MENU
AWSを中心としたクラウドインフラ技術サイト
  1. ホーム
  2. AWS
  3. AWS IAM Identity Center(旧 AWS SSO(Single Sign-On))

AWS IAM Identity Center(旧 AWS SSO(Single Sign-On))

AWS AWS認定試験 セキュリティ

AWS IAM Identity Center(AWS SSO(Single Sign-On))の特徴

AWS IAM Identity Center は AWS アカウントや業務アプリへの SSO ログインを一元管理するためのサービスです。昔の名前は AWS Single Sign-On (AWS SSO) で、2022年に IAM Identity Center へ名称変更されました。旧名称からしても IAM Identity Center は SSO を提供するサービスです。IAM Identity Center を使うと、1回サインインすれば、複数の AWS アカウントの AWS Management Console に追加ログインなしでアクセスできたり、割り当てられた外部アプリ(Salesforce など)に追加ログインなしで入れます。

対象は人間のユーザー向けの管理サービスです。IAM ユーザーのように各 AWS アカウントに個別ユーザーを大量作成する代わりに、IAM Identity Center でユーザーやグループをまとめて管理し、複数 AWS アカウントや対応アプリへのアクセスを一元的に割り当てます。既存の外部 IdP と接続して社内 ID を使うことも、Identity Center 内で直接ユーザーを作ることもできます。

AWS アカウントへのアクセス管理と、アプリケーションへのアクセス管理が可能です。

また、IAM Identity Center は、「人に直接 IAM ポリシーを付ける」のではなく、Permission Set(権限セット)を通してアカウントアクセスを配るのが基本です。

  • 複数の AWS アカウントとビジネスアプリケーション(Salesgforce、Box、Office365 など)へのアクセスの一元管理を容易にします。
  • 割り当てられたアカウントとアプリケーションに対して 1 か所からのシングルサインオンでアクセスをユーザーに提供できます。
  • AWS Organizations にあるすべてのアカウントに対するアクセスとユーザーアクセス許可を一元管理できます。
  • 個々のアカウントにおける追加のセットアップを必要とすることなく、アカウントに必要なアクセス許可のすべてが自動的に設定および維持されます。

他社のシングルサインオンサービスの参考

  • AccessMatrixUSO
  • Okta
  • OneLogin
  • トラスト・ログイン

AWS SSO は既存の Active Directory を利用して管理します。

IdP と SSO の違い

ざっくりと言うと以下の感じです。

  • IdP = 本人確認をする仕組み
  • SSO = 1回のログインで複数サービスに入れる仕組み

IdP が認証して SSO はその認証結果を使って実現するという関係です。

IdP と SSO の製品はかぶっている

たとえば Okta を使っている会社なら、Okta は IdP でもあり、SSO を提供するサービスでもあるので両方のサービスを提供しています。

実際の以下の製品は、IdP 機能と SSO 機能をまとめて持っています。

  • Okta
  • Entra ID
  • HENNGE One
  • トラスト・ログイン

これえらの製品は、以下のサービスをまとめて提供しています。逆に「うちの製品は IdP だけなので SSO は別途別のベンダーを購入し導入して運用してください」だとなかなか手が出ないと思います。

  • ユーザー認証をする
  • SAML/OIDC 連携する
  • 複数アプリへ SSO させる

IAM Identity Center の使われ方

IAM Identity Center は以下の流れで使われます。

  1. ユーザーは 外部 IdP で認証する
  2. IAM Identity Center がその認証結果を受ける
  3. IAM Identity Center の AWS アクセスポータルに入る
  4. そこから割り当て済みの AWS アカウントやアプリに追加ログインなしで入れる

外部 IdP とつないで認証する

Okta、Microsoft Entra ID などの既存 IdP を SAML 2.0SCIM で接続できます。つまり、会社のアカウントをそのまま AWS にも利用しやすくします。

AWS アクセスポータルとは

AWS アクセスポータルは認証後の共通メニュー画面です。ここに入ること自体が最終目的ではなく、ここから AWS アカウントやアプリへ飛ぶための入口です。IAM ユーザーやルートユーザーでログインする場合は、特定アカウントに直接サインインします。

AWS アクセスポータルに移動するのは、IAM Identity Center を使う形です。ユーザーはまず https://xxxx.awsapps.com/start のような AWS アクセスポータル にサインインし、そこで 自分に割り当てられた AWS アカウントやアプリの一覧 を見ます。そこから選んだ先に、追加ログインなしで入ります。

Permission Set(権限セット)

Permission Set(権限セット)とは、IAM Identity Center で定義する職務ロールのテンプレートのようなものです。たとえば、administrator-accessread-only power-user のような Permission Set を作って、開発者グループや監査グループへ割り当てます。その結果、各 AWS アカウントに対して、その権限に対応するロールが配られます。

AWS AWS認定試験 セキュリティ
AWS AWS Single Sign-On AWS SSO シングルサインオン
よかったらシェアしてね!
  • URLをコピーしました!
  • URLをコピーしました!

この記事を書いた人

サイト管理人

関連記事

コメント

コメントする

AlphaOmega Captcha Classica  –  Enter Security Code
      
 

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください