LoginSignup
2
1

More than 1 year has passed since last update.

@sugimount-a(sugimount)

QuickSight と Azure AD を使って、SP Initiated SSO をやってみた

Last updated at Posted at 2022-01-01

SP Initiated SSO とは

QuickSight は、直接 QuickSight にログインする URL が公開されています。

SP Initiated SSO に関する設定を有効にするとこで、直接の QuickSight のログインを禁止することが出来、IdP 経由のログインを強制できます。具体的な例があるとわかりやすいとおもうので、SP Initiated SSO を使わない通常の構成の画面を使って説明をしていきます。

通常の構成の場合

この URL にアクセスすると、QuickSight のアカウント名を入力できる画面が開かれます。

image-20220101184855252.png

アカウント名を入れたのちに、QuickSight のローカルアカウントを使ってログインする画面となります。

image-20220101185001917.png

SP Initiated SSO に関する設定を入れた場合

QuickSight のアカウントを、Azure AD などを使った IdP ログインに設定しているとき、ローカルログインを禁止して Idp 側にリダイレクトしてほしいです。そこで、SP Initiated SSO に関する設定をすることで、ローカルログインの画面を禁止が出来ます。更にセキュリティの向上が期待できるというわけですね。

SP Initiated SSOを有効にしているときの例を実際の画面とともに説明します。QuickSight のログインURLで、自分のアカウント名を入れて続行を押します。

image-20220101184855252.png

SP Initiated SSO の設定により、Azure AD のログイン画面が開かれます。ここで、Azure AD 上のユーザー名を入力します。

image-20220101215009227.png

同様にパスワードも入れます。

image-20220101215032638.png

すると、QuickSight の画面が開かれます。

image-20220101215118039.png

このように、IdP 経由でのログインを強制することで、セキュリティの向上を期待できるということです。

それでは、SP Initiated SSO に関する設定方法を紹介します。
前提条件として、既に Azure AD と QuickSight を使った連携は設定済みの環境で行います。もし、Azure AD と QuickSight の連携方法から試したい場合は、このあたりの記事を参考にしてみてください。

Azure AD 上で各種値を調べる

QuickSight で SP Initiated SSO を設定する際に、IdP である Azure AD 側で設定値を調べる必要があります。

Azure AD の画面に入り、プロパティを選択し、テナントIDを調べます。

image-20220101194700817.png

次に、エンタープライズアプリケーションを選びます。

image-20220101194450288.png

QuickSight に連携するために設定した、アプリケーションを選択します。

image-20220101194513394.png

この画面から、名前とアプリケーション ID をメモっておきます

image-20220101194604021.png

QuickSight の SP Initiated SSO 設定

Azure AD で調べた設定値を使って、QuickSight で SP Initiated SSO に関する設定を入れていきます。

QuickSight の Document に設定値に関する説明が書かれています。

この表の中で、Microsoft Azure の部分を使っていきます。

image-20220101213718221.png

Azure AD に連携する URL の形式はこちらです。この形式に、先ほど調べた設定値を当てはめていきます。

https://myapps.microsoft.com/signin/<app_name>/<app_id>?tenantId=<tenant_id>

・app_name
Amazon QuickSight

・app_id
a3c86eb6-a0f9-419e-8368-58569a4a436c

・tenant_id
54d4fb23-4655-46de-ab3a-4698ab819886

あてはめた後のURLはこんな感じです。

https://myapps.microsoft.com/signin/AmazonQuickSight/a3c86eb6-a0f9-419e-8368-58569a4a436c?tenantId=54d4fb23-4655-46de-ab3a-4698ab819886

URL を組み立てられたので、QucikSight の設定をしていきます。QuickSight の画面を開いて、Manage QuickSight を選びます。

image-20220101214610926.png

メニューから、SSO を選択します。

image-20220101194251381.png

以下のパラメータを入れます。

  • Status : ON
  • IdP URL : 上で組み立てた URL を指定
  • IdP redirect URL Parameter : RelayState を指定

image-20220101214706176.png

これで準備完了です。

動作確認

QuickSight のログイン用 URL を開きます。

QuickSight のログインURLで、自分のアカウント名を入れて続行を押します。

image-20220101184855252.png

Azure AD のログイン画面が開かれます。ここで、Azure AD 上のユーザー名を入力します。

image-20220101215009227.png

同様にパスワードも入れます。

image-20220101215032638.png

すると、QuickSight の画面が開かれます。

image-20220101215118039.png

参考URL

https://qiita.com/shinsaka/items/0b0d126a59021c11da59
image-20220101215118039.png

2
1
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
2
1