概要
お客さんのAWS環境を使用する際、アカウント/パスワード管理の手間をなくしたいという場面は多々あると思います。
自社のAzureADを使ってAWSにフェデレーションログインさせることで、そうした手間が省けます。
手順
-
以下手順を元に作業すれば大体できます。
-
AWS側:お客さん側の作業
-
Azure側:自社側の作業
注意点
-
Azure AD SSOの構成
- 手順4で「[基本的な SAML 構成] セクションで、[識別子 (エンティティ ID)] と [応答 URL] の両方を同じ既定値 () に更新します。」という記載があるが、ここには要注意。
- 他の案件でデフォルトの「(略)signin.aws.amazon.com/saml」という識別子を使用している場合、別の値を命名する必要がある。(識別子はAzureAD内で一意の値である必要があるため。)
- その際、応答URLはデフォルトのままにすることに留意する。
- 例)
- 識別子:(略)signin.aws.amazon.com/saml#test-project
- 応答URL:(略)signin.aws.amazon.com/saml
- 例)
-
Azure AD テスト ユーザーの割り当て
- ユーザー追加はここの手順で実施するのではなく、AWS Single-Account Access でロール プロビジョニングを構成する方法の手順が完了してから実施する。
- プロビジョニングが完了していないと、AWS側で作成したロールが取り込めないため、ログインするための適切な権限が割り当てられない模様。
- AWS側のロールが1つだけだったら手順通りのDefault設定で問題ないかもしれないが、複数ロールが作成されている場合はプロビジョニングが完了してからユーザー追加画面で適切なロールを選択しないとログイン時にエラーが発生した。
- プロビジョニングが完了すると権限選択の画面でAWS側のロールが表示されるようになる