LoginSignup
0
0
@takason(takason)inIBM

AWS IAM Identity Center で IBM Cloudポータルにシングルサインオンする

Last updated at Posted at 2024-02-09

はじめに

IBM CloudのApp IDは、IBM CloudポータルのIdPになることが可能であり、かつSAMLのSPになることができます。本記事ではAWS IAM Identity CenterのIdPを用いてIBM Cloudのポータルの認証を行います。

※Azureの連携についてはこちら
Qiita:Azure ADで IBM Cloudポータルにシングルサインオンする

事前準備

以下を用意しておきます。

  • [AWS] AWSアカウント
  • [IBM Cloud] App ID インスタンス

手順

AWS上での手順

IAM Identity Center を管理アカウントで有効化

IAM Identity Centerで検索し、「Enable」をクリックします。

image.png

ダッシュボードが表示されました。
image.png

IAM Identity Centerは一度に1つのリージョンでのみ有効化することができます。
別のリージョンで有効にするには、まず現在の IAM Identity Center 設定を削除する必要があります。別の地域に切り替えると、AWSアクセスポータルの URL も変わるため、すべての権限セットと割り当てを再設定する必要があります。
https://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/regions.html#region-data

アプリケーションの追加

ページ左の「Application」タブ→「Customer managed」を選択し、「Add Application」をクリックします。
image.png

I have an application I want to set up」、「SAML2.0」を選択します。
image.png

(後述)「App IDのメタデータの取得」で取得したAppIDのメタデータをアップロードします。
image.png

IdPの情報を取得

Action」→「Edit Configuration」にて、以下の3点を保管します。

  • IAM Identity Center sign-in URL
  • IAM Identity Center SAML issuer URL
  • IAM Identity Center Certificate
    image.png

属性マッピング

「Action」→「Edit Attribute mappings」をクリックし、以下の項目を追加します。
image.png

User attribute in the application Maps to this string value or user attribute in IAM Identity Center Format 意味
Subject ${user:email} emailAddress App IDのユーザープロファイルの識別に使用(必須)
familyName ${user:familyName} basic IBM Cloudのユーザープロファイルで名前の表示に使用(姓部分)
givenName ${user:givenName} basic IBM Cloudのユーザープロファイルで名前の表示に使用(名部分)
name ${user:preferredUsername} basic App IDのユーザープロファイルで名前の表示に使用

image.png

IAM Identity Center にユーザーを作成

User」タブよりユーザーを追加し、「Next」をクリックするとグループ設定画面に移ります。
image.png

IAM Identity Center にグループを作成

今回はグループを作成せず進みます。「Next」をクリックします。

許可セットを作成

Permission sets」→「Create Permission sets」をクリックします。
image.png

今回は事前定義された許可セットから AdministratorAccess を選び作成します。
image.png
image.png

AWS アカウントへの許可セットの割り当て

Multi-account permissions」内の「AWS accounts」をクリックし、組織のツリービューリストを表示します。次に、AdministratorAccess を割り当てる AWS アカウント の横にあるチェックボックスをオンにし、「Assign users or groups」をクリックします。組織内に複数のアカウントがある場合は、管理アカウントの横にあるチェックボックスをオンにします。

image.png

作成したユーザーを選択し「Next」をクリックします。
image.png

許可セットを選択し「Next」をクリックします。
image.png
Submit」をクリックします。
image.png

作成したユーザーをアプリケーションに割り当て

作成したアプリケーション名をクリックし、詳細を表示します。
image.png

Assign users and groups」をクリックし、対象ユーザーをアサインします。
image.png
image.png

IBM Cloudでの手順

SAML2.0の有効化

作成したApp ID詳細画面の「Manage Authentication」をクリックし、「SAML2.0 Federation」のスイッチを有効化します。
image.png

App IDのメタデータの取得

作成したApp ID詳細画面の「Identity Providers」→「SAML2.0 Federation」をクリック、「Download SAMLmetadata file」をクリックしてxmlファイルを取得します。

App IDにIAM Identity Center SAML IdPを設定

(前述)「IdPの情報を取得」で取得したIdPの情報を以下のように入力し、「Save」をクリックします。

  • Entity ID:IAM Identity Center SAML metadata fileをコピー
  • Sign in URL:IAM Identity Center sign-in URL をコピー
  • Primary certificate:IAM Identity Center Certificateのpemファイルの中身をコピー
    image.png

以上の手順が完了していると、App IDの「テスト」から、以下のように成功します。
image.png

IdPを設定

Default IdP URL」はログイン時に使用するURLです。必要に応じて編集します。
Manage」→「Access(IAM)」→「Identity Providers」をクリックします。
image.png

未作成の場合は「Create」、作成済の場合は右の「」より以下のように編集し「Update」をクリックします。
image.png
image.png

以上で設定が完了です。

テスト

Identity Providersの画面に記載されている「Default IdP URL」をコピーします。
image.png

ブラウザで開き、App IDインスタンスを選択します。

Login with aws」をクリックします。

App IDのログイン画面カスタムについては以下を参照ください。
Qiita: IBM Cloud: App IDのログイン画面にロゴをアップロードする方法

AWSのログイン画面が出てくるので、作成したユーザーの Username/Password を入力します。

無事IBM Cloudポータルにログインできました!
Screenshot 2024-02-09 at 15.15.23.jpg

0
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
0
0