弊社では board というサービスを使用して、見積書発行、請求書発行などの業務を行っております。
このサービスは、SAML による SSO ログインに対応しているので、AWS Single Sign-On からログインできるように設定してみました。
board の FAQ には Okta とか Azure AD とかの設定方法は書いてあったけど、AWS Single Sign-On での設定方法は書いてなかったので、メモ的に残しておきます。
AWS SSO へのアプリケーション登録
Applications から New Application として Add a Custom SAML 2.0 application を選択します。
次に表示される画面で AWS SSO SAML metadata file をダウンロードしておきます。
他の箇所は特に変更する必要はないです。
Display name と Description だけ、お好みで変更してください。
board でのシングルサインオン設定
マスターアカウントで「シングルサインオン」アドオンを有効にする必要があります。
アドオンを有効にしたら、あとはマスターアカウントの権限は必要ないため、管理者権限があるアカウントで設定可能です。
参考: SAML認証によるシングルサインオン(SSO)
管理者権限のあるアカウントで「組織設定」 - 「シングルサインオン設定」を選択します。
ID プロバイダ設定
SAMLメタデータとして AWS SSO で作成したアプリケーションからダウンロードした AWS SSO SAML metadata file をアップロードして、「登録」をクリックします。
サービスプロバイダー情報
「サービスプロバイダー情報」タブにある以下の情報をコピーしておいてください。
- ACS URL
- Audience
SSO動作モード
「SSO動作モード」タブで「通常ログイン・シングルサインオン併用」を選択して「登録」をクリックしてください。
全てのユーザの AWS SSO からのログインが確認できたら、この設定は「シングルサインオンのみ」に変更した方が良いでしょう。
board 側の設定はこれで完了です。
AWS SSO アプリケーションの設定変更
Application metadata の設定
AWS SSO の管理画面に戻って、先ほど作成したアプリケーションの設定を変更します。
Application metadata を以下のように設定します。
- Application ACS URL : board の「サービスプロバイダー情報」の
ACS URL - Application SAML audience : board の「サービスプロバイダー情報」の
Audience
Attribute mappings の設定
以下のように設定します。
| User attribute in the application | Maps to this string value or user attribute in AWS SSO | Format |
|---|---|---|
| Subject | ${user:email} | persistent |
| last_name | ${user:familyName} | unspecified |
| first_name | ${user:givenName} | unspecified |
| ${user:email} | unspecified |
これで、設定完了です。
AWS SSO から board にログインできるようになります。