AWS SSOを試してみた

背景・目的

最近、シングルサインオンを調べる機会があったので、AWS SSOについて触れてみたいと思います。

まとめ

• AWS SSOは、ユーザを管理するIDプールの機能と、アクセス権限セットを管理する機能、アクセス権限セットを割り当てる機能、SaaSが提供しているを有している。
• IDプールには、AWS SSOがデフォルトで利用され、それ以外にMicrosoft Active Directoryや、外部IDプロバイダーなど指定ができる。
• SSOアプリケーションには、AWSサービスの他に、クラウドアプリケーションを指定し管理することができる。

概要

AWS SSOとは？

• すべてのAWSアカウントとクラウドアプリケーションへのSSOアクセスを一元管理することを用意にするクラウドベースのシングルサインオンサービス。
• 具体的には、AWS組織内のすべてのAWSアカウントにわたるSSOアクセスとユーザ権限を管理するのに役立つ。
• 一般的に使用されるサードパーティーサービスとしてのSaaSアプリケーション、SSO統合アプリケーション、SAML2.0をサポートするカスタムアプリケーションへのアクセスとアクセス許可のための管理にも役立つ　
• SSOには、エンドユーザが割り当てられれたすべてのAWSアカウント、クラウドアプリケーション、カスタムアプリケーションを一箇所で見つけてアクセスできるユーザポータルが含まれている。

SSOの機能

AWS Organizationsとの統合

AWS Organization、AWS APIと緊密に統合されている。SSOはOrganizationとネイティブに統合され。すべてのAWSアカウントを列挙する。
アカウントをOU単位で整理している場合は、AWS SSOコンソール内にそのように表示される。

AWSアカウントと、クラウドアプリケーションへのSSOアクセス

SSOを使用すると、カスタムスクリプト、サードパーティのSSOを使用せずに、すべてのAWSアカウント、クラウドアプリケーション、AWS SSO統合アプリケーション、カスタムSAML2.0ベースのアプリケーションでSSOを簡単に管理できる。
SSOコンソールを使用して、パーソナライズされたエンドユーザポータルに対して承認したアプリケーションのみにワンクリックでアクセスできるユーザを素早く割り当てる。

AWS SSOユーザとグループを作成および管理する

初めてサービスを有効にすると、AWS SSOにデフォルトのストアが作成される。このストアを使用してコンソールで直接ユーザとグループを管理できる。
または、必要に応じ、既存のAWSマネージドMicrosoft ADディレクトリに接続し、Windows Serverで提供される標準のActiveDirectory管理ツールを使用して、ユーザを管理できる。
また、外部IDプロバイダーからAWS SSOにユーザを管理することを選択した場合は、ユーザを作成してからコンソール内でグループを簡単に整理できる。

既存の企業アイデンティティを活用する

AWS DirectoryServiceを介して、MicrosoftADと統合されている。従業員は、企業のActiveDirectory資格情報を使用してSSOユーザポータルにサインインできる。Active Directoryユーザにアカウントとアプリケーションへのアクセスを許可するには、それらを適切なActive Directoryグループに追加するだけ。
例

• DevOpsグループに追加されたユーザは、AWSアカウントへのSSOアクセスが自動的に許可される。

これにより、新しいユーザのオンボーディングが容易になり、既存のユーザがあらたらしいアカウントやアプリケーションに素早くアクセスできるようになる。

一般的に使用されるクラウドアプリケーションと互換性がある。

SalesforceやBoxなどの一般的なクラウドアプリケーションをサポートしている。これにより、アプリケーション統合手順が提供されるため、SSOようにこれらのアプリケーションをセットアップおよびトラブルシューティングするのに役立つガードレールとして機能する。
管理者は、微妙な違いを学ぶ必要はない。

セットアップと使用状況の監視が簡単

管理にソフトウェアやハードウェアを必要としない、可用性が高く完全に安全なインフラストラクチャ。
すべてのサインインアクティビティをAWS CloudTrailに記録し、SSOアクティビティを一箇所で監視および監査するための可視性を提供する。

既存のIAMユーザ、役割、およびポリシーと共存する

SSO有効化しても、IAMですでに管理しているユーザ、ロール、ポリシーに影響しない。

無料のID管理

Organizationsを使用して管理されている任意のAWSアカウントをAWS SSOに追加できる。
SSOとOrganizationの両方が追加コスト無しで利用可能。

主要な概念

ユーザ、グループ、及びプロビジョニング

ユーザ名とメールアドレスの一意性

SSOで作業する場合、ユーザは一意に識別可能である必要がある。SSOはユーザのプライマリ識別子であるユーザ名を実装する。
殆どの人は、ユーザ名をユーザの電子メールアドレスと同じ設定にするが、SSO、SAMLではこれは必要なし。
ただし、SAMLベースのアプリケーションの大部分は、ユーザの一意の識別子として電子メールアドレスを使用している。
これは、SAMLID プロバイダーが認証中に送信するアサーションから取得する。このようなアプリケーションは、各ユーザのメールアドレスの一意性に依存する。
SSOでは、ユーザのサインインに電子メールアドレス以外のものを指定できる。SSOでは、ユーザのすべてのユーザ名と電子メールアドレスがNULLではなく、一意である必要がある。

グループ

定義するユーザの論理的な組み合わせ。グループを作成し、ユーザを追加できるが、グループへのグループ追加をサポートしてない。
グループに対して権限を付与することで管理が楽になる。

ユーザとグループのプロビジョニング

SSOで直接ユーザとグループを作成することも、ActiveDirectoryまたは外部IDプロバイダーにあるユーザとグループを操作することもできる。

SSO統合アプリケーションへの有効化

SSOは、他のAWSアプリ及びサービスによる統合をサポートしている。これらのアプリケーションは、SSOを使用して認証を実行し、ユーザ及びグループに関する情報にアクセスできる。

以下のいずれかにより、SSOは、サインイン資格情報を除くユーザ属性とグループ属性を含むIDストアを提供する。
SSO IDストアのユーザとグループを最新の状態に保つことができる。

• SSO IDストアをメインのIDソースとして使用する。この方法を選択した場合、SSOコンソール、CLIからユーザとグループを管理する。
• 次のIDソースのいずれかから、SSO IDストアへのユーザとグループのプロビジョニング（同期）を設定する。
  • Active Directory
  • 外部IDプロバイダー
    プロビジョニングを選択した場合、IDソース内からユーザとグループを引き続き管理し、それらのSSO IDストアに同期される。

選択したIDソースに関係なく、SSOにはユーザとグループをSSO統合アプリケーションと共有する機能がある。
この機能により、IDソースをSSOに一度接続してから、クラウド内の複数アプリケーションとID情報を共有することができる。
これにより、各アプリケーションでフェデレーションとIDプロビジョニングを個別に設定する必要がなくなる。これにより、各従業員が様々なAWSアカウントの多くのアプリに簡単にアクセスできる。

AWSアカウントでID情報を共有する際の考慮事項

SSOに含まれる属性は、アプリケーション全体で一般的に使用される基本的な属性。これらの属性には以下などの情報が含まれる。この個人を特定できる情報を使用できるアプリケーションとアカウントの検討が必要。

• 姓名
• 電話番号
• メールアドレス
• 住所
• 優先言語

これらの情報へのアクセスを制御するには、2つのオプションが有る。

• AWS組織の管理アカウントのみ、またはすべてのAWS組織のアカウントでアクセスを有効にすることを選択できる。
• SCPを使用して、どのアプリケーションがどの組織アカウントの情報にアクセスできるかを制御する。

AWSアカウントでSSO統合アプリケーションを有効にする。

初めてSSOを有効にすると、AWSはすべての組織アカウントで統合アプリケーションの仕様を自動的に有効にする。アプリケーションを制約するには、SCPを実装する必要がある。
※2019/11/25 より前にSSOを有効化した場合、SSOはすべてのAWS Organizationアカウントで統合アプリケーションの使用を無効にする。
統合アプリケーションを使用するには、管理アカウントでそれらを有効化し、オプションでメンバアカウントで有効にする。

SAMLフェデレーション

SSOは、SAML2.0を使用したIDフェデレーションをサポートしている。SMAL2.0は、SAMLオーソリティ（IdP）とSAMLコンシューマ（SP）
の間で、ユーザに関する情報を渡すSAMLアサーションを安全に交換するために使用される業界標準である。

SSOでは、この情報を使用して、SSOユーザポータル内でアプリケーションの仕様を許可されているユーザにフェデレーションシングルサインオンを提供している。

SSOは、マネージドMicrosoftAD、またはSSOストアのいずれにかにSAMLIｄP機能を追加する。その後、ユーザは、AWS Managed ConsoleやOffice365などのサードパーティアプリケーションなど、SAMLをサポートするサービスにSSOを実行できる。

ユーザ認証

ユーザは、ユーザ名を使用してユーザポータルにサインインする。その場合、SSOはユーザのメールアドレスに関連付けられたディレクトリに基づいて、要求をSSO認証サービスにリダイレクトする。
認証されると、ユーザは追加のサインインプロンプトなしでSSOアクセスできる。

認証セッション

SSOにより維持される認証セッションには2つのタイプが有る。

• SSOへのユーザのサインイン
• SageMakerStudioやGrafanaなどのSSO統合アプリケーションへのユーザアクセス

ユーザがSSOにサインインするたびに、8Hの有効期限でサインインセッションが生成される。
ユーザがSSO対応アプリケーションにアクセスするたびに,SSOサインインセッションを使用して、そのSSOアプリケーションセッションを取得する。
SSOアプリケーションのセッション有効期限は1H。SSOアプリケーションは、取得元のSSOサインインセッションが有効である限り、1Hごとに自動的に更新される。

ユーザがSSOを使用して、管理コンソール、またはCLIにアクセスすると対応するSSOアクセス許可セットで指定されているように
SSOサインインセッションを使用してIAMセッションを取得する。

SSOでユーザを無効化、削除すると、そのユーザはすぐにサインインして新しいSSOサインインセッションを生成できなくなる。
SSOサインインセッションは1Hキャッシュされる。
つまり、最大1Hは継続される。

セッションが切れると、ユーザはSSOアプリやIAMロールセッションを開始できなくなる。
ただし、SSOアプリセッションは、1Hキャッシュすることもできるので、+1Hはアクセスできる。

権限セット

権限セット管理の委任

SSOを使用すると、SSOリソースのARNを参照するIAMポリシーを作成することにより、アカウントの権限セットと割当の管理を委任できる。

IDソースの管理

以下のいずれかのIDソースを指定できる。

• SSO IDストア
  • デフォルトはこれ。
• Active Directory
• 外部IDプロバイダー

AWSアカウントへのSSOアクセスを管理する

SSOは、Organizationと統合されているため、管理者は、ユーザがAWS管理コンソールへのSSOアクセスを必要とする複数のAWSアカウントを選択できる。
これらのアカウントは、Oraganization管理アカウント、またはメンバーアカウントのいずれかになる。

• 管理アカウントは、Oraganizationの作成に使用されるアカウント
• メンバーアカウントは、管理アカウント以外。

権限セットを使用して、ユーザがAWS管理コンソールで実行できることを更に絞り込むことができる。

権限セットとは、SSOで権限を一元的に定義して、すべてのAWSアカウントに適用する方法。権限セットにより、IAMロールとして各AWSアカウントにプロビジョニングされる。ユーザポータルを使用し、ユーザは特定のAWSアカウントのIAMロールの一時的なクレデンシャルを取得できるため、AWS CLIへの短期間のアクセスに使用できる。

SSOでカスタムSAMLアプリケーションとしてアカウントを設定することにより、Organizationの一部ではないAWSアカウントに接続することもできる。

実践

AWS SSOの使用開始方法を参考に試してみます。

AWS SSOの有効化

1. AWS SSOのトップ画面で、「AWS SSOの有効化」をクリックすると、設定画面が表示されます。

ユーザの追加

1. ユーザを追加をクリックします。
   

2. 以下を入力し次へをクリックします。

   1. ユーザ名
   2. メールアドレス
   3. 姓名
   4. 表示名
      

3. 該当のグループにチェックを入れて、次へをクリックし、ユーザをグループに追加します。(まだグループがない場合、「グループを作成」をクリックします。)
   

4. 最後に確認画面が表示されるので、「ユーザを追加」をクリックします。

5. できました。
   

初回ログイン

1. 追加されたユーザには、メールが届いてるので「Accept Invitation」をクリックします。
   

1.パスワードを設定します。

1.ログインできました。

グループを作成

1. グループ名を入力し、グループを作成をクリックします。
   

2. できました。
   

権限セットを作成及び管理する

権限セットを作成する（事前定義された許可セットを作成する）

1. 許可セット（アクセス許可セット）をクリックします。

2. 許可セットを作成をクリックします。
   

3. タイプを 「事前定義された許可セット」をクリックします。
   

4. 事前定義された許可セットのポリシーで「ViewOnlyAccess」を選択し「次へ」をクリックします。
   

5. デフォルトのまま「次へ」をクリックします。
   

6. 確認画面が表示されるので「作成」をクリックします。

7. 作成されました。この時点では、プロビジョンされたステータスは有効になっていません（プロビジョンされていません）。権限セットをグループやユーザに割り当ててから適用する必要があるようです。
   

権限セットを割り当てる。

1. 左のナビゲーションペインで、AWSアカウントをクリックします。

2. 対象のAWSアカウントを選択し、「ユーザまたはグループを割り当て」をクリックします。

3. グループをアカウントに割り当てます。グループをチェックし、Nextをクリックします。
   

4. アクセス許可セットを選択して、Nextをクリックします。
   

5. 送信をクリックします。

6. アクセス許可セットがプロビジョン済みになりました。
   

7. SSOの画面でアクセス許可セットが表示されました。（上記の操作に加えて、AdminisotratorAccessも作成し、割り当てています。）
   

8. ViewOnlyAccessのアクセス権限セットのManagement Consoleをクリックします。画面右上を見ると、ViewOnlyAccess/ユーザ名（testuser）が表示されました。
   

1.最後に、作成したアクセス権限セット、ユーザ、グループ等を削除します。

考察

今まで、なんとなく使用していたシングルサインオンを実際に手を動かして作ると、より理解が深まりました。
次回以降は、アプリケーションへのSSO、DirectoryServiceをIDソースに設定するなど試してみたいと思います。

参考