今回のゴール
今回は、AWSのSSO(Single Sign-On)を利用して、Directory SeeviceのドメインユーザーでAWSコンソールにログインします。
また、CLIも使用していきます。
SSOはOrganizationのルートアカウントでのみ有効にすることができます。
IDソースとしては下記が利用できます。
- AWS SSO
- Active Directory
- 外部IDプロバイダ
今回は、Organizationsの子アカウントのDirectory Serviceを使用するのですが、ルートアカウントADがあることが必須となりますので、子アカウントとルートアカウントをVPC Peeringで接続してルートアカウントにAD COnnectorを配置しました。
既存の AD Connector またはAWS Managed Microsoft ADディレクトリーをセットアップするAWS Directory Serviceで、それを組織の管理アカウント内に配置している必要があります。
AWSSSO の前提条件
設定
SSOの有効化
OrganizationsのルートアカウントでSSOサービスより「AWS SSOを有効にする」をクリックします。
![](https://www.it-ouji.com/wp-content/uploads/2021/07/sso_1-1024x661.png)
SSOが有効になったらIDソースを変更します。
[設定]からIDソースの「変更」ボタンをクリックします。
![](https://www.it-ouji.com/wp-content/uploads/2021/07/sso_2-1024x336.png)
今回はDirectory ServiceのADを使用しますので、[Active Directory]を選択して、既存のディレクトリを選択します。
![](https://www.it-ouji.com/wp-content/uploads/2021/07/sso_3-1024x502.png)
MFAの有効化
MFAの設定を行います。
[設定]メニューの多要素認証欄の「設定」ボタンをクリックします。
![](https://www.it-ouji.com/wp-content/uploads/2021/07/sso_12-1024x275.png)
今回は下記のように設定しました。
[ユーザーはMFAの入力を求められます]:サインインのたび(常時オン)
[ユーザーはこれらのMFAタイプで認証できます]:認証アプリ
[ユーザーが登録済みのMFAデバイスを持っていない場合]:サインイン時にMFAデバイスを登録するよう要求する
![](https://www.it-ouji.com/wp-content/uploads/2021/07/sso_13-1024x828.png)
アクセス権限セットの作成
[AWSアカウント]メニューの[アクセス権限セット]のタブを選択して「アクセス権限セットを作成」ボタンをクリックします。
![](https://www.it-ouji.com/wp-content/uploads/2021/07/sso_9-1024x432.png)
今回はAdministratorAccessを付与しますので、[既存の職務機能ポリシーを使用]を選択します。
![](https://www.it-ouji.com/wp-content/uploads/2021/07/sso_7-1024x303.png)
[AdministratorAccess]を選択して登録を完了しました。
![](https://www.it-ouji.com/wp-content/uploads/2021/07/sso_8-1024x293.png)
ユーザーにアクセス権限セットの割り当て
ADのユーザーにアクセス権限セットを割り当てる作業を行います。
[AWSアカウント]メニューでADのあるAWSアカウントを選択して「ユーザーの割り当て」をクリックします。
![](https://www.it-ouji.com/wp-content/uploads/2021/07/sso_3-2-1024x483.png)
[ユーザー]をクリックしてディレクトリを選択してユーザー名を検索してチェックをつけます。
![](https://www.it-ouji.com/wp-content/uploads/2021/07/sso_11-1024x467.png)
ユーザーに割り当てるアクセス権限セットを選択します。
![](https://www.it-ouji.com/wp-content/uploads/2021/07/sso_10-1024x467.png)
コンソールログインの確認
ユーザーポータルURLにアクセスします。
ユーザー名とパスワードを入力してサインインします。
![](https://www.it-ouji.com/wp-content/uploads/2021/07/sso_14.png)
![](https://www.it-ouji.com/wp-content/uploads/2021/07/sso_15-1.png)
サインインすると、MFAを登録する画面に遷移しますので、登録します。
![](https://www.it-ouji.com/wp-content/uploads/2021/07/sso_16.png)
無事にユーザーポータルにログインできました。
![](https://www.it-ouji.com/wp-content/uploads/2021/07/sso_17.png)