OneLoginとAWS Client VPNを連携させることにより、Client VPNへの接続認証をOneLoginに統合が可能です。
これにより、認証のセキュリティポリシーを一元的に管理することができます。
例えば、OneLoginで多要素認証を設定している場合、AWS Client VPNと連携させることで、VPN接続を行う際に、多要素認証を利用させることが可能になります。
事前条件
- AWSアカウント
- EC2インスタンスが起動しているAmazon VPC
- VPCのセットアップ
- EC2インスタンスの起動(VPN接続確認用)
- AWS Certificate Manager(ACM)にインポートされたプライベート証明書
- OneLoginのアカウント
- 最新のAWSクライアントVPNソフトウェアを実行しているデスクトップ(WindowsまたはmacOS)
OneLogin側の設定
OneLoginに管理者アカウントでログインし、"Applications > Applications"を開き、"Add App"を押します。
検索欄に"VPN"と入力して検索を行い、表示された"AWS Client VPN"を選択します。
任意の表示名を設定して"Save"を押します。
"More Actions > SAML Metadata"を押してメタデータをダウンロードします。
最後に”Access”を開き、AWS Client VPNを利用させたいユーザーのロールを設定して"Save"を押します。
AWS側の設定
AWSのマネジメントコンソールにログインして、IAMの管理画面を開きます。
その後、"ID プロバイダー > プロバイダの作成"を押します。
プロバイダーのタイプを"SAML"に設定し、プロバイダ名は任意の値を設定します。
そして、"ファイルの選択"を押して、OneLoginの管理画面からダウンロードしたメタデータを設定して"次のステップ"を押します。
確認の画面が出てくるので、問題がなければ、"作成"を押します。
Client VPNの作成
VPCの管理画面に移動して、"クライアント VPN エンドポイント > クライアント VPN エンドポイントの作成"を押します。
Client VPNの設定値で、サーバー証明書を選択後、認証オプションを"ユーザーベースの認証を使用"を選択し、"統合認証"を選択します。
そして、SAMLプロバイダーARNを選択するメニューが現れるので、先程さくせしたIDプロバイダを選択します。
その後の詳細な設定については、以下のブログをご確認ください。
http://blog.serverworks.co.jp/tech/2020/05/26/clientvpn-saml/
VPCの管理画面から、"クライアント設定のダウンロード"を押します。
確認のポップアップが表示されるので、"ダウンロード"を押します。
ダウンロードを押すと、".ovpn"ファイルがダウンロードされるので、設定ファイルをVPN利用ユーザーに配布します。
ログイン確認
VPN接続したい端末で、以下のURLからクライアントアプリをダウンロード・インストール行います。
https://aws.amazon.com/jp/vpn/client-vpn-download/
AWS VPN Clientアプリを開き、"ファイル > プロファイルを管理"を押します。
"プロファイルを追加"を押します。
表示名に任意の名前を入力後、フォルダアイコンを押して、先程ダウンロードした".ovpn"ファイルを選択後、"プロファイルを追加"で設定が完了します。
該当プロファイルが選択されている状態で、"接続"を押します。
ブラウザが開き、OneLoginの認証が求められるので、ログインを実施します。
※多要素認証を設定してる場合、多要素認証が求められます。
認証が完了すると、以下の画面が表示されるので、必要なければタブを閉じます。
接続が完了すると、以下のようになります。