概要
- AWS Organizationsと連携することで、複数のAWSアカウントへのシングルサインオンを実現するサービス
- シングルサインオン
- 1度のユーザー認証で複数システム(業務アプリやクラウドサービスなど)の利用が可能になる仕組み。
- AWS Organizations
- 複数のAWSアカウントを一元管理できるAWSサービス
- 複数のAWSアカウントをグループ化し、グループごとに共通のポリシーを設定できる
- 複数のAWSアカウントを「組織」として管理する
- 組織内のAWSアカウントは「管理アカウント(マネジメント/マスターアカウント)」と「メンバーアカウント」に分けられる。
- シングルサインオン
概念
-
アクセス権限セット
- AWS Organizationsのマネジメントアカウントから、ユーザごとのアクセス権限を一括管理する仕組み
機能
-
AWS Single Sign On ユーザーポータル
- AWS SSOでマネジメントコンソールにログインする為に開発者が参照する画面。
- アカウント及び認可されたアクセス権限セットの一覧を参照できる。
-
AWS Organizations との統合
- 組織内全てのAWSアカウントにアクセスし、管理することが出来るようになる。
- マスターアカウントでAWS SSO連携を有効にすることでAWSコンソールへのSSOアクセスが可能になる。
- 組織内全てのAWSアカウントにアクセスし、管理することが出来るようになる。
-
Active Directory との連携
- Active Directoryの認証情報を利用してAWSにログインすることが可能になる。
メリット
-
ID の作成と接続を1 か所に集約できる
- SSO自体のユーザー・グループ管理オプションの利用
- MS Active Directoryなどの外部サービスと連携
-
複数の AWS アカウントに対するアクセスを一元管理できる
- AWS Organizations との統合により、複数のアカウントへのアクセス管理が可能となる。
- 個々のアカウントにおける追加の設定は不要。
- 共通の職務をもとにユーザー権限を割り当て、個々のセキュリティ要件に合うようカスタマイズできる。
-
クラウドアプリケーションへのアクセスを管理できる
- ディレクトリの認証情報を使用し、AWS SSO ウェブユーザーポータルにサインインすることで、Amazon SageMaker Studio、AWS Systems Manager Change Manager、その他クラウドアプリ(Salesforce や Box、Microsoft 365 ほか) などにアクセスできる。
大まかな設定の流れ
-
AWS SSOの有効化
- AWS OrganizationのメンバーアカウントとSSOを紐づける
-
IDソースの選択
- SSOの独自IDストアを作成・使用
- 既存のActive Directoryを使用
- 既存の外部IDプロバイダーを使用
-
AWSアカウントへのSSO設定
- アカウントにユーザー・グループ・アクセス権限セットを紐づける