AWS IAM Identity Centerで手動プロビジョニングから自動プロビジョニングに切り替えた際のユーザー属性情報の更新を確認してみた

AWS IAM Identity Center のアイデンティティソースが Azure AD の環境において、手動プロビジョニングから自動プロビジョニングに変更した際の動作が気になったので試してみました。

結論としては、手動プロビジョニングで作成したユーザーの属性情報は自動プロビジョニングにより上書きされました。

試してみた

はじめに手動プロビジョニングで AWS アクセスポータルにサインインできることを確認した後に、自動プロビジョニングに変更してみます。

手動プロビジョニングでアクセス

アイデンティティソースを Azure AD とした状態で、手動プロビジョニングで次のユーザーを作成して試してみます。役職 / タイトルと部署は後で自動プロビジョニングに変更した際の動作を確認したいことから、意図的に異なる値としています。

項目名	Azure AD ユーザー	AWS IAM Identity Center ユーザー
ユーザー名	example-user@example.net	example-user@example.net
名前 / 表示名	Example User	Example User
名	Example	Example
性	User	User
役職 / タイトル	Manager	Staff
部署 / 部	Development	-（設定しない）
所属グループ	example-group	-（グループは作成しない）

Azure AD のユーザー設定です。ドメイン名は上記の表の例示とは異なる値です。

また、AWS IAM Identity Center を登録しているエンタープライズアプリケーションには、ユーザーExample Userが所属するグループexample-groupを対象として設定しています。

AWS IAM Identity Center のユーザー設定です。ドメイン名は Azure AD の設定と同じ値です。

AWS アクセスポータルにアクセスしてみます。

Microsoft アカウントの認証画面が表示されるため、作成したユーザーExample Userで認証します。

認証後に AWS アクセスポータルにアクセスできました。なお、Example Userには 1 つのアカウントへの読み取り権限を持つアクセス許可セットReadOnlyAccessを関連付けています。

話が逸れる参考情報となりますが、手動プロビジョニングにおいて AWS IAM Identity Center 側で Azure AD に存在しないユーザーを作成してもサインインできません。

自動プロビジョニングへの切り替え

自動プロビジョニングに切り替えます。設定内容は次のブログを参考にしています。

自動プロビジョニングに切り替えた後の Azure AD のエンタープライズアプリケーションのプロビジョニング画面です。グループexapmle-groupとユーザーExample Userが同期されているカウントを確認できます。プロビジョニングログから詳細も確認できます。

AWS IAM Identity Center 側も確認します。手動プロビジョニングのときに作成したユーザーの属性情報が Azure AD で設定している情報で更新されていました。

• タイトルはStaff → Manager に更新
• 部は 設定なし → Development に更新

また、作成者は手動のままですが、更新者は SCIM (自動プロビジョニング) となっています。

グループexapmle-groupも同期されており、ユーザーExample Userが所属していることも確認できました。

以上で確認は終わりです。

手動プロビジョニングで作成したユーザーの属性情報が自動プロビジョニングにより上書きされることを確認できました。

さいごに

AWS IAM Identity Center のアイデンティティソースを Azure AD にしている環境において、手動プロビジョニングから自動プロビジョニングに変更した際の動作が気になったので試してみました。手動プロビジョニングで作成したユーザーの属性情報が自動プロビジョニングにより上書きされることを確認できました。

このブログがどなたかのご参考になれば幸いです。