OktaとAWS IAM Identity Centerの連携をしてみた

7.3K Views

May 03, 23

スライド概要

本スライドでは、OktaとAWS IAM Identity Centerの連携について解説しています。Oktaはアイデンティティ管理サービスで、シングルサインオン、MFA認証、アクセス管理、ユーザー管理など機能を提供しています。Oktaを使ってAWSへのSSOをする方法、許可セットで管理可能な権限制御ができる方法について説明しています。また、注意点として、資料の内容が2023年05月02日時点の情報である点とAWS公式と相違があった場合はAWS公式が正とされる点を挙げています。設定に約2〜3時間かかっており、IAM Identity Centerが1つのリージョンのみサポートされている点にも触れています。さらに、5つの適切なタグとして、AWS、Okta、SSO、アイデンティティ管理、権限制御を提案します。

おすすめタグ:AWS,Okta,SSO,アイデンティティ管理,権限制御

profile-image

インフラエンジニア

シェア

またはPlayer版

埋め込む »CMSなどでJSが使えない場合

関連スライド

各ページのテキスト
1.

OktaとAWS IAM Identity Centerの 連携をしてみた 篠田 敬廣 1

2.

注意点 • 資料の内容は2023/05/02時点の情報となります • 本登壇で説明する内容は個人の見解も含まれます • 資料の内容にAWS公式と相違があった場合、AWS 公式を正とさせていただきます 2

3.

• 認証と認可の違い • OktaとAWS IAM Identity Centerの連携 • Okta→AWSへのSSO 3

4.

“認証”と”認可”の違い 4

5.

認証と認可 認証(authentication) 認可(authorization) ユーザーがアカウントとパス ユーザーがどのリソースを操 ワード(認証情報)でシステ 作(権限)できるか ムへログインする ID: yamada EC2を起動 PW:password S3バケットの削除 5

6.

認証(authentication) 認可(authorization) EC2を起動 ID: yamada PW:password IAMユーザー (yamada) S3バケットの削除 6

7.

OktaとAWS IAM Identity Centerの 連携をしてみた 7

8.

Oktaとは • アイデンティティ管理サービスでいわゆる”IdP” • シングルサインオン、MFA認証、アクセス管理、ユーザー管 理などの機能を提供 • 多くのアプリケーションやシステムに統合 • セキュリティを強化し、ユーザーエクスペリエンスを向上 8

9.

前提 • Oktaのトライアルライセンスで検証してます ※トライアルはビジネスメールでないと利用開始できない (gmailなどはトライアル利用できない) →自分のドメイン.comメールアカウントで利用した 9

10.

ゴール(やりたいこと) IAM Identity Center [email protected] Management Console • [email protected]アカウントでAWSにログイン • マネコンを操作できる権限を付与 10

12.

所感 • 2~3時間で設定できる • IAM Identity Centerは一つのリージョンのみサポート • SCIM endpointはスラッシュを削らないとエラーになる • 許可セットで権限の制御ができる 12

13.

IAM Identity Centerは一つのリージョンのみサポート 東京Rで検証しようとしたらAWS SSO時代にオプトインして いたので素直にバージニアRで検証 13

14.

SCIM endpointはスラッシュを削らとエラーになる Okta側の設定 最後のスラッシュを削ら ないとエラーになる 14

15.

許可セットで権限の制御ができる 15

16.

Okta→AWSへのSSO 16

17.

マイアプリにIAM Identity Centerが表示 17

18.

ログインするとAWSのアプリが表示される 18

19.

許可セットで選択した ポリシーが表示 Management Consoleをクリック 19

20.

許可セットポリシーとア カウントが表示 20

21.

• ViewOnlyAccessの権限しか無いので AdministratorAccessを追加します • 設定変更権限のあるアカウントに切り替 えてAdministratorAccessを追加し ます 21

22.

IAM Identity Centerで当該アカウントの許可セットから変更 許可セットで AdministratorAccessを追加 22

23.

もう一度 Okta→AWSのSSO (AdministratorAccessが追加されているか) 23

24.

AdministratorAccessが 追加されている 24

25.

参考にしたサイト https://aws.amazon.com/jp/blogs/aws/single-signon-between-okta-universal-directory-and-aws/ https://dev.classmethod.jp/articles/okta-awssso/ https://blog.cloudnative.co.jp/2496/ https://help.okta.com/oie/jajp/Content/Topics/DeploymentGuides/AWS/awsconfigure-identity-provider.htm 25