Entra IDと AWS IAM Identity Center を連携することで、Entra IDで管理しているユーザー・グループをAWSに自動同期し、SSO(シングルサインオン)やアクセス制御が実現できます。ここでは、SCIM連携による ユーザー/グループのプロビジョニング と、SAML連携によるSSO構成 の流れを紹介します。
🔄 Entra ID × AWS IAM Identity Center 連携の全体フロー
- AWS側:IAM Identity CenterでSCIMプロビジョニングを有効化
- AWS側:SCIMエンドポイントURLとトークンを取得
- Entra ID側:AWSアプリを登録(エンタープライズアプリ)
- SSO設定:SAML連携を設定
- SCIMプロビジョニング設定:SCIM連携を設定
- ユーザー/グループ割り当てを設定
- 同期・ログイン確認
🔧 ステップごとの詳細
① AWS IAM Identity Center 側設定
- AWSマネジメントコンソールへログイン
- サービス「IAM Identity Center」 > 「設定」 > 「プロビジョニング」
- プロビジョニング方式を SCIM に変更
- 表示される「SCIMエンドポイント URL」と「アクセストークン」をコピー
※後ほどEntra ID側で使います。
② Entra ID 側:エンタープライズアプリの作成
- Entra 管理センター にアクセス
- [エンタープライズ アプリケーション] > [+ 新しいアプリケーション]
- 「AWS IAM Identity Center」で検索し、テンプレートを使って作成
③ SAML SSO構成(シングルサインオン)
- Entra アプリの「シングルサインオン」メニューへ
- SAMLを選択し、以下を設定:
| 項目 | 値(AWSで発行されたSAML設定値を使う) |
|---|---|
| IDプロバイダーのURL | AWSのSAMLメタデータ |
| Entity ID、ACS URL | AWSが提示する値 |
- ダウンロードした SAML証明書(Base64)をAWS側にアップロード
④ SCIM プロビジョニング設定
- Entra アプリの「プロビジョニング」メニューへ
- プロビジョニング方法を「自動」に設定
- 以下を設定:
| 項目 | 内容 |
|---|---|
| テナントURL | AWSから取得したSCIMエンドポイント |
| シークレットトークン | AWSから取得したSCIMトークン |
- 「テスト接続」で疎通確認 → 成功したら保存
⑤ ユーザー・グループの割り当て
- Entra アプリの「ユーザーとグループ」へ移動
- 必要なユーザーやグループを割り当て
※これにより、Entra IDに登録されているユーザー/グループが、AWS IAM Identity Centerに自動作成されるようになります。
⑥ 同期と動作確認
- 数分〜数十分後に、自動同期が行われ、AWS IAM Identity Center側にユーザー/グループが作成される
- ユーザーが https://myapplications.microsoft.com や AWS のユーザーポータルからログインできるか確認
✅ メリット
- ユーザー管理をEntra IDで一元化
- 退職・異動に応じた自動ユーザー削除・更新
- AWSのマルチアカウント環境に柔軟に対応可能