OpenAMでのIAM Identity Center でのSSO
できるようになること
組織構成のAWSアカウントの認証を、外部Idプロバイダー(OpenAM)により一元管理し、複数AWSアカウントを扱いやすくする
結論
問題なく動作します。
SCIMでの自動プロビジョニングは試せていません。
SAML連携設定手順
-
IAM Identity Centerを有効化します
-
[設定]を選び、[アクション]-[アイデンティティソースの変更]を選択します。
- [外部IDプロバイダー]を選択します
- [メタデータファイルのダウンロード]を選択し、AWS側のメタデータをダウンロードします
- OpenAMの管理者画面にログインし、[リモートサービスプロバイダを登録]から4.のメタデータを登録します。
- NameIDを送付する際は、[
urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress]でメールアドレス形式のNameIDを送付する必要があります
- NameIDを送付する際は、[
-
以下のURLにアクセスし、OpenAM側のIdPメタデータを取得します
- https:///saml2/jsp/exportmetadata.jsp?realm=<該当のレルム>
-
[アイデンティティプロバイダーのメタデータ]の[IdP SAML メタデータ]の[ファイルを選択]を選択し、6.のメタデータをアップロードします
-
[次へ]を選択し、設定を作成します。
-
設定変更の確認ダイアログが表示されるので、[アイデンティティソースの変更]を選択します。
- 既存設定が消えるといった旨の内容が表示されます。
ユーザーのプロビジョニング
- [ユーザーを追加]を選択し、SAMLでの認証元に対応するユーザーを作成します
- [ユーザー名]の欄は、前述の「
urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress」で送付するメールアドレスの値で作成します。 - その他のフィールドは適宜入力します。
-
[ユーザーをグループに追加]では、適宜グループに追加を行います。不要な場合は [次へ] で問題ありません。
-
作成したユーザーをAWSアカウントに割り当てます。[AWS アカウント]を選択し、割り当てたいAWSアカウントを選択し、[ユーザーまたはグループを割り当て]を選択します。
-
割り当てるアカウントを選択します。デフォルトでは[グループ]がフォーカスされているので、先ほど作成したユーザーに割り当てる場合は[ユーザー]を選択し、1.で作ったユーザーをチェックし、[次へ]を選択します。
-
権限の割当をおこないます。実際の運用にあわせて適宜設定すべきですが、今回は[AdministratorAccess]で設定し、[次へ]を選択します。
-
設定内容の確認が表示されるので、内容に問題がないことを確認し、[送信]を選択します。
動作確認
SAML連携設定と、アカウントのプロビジョニングが終わったら、動作確認を行います。
-
IAM Identity Center の [設定]を開き、[アイデンティティソース]の欄を確認します。
-
[AWS アクセスポータルの URL] があるので、記載のURLを表示します
-
OpenAMに転送されるため、認証を行います。
-
以下のようなポータルが表示されれば成功です。
