OneLoginとIAM Identity Centerを連携させてSSOを実現したいです

OneLoginとIAM Identity Centerを連携することで、AWSアカウントへのログインをOneLoginに統合することができ、ユーザー側のログイン認証の負担を軽減しつつ、管理者側の権限管理の柔軟性を担保することが出来ます。

設定手順

OneLogin側でIAM Identity Centerコネクタの作成

管理者アカウントでログインし、管理メニューから”Applications > Applications”を開き”Add App”を押します。

検索欄に”AWS IAM Identity Center”と入力して、表示された”AWS IAM Identity Center (AWS Single Sign-on)”を選択します。

”Display Name”に任意の名前を入力して”Save”を押します。

”Tab”の項目でOneLogin上でコネクタを表示するタブを変更する場合はここで変更します。
※弊社の場合は"AWSアカウント"というタブがあるのでそちらで表示する設定にしています。

”Access”メニューからOneLogin経由で利用させたい権限ロールを指定しておきます。

”Mote Actions > SAML Metadata”を押してMetadataファイルをダウンロードします。
ダウンロードしたMetadataファイルは後ほどAWSアカウント側の設定で利用します。

 

IAM Identity Centerを有効化

Organization管理アカウントでIAM Identity Center(以下IIC)を利用するために、機能を有効化します。
Organizationの親アカウントで設定する事もできますが、IICの設定を子アカウントに委任して設定することも可能です。

該当アカウントにログインして、”IAM Identity Center”を開き、”有効にする”を押します。

リージョンが東京リージョンになっていることを確認して”有効にする”を押します。
※リージョンが違う場合は、リージョンを変更します。

IICが作成されたら”設定 > アクション > アイデンティティソースを変更”を押します。

”外部 ID プロバイダー”を選択して”次へ”を押します。

”アイデンティティプロバイダーのメタデータ”の項目にある”ファイルを選択”を押して、OneLoginからダウンロードしたMetadataファイルをアップロードして”次へ”を押します。

最後に確認の画面が表示されるので、問題がなければ”承諾”と入力して”アイデンティティソースを変更”を押します。

アイデンティティソースの変更完了後”アクション > 認証の管理”を押します。

”IAM Identity Center Assertion Consumer Service (ACS) の URL”と”IAM Identity Center 発行者 URL”をコピーしておきます。
この2つはOneLogin側のコネクタ設定に利用します。

OneLoginコネクタの設定

先程作成したOneLoginコネクタの”Configuration”メニューを開き、先ほどコピーした項目を以下のように貼り付けます。

AWSOneLogin
IAM Identity Center 発行者 URLAWS SSO issuer URL
IAM Identity Center Assertion Consumer Service (ACS) の URLAWS SSO ACS URL

AWSアカウント側の権限設定

IICで利用させたいユーザーを招待、また利用させたアカウントと権限のグループ設定や許可セットを作成します。
ユーザーを招待する場合、必ずIICに登録するユーザーとOneLogin側のユーザーのメールアドレスが一致する用に招待してください。

動作確認

OneLogin側で作成したコネクタを選択します。

そうすることでAWS側のアクセスポータルが開き、該当ユーザーに対して許可されたAWSアカウントとロールでアクセス可能になります。

この記事は役に立ちましたか?
0人中0人がこの記事が役に立ったと言っています
他にご質問がございましたら、リクエストを送信してください