity Center で SCIM トークンの再生成

Organizations の管理者アカウントで IAM Identity Center へアクセスすると、SCIM トークンの有効期限についてアラートが表示されているので、「トークンを管理」へ進みます。

スクリーンショット 2025-09-06 7.53.28.png

現在のアクセストークンの一覧が表示されているのを確認し、「トークンを生成」します。

スクリーンショット 2025-09-06 7.55.40.png

SCIM トークンの文字列が画面に表示されるので、これをコピーしておきます。文字列は再度表示できないので、もし画面を閉じてしまったら一度 SCIM トークンを削除して再度作成する必要があるので注意しましょう。

スクリーンショット 2025-09-06 8.08.42.png

新しい有効期限の SCIM トークンが作成されていることが確認できたら、IAM Identity 側の設定は完了です。作成した SCIM トークンの文字列をコピーしたまま、Entra ID 管理センターの作業に移ります。

スクリーンショット 2025-09-06 8.09.38.png

Entra ID のプロビジョニング設定

Entra ID 管理センターから「エンタープライズアプリ」にある「AWS IAM Identity Center (successor to AWS Single Sign-On)」を開きます。

スクリーンショット 2025-09-06 8.03.12.png

「管理」の「プロビジョニング」を開きます。

スクリーンショット 2025-09-06 8.04.24.png

概要が表示されるので、さらに「プロビジョニング」に進みます。

スクリーンショット 2025-09-06 8.07.01.png

「管理者資格情報」を展開すると表示される「シークレットトークン」のフォームに、IAM Identity Center で生成した SCIM トークンの文字列をペーストし、「テスト接続」を実行します。

スクリーンショット 2025-09-06 8.10.14.png

正しく SCIM トークンが設定されていると、テストに成功したメッセージが表示されます。

スクリーンショット 2025-09-06 8.12.16.png

テストに成功したら「保存」して変更を確定します。

スクリーンショット 2025-09-06 8.10.14のコピー.png

SCIM トークンの設定の更新が成功したメッセージが表示されます。

スクリーンショット 2025-09-06 8.12.57.png

プロビジョニングが同期されていることが確認できれば Entra ID 側の作業も完了です。

スクリーンショット 2025-09-06 12.50.20.png

古い SCIM トークンの削除

新しい SCIM トークンで自動プロビジョニングが同期していることを確認できたら、IAM Identity Center に戻り、古い SCIM トークンを削除します。

スクリーンショット 2025-09-06 13.01.55.png

以上で IAM Identity Center に Entra ID から自動プロビジョニングを設定するのに使用している SCIM トークンのローテーションの完了です。

IAM Identity Center を外部 IdP と連携して自動プロビジョニングさせる設定方法について

IAM Identity Center に Entra ID から自動プロビジョニングする設定について興味があれば、以下の記事に手順をまとめていますので参考にしてください。

0
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?