LoginSignup
0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

@s_moriyama(Satoshi Moriyama)

IAM Identity CenterとGoogle Workspaceを連携してみる。

Posted at

はじめに

IAM Identity CenterにGoogle Workspaceからログインするようにしてみたいと思います。

元々IAM Identity Centerには、標準のログイン画面から2要素認証のMFAを使ってログインしていたのですが、ログイン操作を減らしたいのと、スマホからのログインが面倒なので統合してみることにしました。

なお今回は、IAM Identity Centerの設定が完了している状態がからの紹介です。

IAM Identity Centerの設定自体は以下の記事を参照ください!

早速、やってみた

早速実施してみます。
なお公式手順は以下に記載されています。

Google管理コンソースからSAMLアプリケーションの設定

まずは、Google管理コンソール(admin.google.com)からSAMLアプリケーションの設定をしていきます。

ウェブアプリとモバイルアプリを選択し、

スクリーンショット 2025-09-11 3.50.03.png

アプリを追加アプリを追加を選びます。

スクリーンショット 2025-09-11 3.50.51.png

Amazon Web Serviceを入力すると、出てくるアプリを選択します。

スクリーンショット 2025-09-11 3.51.37.png

オプションが2つあり、どちらでも良いのですが、今回はメタデータをダウンロードでメタファイル(GoogleIDPMetadata.xml)をダウンロードしておきます。

スクリーンショット 2025-09-11 3.52.06.png

ここで一旦、AWSの設定を行います。(画面はそのまま。)

IAM Identity Centerからアイデンティティソースの変更

次にIAM Identity Centerの設定アイデンティティソースからアクションアイデンティティソースの変更を選択します。

スクリーンショット 2025-09-11 4.00.07.png

外部IDプロバイダーを選択します。
スクリーンショット 2025-09-11 4.00.17.png

画面上部のIAM Identity Center Assertion Consumer Service (ACS) の URLと、IAM Identity Center 発行者 URLを控えつつ、Idp SAML メタデータのところで、先ほどダウンロードしたメタファイルをアップロードします。

スクリーンショット 2025-09-11 4.00.30.png

アップロード後は、アイデンティティソースを変更を選択し、完了です。

image.png

Google管理コンソースからSAMLアプリケーションの設定(続き)

先ほど控えた、IAM Identity Center Assertion Consumer Service (ACS) の URLと、IAM Identity Center 発行者 URLを入力します。

またユーザを一意に認識する名前IDは、メールアドレスにしました。
EMAILBasic Information->Primary emailを選択します。

スクリーンショット 2025-09-11 4.07.59.png

引き続き属性のマッピングです。ここらは任意に入力しました。

スクリーンショット 2025-09-11 4.09.14.png

で、完了。

ユーザアクセス

次にGoogle側のアカウントの誰がこのSAMLを利用できるかを設定します。

ユーザアクセス内、詳細を表示を選択し、

スクリーンショット 2025-09-11 4.10.04.png

オン(すべてのユーザー)を設定します。

スクリーンショット 2025-09-11 4.11.27.png

今回は私一人しか使わないので全てのアカウントに権限を付与していますが、アクセス権は適切に設定お願いします!

自動プロビジョニングの設置

GoogleとAWS側のアカウントを自動で連携してくれる自動プロビジョニングの設定をしておきます。
設定することで、Google側でアカウントが追加されると自動でAWS側にもユーザが作られるようになります。

AWS側の画面から自動プロビジョニングを有効にするを選択します。

スクリーンショット 2025-09-11 4.12.42.png

この画面でSCIMエンドポイントと、トークンを表示から表示されるトークンを控えておきます。
スクリーンショット 2025-09-11 4.13.27.png

次にGoogle側の画面に戻り、自動プロビジョニングを設定を選択します。

スクリーンショット 2025-09-11 4.14.08.png

先ほど控えたトークンを入力します。

スクリーンショット 2025-09-11 4.14.27.png

次にSCIMエンドポイントを入力します。

スクリーンショット 2025-09-11 4.14.47.png

属性のマッピングを任意に設定します。

スクリーンショット 2025-09-11 4.15.51.png

ここは省略
スクリーンショット 2025-09-11 4.16.19.png

アカウント削除、停止の挙動も設定します。

スクリーンショット 2025-09-11 4.17.00.png

で、完了です!

スクリーンショット 2025-09-11 4.17.21.png

AWSアカウントの紐付け

最後にGoogle側のアカウントとAWSのアカウントの紐付けをします。

設定後、しばらく待つとAWSのユーザにGoogleアカウントのユーザが反映されています。
(作成者がSCIMとなっているユーザです。)

なお、SCIMは「System for Cross-domain Identity Management」の略で、異なるシステム間でユーザーアカウント情報を自動的に同期・管理するための標準プロトコルのことみたいです。

スクリーンショット 2025-09-11 4.20.01.png

対象のSCIMユーザを選択し、アカウントを割り当てるを選択します。

スクリーンショット 2025-09-11 4.21.54.png

アカウントの紐付けや権限セットを選択し、割り当てるを選択します。

スクリーンショット 2025-09-11 4.22.28.png

で、完了です!

動作確認

最後にIAM Identity CenterのAWS access portal URLにアクセスすると、以下のGoogle側の画面に遷移するので、ここでGoogleアカウントにログインすれば完了です!

スクリーンショット 2025-09-11 4.23.16.png

最後に

少し初期設定が大変ですが、ログインがとっても楽になりました!

パスワードやMFAの管理が少し減るのでおすすめです!

0
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?