ども。こんばんは。

厳密には、Azure AD Premiumの機能ではないのですが、せっかくAzure ADを利用しており、条件付きアクセスも設定したので、AWSコンソール(AWS Console)へのログインをSAMLを使ったSSOで実装します。

基本的に以下のドキュメントに従って進めていけばOKです。
若干AWSの画面が変わっているので手順をご紹介します。

チュートリアル:Azure Active Directory シングルサインオン (SSO) とアマゾンウェブサービス (AWS) の統合

■Azure ADの設定(1)
■AWS Consoleの設定
■Azure AD側の設定(2)
■アプリケーションへのユーザ追加とテスト

■Azure ADの設定(1)

まずは、Azure ADのエンタープライズアプリケーションにAmazon Web Services(AWS)を追加します。

なんか2個ありますが、Amazon Web Servicesの方です。

数秒で追加は完了します。

シングルサインオンの設定に移動し、SAMLを選択します。

なんか聞かれたのでとりあえず「はい」を押しておきます。

チュートリアル通りだと次に証明書を作りますが、チュートリアルと違ってすでに証明書が存在していました・・・が、一応手順どおりに「新しい証明書」をクリックして作ります。

出来上がったらアクティブ化します。

「フェデレーション証明書XML(フェデレーションメタデータXML)」をダウンロードします。

いきなりテストする？って聞かれますが、このタイミングではAWS側の準備が整ってないので失敗するはず・・・ですのでテストはしません。

■AWS Consoleの設定

ここから、AWS Console側の設定を行います。

IAMのIDプロバイダの設定に移動します。

「IDプロバイダを作成」をクリックし、SAMLを選択します。

プロバイダ名は適当に、メタデータドキュメントにはダウンロード済みのフェデレーションメタデータXMLをアップロードします。

できました。
IAMロールを割り当てろって出てますが、次の手順で適用します。

IAMに新しいロールを作成します。
画面が見切れてしまっていますが、「信頼されたエンティティの種類」にはSAML2.0を、SAMLプロバイダーには、先程作成したAzure ADのものを選択します。
「プログラムによるアクセスとAWSマネジメントコンソールによるアクセスを許可する」を選択しておきます。

アクセス権限は、必要な内容によって決定します。
今回は管理者アクセスをしたいので、AdministratorAccessにしています。
この辺って実際の運用ではどうするんでしょうね。。
エンタープライズアプリケーションを複数登録して割り当てるユーザごとにロールも変える感じ何でしょうか。
このあたりの細かいアクセス制御は勉強不足です。

タグは省略します。
これでロールは完成です。

続いて、Azure ADがロールをフェッチするためのポリシーを作成します。ここ正直ちゃんと理解できてないです。。のでとりあえず手順どおりにやります。

IAMでポリシーを作成して以下のJSONを貼り付けます。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
            "iam:ListRoles"
            ],
            "Resource": "*"
        }
    ]
}

保存します。