MENU
  • ホーム
  • AWSマネージドサービス
    • AWS運用サポート
    • AWSコンサルティング
    • コンテナ導入支援『仁』
  • AWS導入支援
  • WordPress
    • WordPress脆弱性対策
    • WordPress高速化
    • 高速WordPressサーバ『翔』
  • 導入事例
  • Q&A
  • お問い合わせ
AWSの構築・クラウド運用を総合支援【CapsuleCloud】
  • ホーム
  • AWSマネージドサービス
    • AWS運用サポート
    • AWSコンサルティング
    • コンテナ導入支援『仁』
  • AWS導入支援
  • WordPress
    • WordPress脆弱性対策
    • WordPress高速化
    • 高速WordPressサーバ『翔』
  • 導入事例
  • Q&A
  • お問い合わせ
AWSの構築・クラウド運用を総合支援【CapsuleCloud】
  • ホーム
  • AWSマネージドサービス
    • AWS運用サポート
    • AWSコンサルティング
    • コンテナ導入支援『仁』
  • AWS導入支援
  • WordPress
    • WordPress脆弱性対策
    • WordPress高速化
    • 高速WordPressサーバ『翔』
  • 導入事例
  • Q&A
  • お問い合わせ
  1. ホーム
  2. AWS
  3. AWSとのシングルサインオンを試してみる 後編

AWSとのシングルサインオンを試してみる 後編

2022 7/28
AWS
2022年7月28日
目次

はじめに

前回は、OpenAMとAWS側の設定(手順1〜3)を行いました。
今回は仕上げの設定を行い、いよいよ動かしてみたいと思います。

4. OpenAMにSAMLユーザの作成

OpenAMに戻りSAMLで認証するユーザを作成しましょう。
左側のメニューから「Subjects」を選択し、「新規」からユーザを作成します。

ユーザ名などは適当で大丈夫です。今回はsamltestとしてみました。

作成したユーザの編集画面に遷移し、社員番号の項目に、前回の最後に控えた「ロールARN」と「信頼されたエンティティ」を以下の通りカンマで区切った値を設定します。
「<ロールARN>,<信頼されたエンティティ>」

ここまで来ればもう一息です。

5. 属性マッパーの設定

左側のメニューから「Applications」→「SAML」を選択します。

トラストサークルの設定が表示されるので、エンティティの設定という段から「urn:amazon:webservices」を選択し、「表明処理」のタブを開きます。

属性マップに新しい値として以下を追加します。
・https://aws.amazon.com/SAML/Attributes/Role=employeeNumber
・https://aws.amazon.com/SAML/Attributes/RoleSessionName=uid

保存をすれば、設定はこれで完了です!

6. 試してみる

それでは実際に動かしていきますが、1点だけ訂正です。

前々回に動作のイメージ図を描いたのですが、OpenAM+AWSでは少し動作が異なるようです。

SAMLでは大きく分けて以下の2つのフローがあります。
・IdP-initiated → IdP(今回でいうOpenAM)側から始まるフロー
・SP-initiated → SP(今回でいうAWS)側から始まるフロー

元の想定では、AWSへのアクセスから始まるということで後者の想定でしたが、OpenAM+AWSでは、前者のフローとなるようです。
そのため、OpenAMで用意されたエンドポイントにアクセスすることでフローが始まります。認証後は想定通り、ログイン済みの状態でAWSのコンソールへ遷移するはずです。

ということで、以下のエンドポイントにアクセスします。
http://localhost:8080/AM-eval-5.0.0/idpssoinit?metaAlias=/idp&spEntityID=urn:amazon:webservices

OpenAMのログイン画面が表示されるので、4で作成したユーザでログインしましょう。

ログイン後、自動的にAWSへ遷移するかと思います。
右上を確認すると、確かにログイン済みになっていますね。
AWSのログイン画面が表示されることなく、認証済みの画面に遷移することに成功しました。

EC2を開いてみましょう。

前回、ロールを設定した際にEC2の権限を付与していないため、操作ができない状態になっています。

それでは権限を与えたS3の方を見てみましょう。

こちらは意図した通り、操作できる状態になっていますね。

ということで、OpenAMの認証を使ってAWSにログインし、事前に設定した権限を反映することに成功しました!

おわりに

計3回に渡って設定方法をご紹介してきましたが、無事に当初の目標を達成することができました。

特筆すべき点としては、AWSにあらかじめ対応するユーザを作っておく必要がない、ということです。これにより、SAMLで認証するユーザの権限だけを意識すればよいので、管理がだいぶ楽になるかと思います。

今回はOpenAMというパッケージを利用したこともありますが、設定も簡単にできてしまいました。
機会があれば、Railsの認証などとも組み合わせてみたいと思います。

AWS
aws OpenAM シングルサインオン

関連記事

  • aws-route53
    AWS機能を網羅してみよう3.3 Route53編「実践」DNSフェイルオーバー
  • AWSのクラウドセキュリティ「責任共有モデル」とは?
  • ansible
    AWSのためのAnsible入門
  • aws-s3
    Amazon S3でGlacierを活用したコスト削減法
  • aws-route53
    AWS機能を網羅してみよう3.2 Route53編「実践」
  • aws-s3
    Amazon S3で署名付きURLを使ったアクセス制御
  • aws-route53
    AWS機能を網羅してみよう3.1 Route53編「概要」
  • aws-waf
    AWS WAFでSQLインジェクションと特定URLをブロック
人気記事
  • AWS導入支援
    amazonクラウド、AWSとは?何ができるかデメリット含めわかりやすく説明
  • aws-s3
    Amazon S3で署名付きURLを使ったアクセス制御
  • terraform
    Terraformと変数(variable)のお話
新着記事
  • 10分でスタート!AWSの利用開始までを解説
  • WordPress脆弱性の原因とやっておくべき7つの対策
  • WordPress高速化!6つの簡単な方法で重さを改善
  • 高速WordPressサーバ『翔』
  • 【実例20選】AWS導入企業、活用事例をご紹介
カテゴリー
  • AWS
  • AWS導入支援
  • Rancher
  • Terraform
  • WordPress
アーカイブ
  • 2022年7月
  • 2022年6月
  • 2022年5月
  • 2022年4月
  • 2017年7月
  • 2017年6月
開発案件多数! フリーランス・エンジニアの求人はテックブレイン

スーパーソフトウエアはAWSパートナーネットワーク(APN)のコンサルティングパートナーです。

スーパーソフトウエアはRancherパートナーネットワークのコンサルティングパートナーです。

logo

カプセルクラウドはAWSクラウドのマネージドサービスです。AWSを安心かつ迅速に導入し、負荷分散・セキュリティ・DevOps・コスト削減など、クラウドサービスのメリットを活かした豊富なベストプラクティスをご提供いたします。

Contents

  • サービス
  • 導入支援
  • WordPress
  • 導入事例
  • ブログ
  • Q&A
  • お問い合せ

お問い合わせ

株式会社スーパーソフトウエア
東京 03-6721-7105
大阪 06-4707-6001
info-capsulecloud@tokyo.supersoftware.co.jp

  • プライバシーポリシー
  • 免責事項
  • 契約約款
  • 特商法に基づく表記
  • 会社情報
  • サイトマップ

© Supersoftware 2017. All rights reserved.

目次