はじめに
外部 IdP 連携を AWS IAM Identity Center で行ったので、その流れについてまとめたいと思います。
IAM Identity Center(旧AWS SSO)とは?
IAM Identity Centerは、AWSが提供する統合認証・認可サービスで、以下のような機能があります。
- AWSアカウントへのシングルサインオン(SSO): 1つの認証情報で複数のAWSアカウントやロールにアクセスが可能
- 外部IdPとのフェデレーション: Microsoft Entra ID、Okta、Google Workspaceなどの外部IDプロバイダーと連携
- アクセス権限の一元管理: ユーザーやグループ単位でAWSリソースへのアクセス権限を統合的に設定
- SaaSアプリケーション連携: SalesforceやBoxなどのSaaSアプリにSSOログインを提供
また、AWS Organizations と連携することで、複数アカウント環境におけるアクセス制御を中央集権管理でき、ガバナンスやセキュリティを強化できます。
外部 ID プロバイダー連携について
SAML 2.0 に対応した IdP とのフェデレーションを構成可能です。既存の社内ディレクトリサービスと連携することで、ユーザー管理の重複を避けられます。
設定
以下、外部 ID プロバイダー連携になります。
IAM Identity Center の有効化
「AWSマネジメントコンソール > IAM Identity Center」 を開き [有効にする] をクリックします。
以下の画面が表示されるので再度 [有効にする] をクリックします。
すると以下の画面が表示されます。
アイデンティティソースの変更
左ペインの [設定 > アイデンティソース] を選び、アクションのプルダウンから [アイデンティティソースを変更] をクリックします。
アイデンティティソースの選択
[外部 ID プロバイダー} を選択し、[次へ] をクリックします。
外部アイデンティティプロバイダーを設定
ここで右上にある [メタデータファイルをダウンロード] をクリックして xml ファイルをダウンロードします。
外部 ID プロバイダー作業
ここで一旦、外部 ID プロバイダー側での作業になります。作業を実施してください。
また、AWSマネジメントコンソール側はキャンセルして戻っても情報は変わらないため、中断しても大丈夫です。
外部 ID プロバイダーでの作業が完了したら改めて画面に戻り続きを行います。
アイデンティティプロバイダーのメタデータアップロード
IdP SAML メタデータの [ファイルを選択] をクリックし、Entra ID 側で用意した xml ファイルをアップロードします。
アップロードができたら [次へ] をクリックします。
変更の実施
[承諾] を入力し [アイデンティティソースを変更] をクリックします。
確認
以下の画像のように緑のポップアップで アイデンティティソースを IAM Identity Center から外部 ID プロバイダー(IdP)に正常に変更しました。 と表示されれば完了です。
おわりに
IAM Identity Center を導入するとユーザー管理がシンプルになるのでとても便利だと感じました。
これからはもっと推奨していこうと思います。