本記事ではAzure ADとAWS間でのシングルサインオンの構成方法を解説します。
シングルサインオンとは
シングルサインオン(SSO:Single Sign On)とは、1度の認証によって複数のWebサービスやアプリケーション・クラウドサービスにログインできる仕組みです。
メリットとしては、ユーザはサービスごとに別々の認証情報を覚える必要がなくなり、アプリケーション間をスムーズに移動することができるため、利便性や生産性の向上に繋がります。また、認証情報の一元化により管理者の負担軽減が期待できます。
早速やってみる
今回は以下の流れで手順を解説します。
- ユーザとグループの割り当て
- シングルサインオンの設定
- 自動プロビジョニング設定
- 許可セット割り当て
ユーザとグループの割り当て
1.Azureポータルにログインしエンタープライズアプリケーションを選択します。
2.新しいアプリケーションを選択し、"aws iam"と検索し表示されたものを選択します。
3.任意の名前を入力し作成します。(今回はtestという名前で作成)
以下の表示が出ることを確認します。
4.追加したアプリを選択するとこちらの画面が表示されます。
5.ここで割り当てに必要なグループを作成します。(今回は"AWS Users"として作成)※既存のグループを使用しても問題ありません
※追加するユーザは姓名の入力を行ってください。(未入力だとプロビジョニングに失敗するため)
6.手順4の画面に戻り「1.ユーザとグループの割り当て」を選択します。
ユーザまたはグループの追加から先ほど作成したグループを割り当てます。
以下の表示を確認したらユーザとグループの割り当ては完了です。
シングルサインオンの設定
1.先ほどの手順4の画面から「2.シングルサインオンの設定」を選択し「SAML」を選択します。
2.「基本的なSAML構成」の編集から以下の画面を表示します。
3.別タブでAWSにログインし IAM Identity Centerを起動します。
設定>アクション>アイデンティティソースを変更を選択します。
4.「外部IDプロバイダー」を選択し表示される画面の赤枠のURLをコピーします。取得したURLを手順2の画面で入力し保存します。(赤枠)
・識別子(エンティティID):IAM Identity Centerの発行者URL
・応答URL:IAM Identity Center Assertion Consumer Service (ACS)のURL
※「メタデータファイルをダウンロード」からファイルを取得し手順2の画面でアップロードしても同様に設定可能です。(緑枠)
5.手順2の画面をスクロールし、SAML証明書の「フェデレーションメタデータXML」をダウンロードします。
6.手順4のAWSに戻り、ダウンロードしたファイルをアップロードし次へを選択します。
7.内容を確認し「承諾」を入力してアイデンティティソースを変更を選択します。
以下の表示を確認できればシングルサインオン設定は完了です。
自動プロビジョニング設定
1.手順3の画面にある自動プロビジョニングの「有効にする」を選択します。
表示されるSCIMエンドポイントとアクセストークンをコピーします。
2.以下の画面に移動し「3.ユーザアカウントのプロビジョニング」を選択し「作業の開始」を選択します。
3.プロビジョニングモードを自動にし、手順1で取得した情報を入力します。
テスト接続を行い、画像の内容が表示されたら保存をします。
4.「プロビジョニングの開始」を選択し、初期サイクルの完了を確認します。
5.IAM Identity Centerに戻り「グループ」を選択します。割り当てたグループが存在することを確認します。
6.「設定」からAWSアクセスポータルURLを開きます。
何も表示されないことを確認します。これはユーザに権限を割り当てていないためですね。
許可セット割り当て
ここまでお疲れ様です。こちらが最後の手順となります。
1.IAM Identity Centerの「アカウント」を選択しアカウント名にチェックを入れます。(画像ではManagement)
2.アカウントに割り当てるグループを選択し次へ。
3.許可セットを選択します。(複数選択可能)
4.内容を確認し「送信」します。
5.改めて前手順の「AWSアクセスポータルURL」を開きます。すると割り当てたアカウントと許可セット名が表示されています。「Management console」を選択します。
6.AWSコンソールホームが表示され、右上の表示が「許可セット名/Azure ADユーザ名」になっていることを確認します。
ログアウトすると Microsoft アカウントの認証画面になるので、割り当てたAzure ADユーザ情報でログインすることで同様にAWSを使用することができます。
終わりに
最近AWS環境を作成する機会があり、自分用のマニュアルも兼ねて本記事を作成しました。
マルチアカウント構成でAWSを使用している方など、ご参考になれば幸いです。
石河 幸介(日本ビジネスシステムズ株式会社)
2021年新卒入社。プロフェッショナルサービス事業本部に所属。 Azure・AWSに興味があります! 初年度にAzure Solutions Architect Expertを取得。 趣味はバレーボール。
担当記事一覧