OneLoginとIAM Identity Centerを連携することで、AWSアカウントへのログインをOneLoginに統合することができ、ユーザー側のログイン認証の負担を軽減しつつ、管理者側の権限管理の柔軟性を担保することが出来ます。
設定手順
OneLogin側でIAM Identity Centerコネクタの作成
管理者アカウントでログインし、管理メニューから”Applications > Applications”を開き”Add App”を押します。
検索欄に”AWS IAM Identity Center”と入力して、表示された”AWS IAM Identity Center (AWS Single Sign-on)”を選択します。
”Display Name”に任意の名前を入力して”Save”を押します。
”Tab”の項目でOneLogin上でコネクタを表示するタブを変更する場合はここで変更します。
※弊社の場合は"AWSアカウント"というタブがあるのでそちらで表示する設定にしています。
”Access”メニューからOneLogin経由で利用させたい権限ロールを指定しておきます。
”Mote Actions > SAML Metadata”を押してMetadataファイルをダウンロードします。
ダウンロードしたMetadataファイルは後ほどAWSアカウント側の設定で利用します。
IAM Identity Centerを有効化
Organization管理アカウントでIAM Identity Center(以下IIC)を利用するために、機能を有効化します。
Organizationの親アカウントで設定する事もできますが、IICの設定を子アカウントに委任して設定することも可能です。
該当アカウントにログインして、”IAM Identity Center”を開き、”有効にする”を押します。
リージョンが東京リージョンになっていることを確認して”有効にする”を押します。
※リージョンが違う場合は、リージョンを変更します。
IICが作成されたら”設定 > アクション > アイデンティティソースを変更”を押します。
”外部 ID プロバイダー”を選択して”次へ”を押します。
”アイデンティティプロバイダーのメタデータ”の項目にある”ファイルを選択”を押して、OneLoginからダウンロードしたMetadataファイルをアップロードして”次へ”を押します。
最後に確認の画面が表示されるので、問題がなければ”承諾”と入力して”アイデンティティソースを変更”を押します。
アイデンティティソースの変更完了後”アクション > 認証の管理”を押します。
”IAM Identity Center Assertion Consumer Service (ACS) の URL”と”IAM Identity Center 発行者 URL”をコピーしておきます。
この2つはOneLogin側のコネクタ設定に利用します。
OneLoginコネクタの設定
先程作成したOneLoginコネクタの”Configuration”メニューを開き、先ほどコピーした項目を以下のように貼り付けます。
| AWS | OneLogin |
|---|---|
| IAM Identity Center 発行者 URL | AWS SSO issuer URL |
| IAM Identity Center Assertion Consumer Service (ACS) の URL | AWS SSO ACS URL |
AWSアカウント側の権限設定
IICで利用させたいユーザーを招待、また利用させたアカウントと権限のグループ設定や許可セットを作成します。
ユーザーを招待する場合、必ずIICに登録するユーザーとOneLogin側のユーザーのメールアドレスが一致する用に招待してください。
動作確認
OneLogin側で作成したコネクタを選択します。
そうすることでAWS側のアクセスポータルが開き、該当ユーザーに対して許可されたAWSアカウントとロールでアクセス可能になります。