OneLoginとAWS Client VPNを連携させることにより、Client VPNへの接続認証をOneLoginに統合が可能です。
これにより、認証のセキュリティポリシーを一元的に管理することができます。

例えば、OneLoginで多要素認証を設定している場合、AWS Client VPNと連携させることで、VPN接続を行う際に、多要素認証を利用させることが可能になります。

事前条件

• AWSアカウント
• EC2インスタンスが起動しているAmazon VPC
  • VPCのセットアップ
  • EC2インスタンスの起動(VPN接続確認用)
• AWS Certificate Manager（ACM）にインポートされたプライベート証明書
  • 証明書の生成とACMへのインポート
• OneLoginのアカウント
• 最新のAWSクライアントVPNソフトウェアを実行しているデスクトップ（WindowsまたはmacOS）

OneLogin側の設定

OneLoginに管理者アカウントでログインし、"Applications > Applications"を開き、"Add App"を押します。

検索欄に"VPN"と入力して検索を行い、表示された"AWS Client VPN"を選択します。

任意の表示名を設定して"Save"を押します。

"More Actions > SAML Metadata"を押してメタデータをダウンロードします。

最後に”Access”を開き、AWS Client VPNを利用させたいユーザーのロールを設定して"Save"を押します。

AWS側の設定

AWSのマネジメントコンソールにログインして、IAMの管理画面を開きます。
その後、"ID プロバイダー > プロバイダの作成"を押します。

プロバイダーのタイプを"SAML"に設定し、プロバイダ名は任意の値を設定します。
そして、"ファイルの選択"を押して、OneLoginの管理画面からダウンロードしたメタデータを設定して"次のステップ"を押します。

確認の画面が出てくるので、問題がなければ、"作成"を押します。

Client VPNの作成

VPCの管理画面に移動して、"クライアント VPN エンドポイント > クライアント VPN エンドポイントの作成"を押します。

Client VPNの設定値で、サーバー証明書を選択後、認証オプションを"ユーザーベースの認証を使用"を選択し、"統合認証"を選択します。

そして、SAMLプロバイダーARNを選択するメニューが現れるので、先程さくせしたIDプロバイダを選択します。

その後の詳細な設定については、以下のブログをご確認ください。
http://blog.serverworks.co.jp/tech/2020/05/26/clientvpn-saml/

VPCの管理画面から、"クライアント設定のダウンロード"を押します。

確認のポップアップが表示されるので、"ダウンロード"を押します。
ダウンロードを押すと、".ovpn"ファイルがダウンロードされるので、設定ファイルをVPN利用ユーザーに配布します。

ログイン確認

VPN接続したい端末で、以下のURLからクライアントアプリをダウンロード・インストール行います。

https://aws.amazon.com/jp/vpn/client-vpn-download/

AWS VPN Clientアプリを開き、"ファイル > プロファイルを管理"を押します。

"プロファイルを追加"を押します。

表示名に任意の名前を入力後、フォルダアイコンを押して、先程ダウンロードした".ovpn"ファイルを選択後、"プロファイルを追加"で設定が完了します。

該当プロファイルが選択されている状態で、"接続"を押します。

ブラウザが開き、OneLoginの認証が求められるので、ログインを実施します。
※多要素認証を設定してる場合、多要素認証が求められます。

認証が完了すると、以下の画面が表示されるので、必要なければタブを閉じます。

接続が完了すると、以下のようになります。