Entra IDとAWS IAM Identity Center（以下AWS IIC）との設定でハマったのでメモ。

状況

Microsoft Entra ID でシングル サインオン用に AWS IAM Identity Center (AWS Single Sign-Onの後継) を構成する - Microsoft Entra ID | Microsoft Learn

上記URLを参考に設定を進めていて、Entra IDのSAML によるシングル サインオンのセットアップのTestは通っている。

事象

ゲストユーザーでも認証を通るか調べたら、以下の「問題が発生しました」エラー画面が出た。

• ゲストユーザーのプロビジョニングは問題なく行われていた
• Entra IDの認証は問題なく通っている
• AWS IICへのSAML認証でのエラーだと推測

テストが通ったユーザーとの差異

• Entra IDのメンバーかゲストかの違い
  • 認証上は同じ扱いのはず
  • Entra IDのAWS IICアプリがゲストを許可していなかったらもっと前でエラーになる
• ゲストはユーザープリンシパル名がメールアドレスと一致していない
  • これっぽい

AWS IAM Identity Center に入力されたユーザー名とメール アドレスが、ユーザーの Microsoft Entra サインイン名と一致していることを確認します。 これは、認証の問題を回避するのに役立ちます。

https://learn.microsoft.com/ja-jp/entra/identity/saas-apps/aws-single-sign-on-tutorial#create-aws-iam-identity-center-test-user

マッピングを修正

Entra IDのシングル サインオンの属性とクレームにて、 user.userprincipalname で指定されていた部分を user.mail に変更。
これで問題なくログインできるようになりました。
ちなみに name だけ変更しても同じくエラーになりました。 一意のユーザーID を変える必要があるようです。

Entra IDのメールアドレス欄を一意なフィールドとして運用する必要がありますが、変なことしてなければ一意なはずなのでよしとしてます。