SP Initiated SSO とは
QuickSight は、直接 QuickSight にログインする URL が公開されています。
SP Initiated SSO に関する設定を有効にするとこで、直接の QuickSight のログインを禁止することが出来、IdP 経由のログインを強制できます。具体的な例があるとわかりやすいとおもうので、SP Initiated SSO を使わない通常の構成の画面を使って説明をしていきます。
通常の構成の場合
この URL にアクセスすると、QuickSight のアカウント名を入力できる画面が開かれます。
アカウント名を入れたのちに、QuickSight のローカルアカウントを使ってログインする画面となります。
SP Initiated SSO に関する設定を入れた場合
QuickSight のアカウントを、Azure AD などを使った IdP ログインに設定しているとき、ローカルログインを禁止して Idp 側にリダイレクトしてほしいです。そこで、SP Initiated SSO に関する設定をすることで、ローカルログインの画面を禁止が出来ます。更にセキュリティの向上が期待できるというわけですね。
SP Initiated SSOを有効にしているときの例を実際の画面とともに説明します。QuickSight のログインURLで、自分のアカウント名を入れて続行を押します。
SP Initiated SSO の設定により、Azure AD のログイン画面が開かれます。ここで、Azure AD 上のユーザー名を入力します。
同様にパスワードも入れます。
すると、QuickSight の画面が開かれます。
このように、IdP 経由でのログインを強制することで、セキュリティの向上を期待できるということです。
それでは、SP Initiated SSO に関する設定方法を紹介します。
前提条件として、既に Azure AD と QuickSight を使った連携は設定済みの環境で行います。もし、Azure AD と QuickSight の連携方法から試したい場合は、このあたりの記事を参考にしてみてください。
Azure AD 上で各種値を調べる
QuickSight で SP Initiated SSO を設定する際に、IdP である Azure AD 側で設定値を調べる必要があります。
Azure AD の画面に入り、プロパティを選択し、テナントIDを調べます。
次に、エンタープライズアプリケーションを選びます。
QuickSight に連携するために設定した、アプリケーションを選択します。
この画面から、名前とアプリケーション ID をメモっておきます
QuickSight の SP Initiated SSO 設定
Azure AD で調べた設定値を使って、QuickSight で SP Initiated SSO に関する設定を入れていきます。
QuickSight の Document に設定値に関する説明が書かれています。
この表の中で、Microsoft Azure の部分を使っていきます。
Azure AD に連携する URL の形式はこちらです。この形式に、先ほど調べた設定値を当てはめていきます。
https://myapps.microsoft.com/signin/<app_name>/<app_id>?tenantId=<tenant_id>
・app_name
Amazon QuickSight
・app_id
a3c86eb6-a0f9-419e-8368-58569a4a436c
・tenant_id
54d4fb23-4655-46de-ab3a-4698ab819886
あてはめた後のURLはこんな感じです。
https://myapps.microsoft.com/signin/AmazonQuickSight/a3c86eb6-a0f9-419e-8368-58569a4a436c?tenantId=54d4fb23-4655-46de-ab3a-4698ab819886
URL を組み立てられたので、QucikSight の設定をしていきます。QuickSight の画面を開いて、Manage QuickSight を選びます。
メニューから、SSO を選択します。
以下のパラメータを入れます。
- Status : ON
- IdP URL : 上で組み立てた URL を指定
- IdP redirect URL Parameter :
RelayStateを指定
これで準備完了です。
動作確認
QuickSight のログイン用 URL を開きます。
QuickSight のログインURLで、自分のアカウント名を入れて続行を押します。
Azure AD のログイン画面が開かれます。ここで、Azure AD 上のユーザー名を入力します。
同様にパスワードも入れます。
すると、QuickSight の画面が開かれます。
参考URL
