Go to Qiita Advent Calendar 2024 Top
LoginSignup
1
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

More than 1 year has passed since last update.

MDCAdvent Calendar 2021Day 6
@methimoinMDC

AWS SSO(SingleSignOn)を使って複数サービスログインを一元管理する①

Last updated at Posted at 2021-12-05

概要

  • 本記事はMDC Advent Calendar 2021の6日目の記事です
  • 最近恒例の誕生日エントリです
  • 今回はAWSのSSOマネジメントサービス「AWS SingleSignOn」について、概要と触ってみたを書きます

こんなことありませんか?

  • 色々なサービスを使っているとそれぞれログインID・PWを覚えないといけないので管理が面倒です
  • それを解決するのがSingleSignOn(SSO)
  • 一度ログイン処理をすると、複数のシステムを利用開始する際に都度認証を行う必要がなくなる仕組みです

AWS SingleSignOn(SSO)って?

  • https://aws.amazon.com/jp/single-sign-on/
  • SSOを実現できるマネジメントサービスです
  • AWSマネジメントコンソールやSAML認証可能な外部サービスに対してSSOができるサービスです

AWS SSOを使ってみる

  • 以下の順番で行います
  1. AWS Organizationの作成
  2. AWS SSOの作成
  3. AWSマネジメントコンソールのログインをAWS SSO管理にする
  4. RedmineのログインをAWS SSO管理にする(次回記事で)

1. AWS Organizationの作成

  • AWS SSOはAWS Organization単位で作成されます
  • AWS Organizationsにアクセスして組織を作成しましょう
    image.png

2. AWS SSOの作成

  • AWS SSOにアクセスしてAWS SSOを有効にします
    image.png
  • 手順に沿ってIDソース(AWSSSOで利用するユーザデータ)を選択します

・IDソースはAWSSSO独自、ActiveDirectory(AWS MicrosoftADかADConnector)、外部IDプロバイダから選択できます。デフォルトはAWSSSO独自です。今回はこのままでいきます
・[設定]からIDソースの変更や、MFA(2段階認証)登録の有無を変更できます。ID/PW認証だけではセキュリティが懸念される場面でも問題ないですね

  • [ユーザ]からユーザを作成します。初期パスワードは登録メールアドレスに送信or一時パスワードを発行する方法があります

3. AWSマネジメントコンソールのログインをAWS SSO管理にする

  • [AWSアカウント]からルートアカウントを選択して[ユーザの割り当て]を選択します
    test.png

・本来はAWSOrganizationに所属している全てのAWSルートアカウントが表示されるのですが、今回は1つしか所属していないので1つしか出ません
・Organization外のAWSルートアカウントにはログインできないのか?という懸念については以下記事でログインを実現されておりますのでご参照ください
[AWS] AWS Single Sign-On で Organizations 管理外の AWS アカウントにアクセスする

  • ユーザにAWSルートアカウントのどの権限を割り当てるかを選択する画面になります
  • [新しいアクセス権限セット]->[カスタムアクセス権限セットを作成]を選択します(別ウィンドウが開きます)
  • [AWS管理ポリシーをアタッチ]を選択し、ポリシーを選択して保存します。
    image.png
  • 元のウィンドウに戻り更新ボタンを押すと、作成したカスタムアクセス権限セットが表示されるため、選択し完了します
    test2.png

作成したユーザでAWS SSOにログインする

  • 権限の割り当てが完了したのでアクセスしてみましょう
  • ダッシュボードの[ユーザーポータル]にアクセスします
    test3.png
  • ユーザ作成時に[一時的なパスワード生成]にしたため、発行したパスワードでログインします
  • ユーザポータルにログインできました。ログインしたユーザが利用可能なAWSルートアカウントや外部サービスのリンクが表示されます。ユーザポータルのURLをブックマークしておけば、各サービスへのブックマークも不要ですね!
    test4.png
  • [ManagementConsole]からAWSアカウントにアクセスしましょう
    test5.png
  • マネジメントコンソールにアクセスできました。

・[IAM] -> [IDプロバイダ]や[ロール]を確認すると、今回作成した設定が格納されています
・AWSSSOと管理アカウント間でSAML認証が行われており、AWSSSO経由でログインしたユーザは、作成したロールでアクセスしていることがわかります

test6.png
test7.png

感想

  • シングルサインオンの設定が簡単にできました
  • 通常シングルサインオンのサービスを使う場合ユーザ単位などで料金が発生しますが、AWSSSOは何より無料で利用できるのが嬉しいです
  • 次回はAWSSSO経由で外部サービスのログインを行います
  • いつも公開日の前夜に書いているので、記事書いてる間に誕生日を迎えました。歳の始まりと終わりはQiitaで過ごしていますね…
  • この1年も技術に触れていきたいですね。ありがとうございました。
1
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
1
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?