AWSのAWS-SSOのSSOとプロビジョニングについて
OktaでAWS-SSOにSSOとプロビジョニングする方法を記述します。
以前Qiitaに書いたAWSコンソールへのSSO( Okta→AWSコンソールのSSO(SAML)とプロビジョニング )と同様プロビジョニングでIAMユーザーが作成されることはありません。OktaのプロビジョニングでAWS-SSOのユーザーが作成されます。そのユーザーにAWS-SSOが権限セットを一時的に付けAWSコンソールにアクセスさせます。
AWS-SSOは初めて触りましたが会社のような組織では複数アカウントあるなしに関わらず必須だと思いました。OktaなどのIDaaSを使っていなくても便利だと思います。IDaaSを使うことでより便利になります。
あと、AWS-SSOは無料です。
前提
- AWSアカウント作成済み
- AWS-SSO作成済み
- Oktaアカウント作成済み
Oktaにアプリケーションを追加
Oktaの管理画面から「Applications」>「Applications」>「Browse App Catalog」をクリックします。
検索ボックスに「aws」などと入力し「AWS Single Sign-on」を選択します。
「Add」をクリックします。
デフォルトのまま「Done」をクリックします。
これでOktaにアプリケーションが作成されました。
「Sign On」タブの「Identity Provider metadata」リンクで表示されるXMLを保存しておきます。
AWS-SSOにOktaを登録
「設定」をクリックします。
IDソースの「変更」をクリックします。
「外部IDプロバイダー」を選択します。
「AWS SSO ACS URL」と「AWS SSO 発行者 URL」をコピーしておきます。
IdP SAML メタデータにOktaで保存したXMLをアップロードし、「次:確認」をクリックします。
文章を確認し、「ACCEPT」と入力、「IDソースを変更」をクリックします。
設定が完了しました。
設定画面の「自動プロビジョニングを有効化」をクリックします。
ダイアログが表示されるので「SCIM エンドポイント」と「アクセストークン」をコピーします。
Oktaのプロビジョニングの有効化
Provisioningタブの「Configure API Integration」をクリックします。
「Enable API integration」にチェック
BASE URLに先ほどコピーした「SCIM エンドポイント」(URLの最後のスラッシュは削除してください。エラーになります。)
API Tokenにも先ほどコピーした「アクセストークン」をセットし「Test API Credentials」をクリックします。テストに成功すると「AWS Single Sign-on was verified successfully!」と表示されます。
テストに成功したら「Save」をクリックします。
「Eidt」をクリックします。
「Create Users」「Update User Attributes」「Deactivate Users」にチェックを入れ「Save」をクリックします。
これでプロビジョニングの設定は完了したので、ユーザー、グループをアサインしてください。
アサインするとプロビジョニングが開始されます。
プロビジョニングされたユーザーはAWS SSOのユーザー画面で確認できます。ここまでの設定でOktaからAWS-SSOにSSOできるようになっています。
グループをプロビジョニングする
グループのプロビジョニングは指定してプロビジョニングする必要があります。
Oktaの「Push Groups」タブで「Push Groups」をクリックし、「Find groups by name」をクリックします。
プロビジョニングしたいグループ名をテキストエリアに入力すると検索されるので、選択します。「Save」をクリックします。
AWS-SSOのグループ一覧に追加されていることが確認できます。
メンバーもプロビジョニングされます。
グループにアクセス権をセット
AWSアカウント > 「アクセス権限セット」タブ > 「アクセス権限セットを作成」をクリックします。
「既存の職務機能ポリシーを使用」を選択し「次:詳細」をクリックします。
(「カスタムアクセス権限セットを作成」は任意のポリシーを設定できる権限セットを作成できます。)
「PowerUserAccess」を選択し「次:タグ」をクリックします。
「次:確認」をクリックします。
「作成」をクリックします。
AWS-SSOの「AWS アカウント」 > 「AWS 組織」タブ > 「AWS account」を選択 > 「ユーザーの割り当て」をクリックします。
「グループ」タブでグループを選択し、「次:アクセス権限セット」をクリックします。
先ほど作成した権限セットを選択し「完了」をクリックします。
権限セットの付与に成功しました。
接続テスト
GUI
OktaからAWS-SSOにログインすると以下のように表示されます。「AWS Account (1)」をクリックします。
「Management console」をクリックします。
マネージメントコンソールにログインできました。
AWS CLI
AWS-SSOがすごいのはCLIからもSSOできることです。
AWS Single Sign-On を使用するための AWS CLI の設定
コンソールでaws configure ssoと打ちます。
SSO Start URLにはユーザーポータルURL
SSO RegionにはSSOを作成したリージョン(ここでは東京(ap-northeast-1))
を入力します。ユーザーポータルURLはAWS-SSOの設定画面で確認できます。
コンソールに表示されたURL( https://device.sso.ap-northeast-1.amazonaws.com/ )をブラウザで開きます。Codeにはコンソールに表示されたThen enter the code:の値を入力します。この場合は「GFNT-KSPW」になります。入力し「Next」をクリックします。
「Allow」をクリックします。
承認されました。
承認後デフォルトリージョン、アウトプットフォーマット、プロファイル名が聞かれるので入力します。
Using the role name "PowerUserAccess"
CLI default client Region [ap-northeast-1]:
CLI default output format [json]:
CLI profile name [PowerUserAccess-XXXXXXXXXXXX]:
これでAWS CLIが使えるようになりました。
PS C:\Users\urushibata> aws s3 ls --profile PowerUserAccess-XXXXXXXXXXXX
2021-11-07 09:07:13 aws-cloudtrail-logs-xxxxxxxxxxxxxx-xxxxxxx
2021-04-18 02:11:50 codepipeline-ap-northeast-1-xxxxxxxxxxx
...
トラブルシューティング
無効な MFA 認証情報
MFA 認証情報が正しくありません。デバイスを確認して、もう一度お試しください。
このエラーの場合、プロビジョニングが失敗しています。
私の場合プロビジョニングの設定前にユーザーやグループをアサインしてしまっていたので、一度外してから再アサインすると直りました。