Azure ADとAWSでシングルサインオンを構成してみよう!

本記事ではAzure ADとAWS間でのシングルサインオンの構成方法を解説します。

シングルサインオンとは

シングルサインオン(SSO:Single Sign On)とは、1度の認証によって複数のWebサービスやアプリケーション・クラウドサービスにログインできる仕組みです。

メリットとしては、ユーザはサービスごとに別々の認証情報を覚える必要がなくなり、アプリケーション間をスムーズに移動することができるため、利便性や生産性の向上に繋がります。また、認証情報の一元化により管理者の負担軽減が期待できます。

早速やってみる

今回は以下の流れで手順を解説します。

  1. ユーザとグループの割り当て
  2. シングルサインオンの設定
  3. 自動プロビジョニング設定
  4. 許可セット割り当て

ユーザとグループの割り当て

1.Azureポータルにログインしエンタープライズアプリケーションを選択します。

2.新しいアプリケーションを選択し、"aws iam"と検索し表示されたものを選択します。



3.任意の名前を入力し作成します。(今回はtestという名前で作成)

以下の表示が出ることを確認します。

4.追加したアプリを選択するとこちらの画面が表示されます。

5.ここで割り当てに必要なグループを作成します。(今回は"AWS Users"として作成)※既存のグループを使用しても問題ありません

※追加するユーザは姓名の入力を行ってください。(未入力だとプロビジョニングに失敗するため)

6.手順4の画面に戻り「1.ユーザとグループの割り当て」を選択します。
  ユーザまたはグループの追加から先ほど作成したグループを割り当てます。

以下の表示を確認したらユーザとグループの割り当ては完了です。

シングルサインオンの設定

1.先ほどの手順4の画面から「2.シングルサインオンの設定」を選択し「SAML」を選択します。


2.「基本的なSAML構成」の編集から以下の画面を表示します。

3.別タブでAWSにログインし IAM Identity Centerを起動します。

  設定>アクション>アイデンティティソースを変更を選択します。

4.「外部IDプロバイダー」を選択し表示される画面の赤枠のURLをコピーします。取得したURLを手順2の画面で入力し保存します。(赤枠)

  ・識別子(エンティティID):IAM Identity Centerの発行者URL
  ・応答URL:IAM Identity Center Assertion Consumer Service (ACS)のURL

※「メタデータファイルをダウンロード」からファイルを取得し手順2の画面でアップロードしても同様に設定可能です。(緑枠)

5.手順2の画面をスクロールし、SAML証明書の「フェデレーションメタデータXML」をダウンロードします。

6.手順4のAWSに戻り、ダウンロードしたファイルをアップロードし次へを選択します。

7.内容を確認し「承諾」を入力してアイデンティティソースを変更を選択します。

以下の表示を確認できればシングルサインオン設定は完了です。

自動プロビジョニング設定

1.手順3の画面にある自動プロビジョニングの「有効にする」を選択します。

  表示されるSCIMエンドポイントとアクセストークンをコピーします。

2.以下の画面に移動し「3.ユーザアカウントのプロビジョニング」を選択し「作業の開始」を選択します。


3.プロビジョニングモードを自動にし、手順1で取得した情報を入力します。

テスト接続を行い、画像の内容が表示されたら保存をします。

4.「プロビジョニングの開始」を選択し、初期サイクルの完了を確認します。

5.IAM Identity Centerに戻り「グループ」を選択します。割り当てたグループが存在することを確認します。

6.「設定」からAWSアクセスポータルURLを開きます。

何も表示されないことを確認します。これはユーザに権限を割り当てていないためですね。

許可セット割り当て

ここまでお疲れ様です。こちらが最後の手順となります。

1.IAM Identity Centerの「アカウント」を選択しアカウント名にチェックを入れます。(画像ではManagement)

2.アカウントに割り当てるグループを選択し次へ。

3.許可セットを選択します。(複数選択可能)

4.内容を確認し「送信」します。

5.改めて前手順の「AWSアクセスポータルURL」を開きます。すると割り当てたアカウントと許可セット名が表示されています。「Management console」を選択します。

6.AWSコンソールホームが表示され、右上の表示が「許可セット名/Azure ADユーザ名」になっていることを確認します。

ログアウトすると Microsoft アカウントの認証画面になるので、割り当てたAzure ADユーザ情報でログインすることで同様にAWSを使用することができます。

終わりに

最近AWS環境を作成する機会があり、自分用のマニュアルも兼ねて本記事を作成しました。

マルチアカウント構成でAWSを使用している方など、ご参考になれば幸いです。

執筆担当者プロフィール
石河 幸介

石河 幸介(日本ビジネスシステムズ株式会社)

2021年新卒入社。プロフェッショナルサービス事業本部に所属。 Azure・AWSに興味があります! 初年度にAzure Solutions Architect Expertを取得。 趣味はバレーボール。

担当記事一覧