ども。こんばんは。
厳密には、Azure AD Premiumの機能ではないのですが、せっかくAzure ADを利用しており、条件付きアクセスも設定したので、AWSコンソール(AWS Console)へのログインをSAMLを使ったSSOで実装します。
基本的に以下のドキュメントに従って進めていけばOKです。
若干AWSの画面が変わっているので手順をご紹介します。
チュートリアル:Azure Active Directory シングル サインオン (SSO) とアマゾン ウェブ サービス (AWS) の統合
■Azure ADの設定(1)
まずは、Azure ADのエンタープライズアプリケーションにAmazon Web Services(AWS)を追加します。
なんか2個ありますが、Amazon Web Servicesの方です。
数秒で追加は完了します。
シングルサインオンの設定に移動し、SAMLを選択します。
なんか聞かれたのでとりあえず「はい」を押しておきます。
チュートリアル通りだと次に証明書を作りますが、チュートリアルと違ってすでに証明書が存在していました・・・が、一応手順どおりに「新しい証明書」をクリックして作ります。
出来上がったらアクティブ化します。
「フェデレーション証明書XML(フェデレーションメタデータXML)」をダウンロードします。
いきなりテストする?って聞かれますが、このタイミングではAWS側の準備が整ってないので失敗するはず・・・ですのでテストはしません。
■AWS Consoleの設定
ここから、AWS Console側の設定を行います。
IAMのIDプロバイダの設定に移動します。
「IDプロバイダを作成」をクリックし、SAMLを選択します。
プロバイダ名は適当に、メタデータドキュメントにはダウンロード済みのフェデレーションメタデータXMLをアップロードします。
できました。
IAMロールを割り当てろって出てますが、次の手順で適用します。
IAMに新しいロールを作成します。
画面が見切れてしまっていますが、「信頼されたエンティティの種類」にはSAML2.0を、SAMLプロバイダーには、先程作成したAzure ADのものを選択します。
「プログラムによるアクセスとAWSマネジメントコンソールによるアクセスを許可する」を選択しておきます。
アクセス権限は、必要な内容によって決定します。
今回は管理者アクセスをしたいので、AdministratorAccessにしています。
この辺って実際の運用ではどうするんでしょうね。。
エンタープライズアプリケーションを複数登録して割り当てるユーザごとにロールも変える感じ何でしょうか。
このあたりの細かいアクセス制御は勉強不足です。
タグは省略します。
これでロールは完成です。
続いて、Azure ADがロールをフェッチするためのポリシーを作成します。ここ正直ちゃんと理解できてないです。。のでとりあえず手順どおりにやります。
IAMでポリシーを作成して以下のJSONを貼り付けます。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "iam:ListRoles" ], "Resource": "*" } ] }
保存します。
つづいて、今作ったポリシーを利用できるユーザを作成します。
ポリシーには先程作成したものをアタッチします。
タグは省略します。
これでロールフェッチ用のアカウントの作成は完了です。
次のページで、APIキーとシークレットが表示されるので、ダウンロードするなどして控えておきます。
■Azure AD側の設定(2)
プロビジョニングの設定をします。
Amazon Web Services(AWS)アプリケーションのプロビジョニングに移動し、作業を開始します。
プロビジョニングを自動にし、AWS側の設定で作成したロールフェッチ用のユーザのAPIキーとシークレットを入力し、テスト接続します。
右上にテスト接続が問題ないことを示すメッセージが表示されることを確認します。
忘れずにプロビジョニング状態をオンにします。
これで準備は完了です。
■アプリケーションへのユーザ追加とテスト
アプリケーションにユーザを追加(割り当て)します。
テストします。
いけたー!ちゃんとフェデレーションログインになっています。
ざっと見たところ、EC2などの管理もちゃんとできそうです。
次回以降のアクセスは、Office 365のポータルからどうぞ。
【バックナンバー】
- Enterprise Mobility + Security E3ではじめるゼロトラスト入門 – 1 – 購入編
- Enterprise Mobility + Security E3ではじめるゼロトラスト入門 – 2 – Windows 10をIntuneに登録する
- Enterprise Mobility + Security E3ではじめるゼロトラスト入門 – 3 – AndroidをIntuneに登録する
- Enterprise Mobility + Security E3ではじめるゼロトラスト入門 – 4 – iPadとmacOSをIntuneに登録する
- Enterprise Mobility + Security E3ではじめるゼロトラスト入門 – 5 – 条件付きアクセスでIDを保護する
ではでは。またの機会に。