AWS シングルサインオンのすゝめ

4K Views

June 04, 23

スライド概要

JAWS-UG Okayama 2023 でお話しした資料です。

profile-image

技術教育エンジニア ネットワーク・クラウド インフラエンジニア 場所と場所、ものと物、人と人の相互接続環境を整える

シェア

またはPlayer版

埋め込む »CMSなどでJSが使えない場合

関連スライド

各ページのテキスト
1.

AWS シングルサインオンのすゝめ SAMLを使用したSSO環境

2.

本資料の目的とゴール 【目的】 AWSへシングルサインオンできる環境の構成の紹介 【ゴール】 シングルサインオン環境の概要を説明し AWSアカウントを管理するオペレーションのお役に立つ

3.

自己紹介 ◼ 氏名 ⚫ 難波 和生(なんば かずお) ◼ 所属/担当 ⚫ トレノケート株式会社 ⚫ クラウド系コースの講師 ◼ 経歴 ⚫ ⚫ ⚫ ⚫ インフラエンジニア 伝送交換・線路エンジニア 情報システム管理者 クラウドエンジニア ◼ 資格 ⚫ ネットワークスペシャリスト ⚫ 電気通信主任技術者 ⚫ 第一級陸上特殊無線技士

4.

本資料のアジェンダ • どうしてシングルサインオン(SSO)環境が必要なの? • AWSでのSSO環境のパターン(2つ) • AWSでのSSO環境

5.

本資料のアジェンダ • どうしてシングルサインオン(SSO)環境が必要なの? • AWSでのSSO環境のパターン(2つ) • AWSでのSSO環境

6.

どうしてシングルサインオン (SSO)が必要なの? SSO「Single Sign-On(シングルサインオン)」の略 • IDとパスワードを一度入力すれば複数のサービスにログインして利用 できる仕組み • 一度認証を受ければ、別のサービスを利用する場合にも追加の認証は 不要 SSO とは何ですか?

7.

どうしてシングルサインオン (SSO)が必要なの? 1つの企業や組織が複数のAWSアカウントを所有するケースの増加 • AWSアカウントを分けるケース(マルチアカウント) • AWS環境を完全に独立させたい(開発・テスト・本番) • AWSリソースの使用料金を把握したい(案件単位・部門ごと) スタートアップにおけるマルチアカウントの考え方と AWS Control Tower のすゝめ

8.

どうしてシングルサインオン (SSO)が必要なの? AWS複数アカウント(マルチアカウント)戦略のつらさ • 各AWSアカウント毎のIAMユーザ管理(入社・退社・部署移動)

9.

どうしてシングルサインオン (SSO)が必要なの? AWS複数アカウント(マルチアカウント)戦略のつらさ • 各AWSアカウント毎のIAMユーザ管理(入社・退社・部署移動) • 現在使用しているユーザー管理システムの認証情報を活用してAWS アカウントへSSO

10.

本資料のアジェンダ • どうしてシングルサインオン(SSO)環境が必要なの? • AWSでのSSO環境のパターン(2つ) • AWSでのSSO環境

11.

AWSでのSSO環境のパターン パターン1:AWS Organizations の管理権限がある場合 ・自分たちの会社や組織で複数のAWSアカウントの管理 ・AWS IAM Identity Center や AWS Control Tower AWS Organizations:複数のアカウントを一元的に管理および統制することを可能にする AWS のサービス

12.

AWSでのSSO環境のパターン パターン1:AWS Organizations の管理権限がある場合 ・自分たちの会社や組織で複数のAWSアカウントの管理 ・AWS IAM Identity Center や AWS Control Tower パターン2:AWS Organizations の管理権限がない場合 ・クラウドインテグレーターのAWSアカウント管理サービスを使用 ・既存のAWS Organizations で管理されているAWSアカウントへSSO AWS Organizations:複数のアカウントを一元的に管理および統制することを可能にする AWS のサービス

13.

AWSでのSSO環境のパターン パターン1:AWS Organizations の管理権限がある場合 ・自分たちの会社や組織で複数のAWSアカウントの管理 ・AWS IAM Identity Center や AWS Control Tower パターン2:AWS Organizations の管理権限がない場合 ・クラウドインテグレーターのAWSアカウント管理サービスを使用 ・既存のAWS Organizations で管理されているAWSアカウントへSSO AWS Organizations:複数のアカウントを一元的に管理および統制することを可能にする AWS のサービス

14.

本資料のアジェンダ • どうしてシングルサインオン(SSO)環境が必要なの? • AWSでのSSO環境のパターン(2つ) • AWSでのSSO環境

15.

AWSでのSSO環境 今回のシナリオ • SAML認証 (Security Assertion Markup Language) • 既存のID管理システム(IdP)のユーザーを使用してAWS (SP)へアクセス ID プロバイダー :Identity Provider (IdP) サービスプロバイダ : Service Provider (SP) • Microsoft365(Azure Active Directory)や Google Workspace(Cloud Identity)で管理しているユーザーを使用してAWSアカウントへSSO SAML 2.0 ベースのフェデレーションについて

16.

SAMLを使用したAWSシングルサインオン構成例 ID プロバイダー:Identity Provider (IdP) サービスプロバイダ: Service Provider (SP) Microsoft365 や Google Workspace • Azure Active Directory • Google Cloud Identity AWS Cloud 2.サービスプロバイダ (SP)を登録 信頼関係 1.IAM SAML IDプロバイダ を登録 SAML アプリケーション Role promotion-gate-oparation SAML Provider 4.SAML endpoint へアクセス User Client 3.User は IdPへログインし SAMLアプリケーションへアクセ ス 6.一時的な認証情報 が 返信される 7.6で取得した 一時的な認証情報 を使用してシングルサインオン Permissions (Policies) SAML Endpoint AWS Management Console 5.一時的な認証情報 の発行を依頼 AWS STS (alternate) Google Workspace を用いて AWS へのフェデレーティッド シングルサインオンをセットアップする方法 チュートリアル: Azure AD SSO と AWS Single-Account Access の統合

17.

SAMLを使用したAWSシングルサインオン構成例 Identity Provider (IdP) Microsoft365 Google Workspace Service Provider (SP) AWS Cloud A AWS Cloud SP Role スイッチロールでアクセス AWS Management Console Permissions (Policies) AWS Cloud B Switch Role B User Client SAML AWS Management Endpoint Console Role AWS Management Console Permissions (Policies) AWS Cloud C Role AWS Management Console 帽子をかぶって、スイッチロールをマスターしよう Permissions (Policies)

18.

デモンストレーション:1 • Cloud Identity (IdP)と AWSアカウント(SP)をつ かったシングルサインオン環境デモンストレーション Cloud Identity とは

19.

SAMLを使用したAWSシングルサインオン構成例(CLI環境) Identity Provider (IdP) Microsoft365 Google Workspace Service Provider (SP) AWS Cloud SP AWS Cloud A AWS CLI [AWS-Cloud-A] role_arn = arn:aws:iam::<AWS-ID-A>:role/<AWS-Role-A> source_profile = AWS-Cloud-SP AWS Cloud B 一時的な認証情報 AWS CLI User Client AWS-Role-A SAML Endpoint AWS STS (alternate) プロファイルを設定 AWS-Role-B [AWS-Cloud-B] role_arn = arn:aws:iam::<AWS-ID-B>:role/<AWS-Role-B> source_profile = AWS-Cloud-SP AWS Cloud C [AWS-Cloud-SP] aws_access_key_id = <一時的なキーID> aws_secret_access_key = <一時的なアクセスキー> aws_session_token = <一時的なトークン> AWS CLI AWS-Role-C [AWS-Cloud-C] role_arn = arn:aws:iam::<AWS-ID-C>:role/<AWS-Role-C> source_profile = AWS-Cloud-SP

20.

デモンストレーション:2 • シングルサインオンで取得した一時的な認証をつかった AWS CLI 環境のデモンストレーション Cloud Identity とは

21.

まとめ • どうしてシングルサインオン(SSO)環境が必要なの? • AWSでのSSO環境のパターン(2つ) パターン1:AWS Organizations の管理権限がある場合 パターン2:AWS Organizations の管理権限がない場合 • AWSでのSSO環境

22.

AWS シングルサインオンのすゝめ SAMLを使用したSSO環境 ありがとうございました<(_ _)>