【Azure】自社のAzureADを使用してお客さんAWS環境へSSOする

概要

お客さんのAWS環境を使用する際、アカウント/パスワード管理の手間をなくしたいという場面は多々あると思います。
自社のAzureADを使ってAWSにフェデレーションログインさせることで、そうした手間が省けます。

手順

• 以下手順を元に作業すれば大体できます。

  • チュートリアル: Azure Active Directory シングル サインオン (SSO) と AWS Single-Account Access の統合

• AWS側：お客さん側の作業

• Azure側：自社側の作業

注意点

• Azure AD SSOの構成
  • 手順４で「[基本的な SAML 構成] セクションで、[識別子 (エンティティ ID)] と [応答 URL] の両方を同じ既定値 () に更新します。」という記載があるが、ここには要注意。
  • 他の案件でデフォルトの「(略)signin.aws.amazon.com/saml」という識別子を使用している場合、別の値を命名する必要がある。（識別子はAzureAD内で一意の値である必要があるため。）
  • その際、応答URLはデフォルトのままにすることに留意する。
    • 例）
      • 識別子:(略)signin.aws.amazon.com/saml#test-project
      • 応答URL:(略)signin.aws.amazon.com/saml
• Azure AD テスト ユーザーの割り当て
  • ユーザー追加はここの手順で実施するのではなく、AWS Single-Account Access でロール プロビジョニングを構成する方法の手順が完了してから実施する。
  • プロビジョニングが完了していないと、AWS側で作成したロールが取り込めないため、ログインするための適切な権限が割り当てられない模様。
  • AWS側のロールが1つだけだったら手順通りのDefault設定で問題ないかもしれないが、複数ロールが作成されている場合はプロビジョニングが完了してからユーザー追加画面で適切なロールを選択しないとログイン時にエラーが発生した。
  • プロビジョニングが完了すると権限選択の画面でAWS側のロールが表示されるようになる