AWS IAM Identity Center では、Microsoft Entra ID のような外部 ID Provider (IdP) と連携し、ユーザーとグループを自動プロビジョニングすることができます。
このとき使われるのは SCIM (System for Cross-domain Identity Management) というクロスドメインアイデンティティ管理システムのプロトコルで、IAM Identity Center では SCIM v2.0 プロトコルに対応しています。
IAM アイデンティティセンターは、クロスドメインアイデンティティ管理システム (SCIM) v2.0 プロトコルを使用して、ID プロバイダー (IdP) から IAM アイデンティティセンターへのユーザーおよびグループ情報の自動プロビジョニング (同期化) をサポートしています。SCIM 同期を設定すると、ID プロバイダー (IdP) のユーザー属性と IAM アイデンティティセンターの名前付き属性のマッピングが作成されます。これにより、IAM アイデンティティセンターとお客様の IdP の間で、期待される属性が一致します。この接続を IdP で設定するには、IAM アイデンティティセンター用の SCIM エンドポイントと IAM アイデンティティセンターで作成したベアラートークンを使用します。
IAM Identity Center で作成した SCIM エンドポイントと SCIM ベアラートークン(以下「SCIM トークン」とします)を外部 IdP に渡すことで、外部 IdP から IAM Identity Center への自動プロビジョニングを設定できるのですが、このうち SCIM トークンの有効期限は 1 年間となっており、有効期限が切れてしまうと自動プロビジョニングができなくなってしまいます。
自分の AWS 環境は、Entra ID と IAM Identity Center で自動プロビジョニングを設定しているのですが、設定している SCIM トークンの有効期限が近づいたため、AWS から「[Action required] AWS IAM Identity Center (successor to AWS Single Sign-On) SCIM Access Token Approaching Expiration.」という通知が来ました。
そのため、SCIM トークンのローテーションを行い、来年また作業する際の備忘録として手順を残しておくことにします。
なお、Entra ID に設定した SCIM のローテーションの手順は、クラスメソッドさんのブログを参考にしました。
IAM Identity Center で SCIM トークンの再生成
Organizations の管理者アカウントで IAM Identity Center へアクセスすると、SCIM トークンの有効期限についてアラートが表示されているので、「トークンを管理」へ進みます。
現在のアクセストークンの一覧が表示されているのを確認し、「トークンを生成」します。
SCIM トークンの文字列が画面に表示されるので、これをコピーしておきます。文字列は再度表示できないので、もし画面を閉じてしまったら一度 SCIM トークンを削除して再度作成する必要があるので注意しましょう。
新しい有効期限の SCIM トークンが作成されていることが確認できたら、IAM Identity 側の設定は完了です。作成した SCIM トークンの文字列をコピーしたまま、Entra ID 管理センターの作業に移ります。
Entra ID のプロビジョニング設定
Entra ID 管理センターから「エンタープライズアプリ」にある「AWS IAM Identity Center (successor to AWS Single Sign-On)」を開きます。
「管理」の「プロビジョニング」を開きます。
概要が表示されるので、さらに「プロビジョニング」に進みます。
「管理者資格情報」を展開すると表示される「シークレットトークン」のフォームに、IAM Identity Center で生成した SCIM トークンの文字列をペーストし、「テスト接続」を実行します。
正しく SCIM トークンが設定されていると、テストに成功したメッセージが表示されます。
テストに成功したら「保存」して変更を確定します。
SCIM トークンの設定の更新が成功したメッセージが表示されます。
プロビジョニングが同期されていることが確認できれば Entra ID 側の作業も完了です。
古い SCIM トークンの削除
新しい SCIM トークンで自動プロビジョニングが同期していることを確認できたら、IAM Identity Center に戻り、古い SCIM トークンを削除します。
以上で IAM Identity Center に Entra ID から自動プロビジョニングを設定するのに使用している SCIM トークンのローテーションの完了です。
IAM Identity Center を外部 IdP と連携して自動プロビジョニングさせる設定方法について
IAM Identity Center に Entra ID から自動プロビジョニングする設定について興味があれば、以下の記事に手順をまとめていますので参考にしてください。