カテゴリー
AWS Directory Service SSO(Single Sign-On)

AWS SSOを使用してADユーザーでAWSコンソールにログインする

今回のゴール

今回は、AWSのSSO(Single Sign-On)を利用して、Directory SeeviceのドメインユーザーでAWSコンソールにログインします。

また、CLIも使用していきます。

SSOはOrganizationのルートアカウントでのみ有効にすることができます。

IDソースとしては下記が利用できます。

  • AWS SSO
  • Active Directory
  • 外部IDプロバイダ

今回は、Organizationsの子アカウントのDirectory Serviceを使用するのですが、ルートアカウントADがあることが必須となりますので、子アカウントとルートアカウントをVPC Peeringで接続してルートアカウントにAD COnnectorを配置しました。

既存の AD Connector またはAWS Managed Microsoft ADディレクトリーをセットアップするAWS Directory Serviceで、それを組織の管理アカウント内に配置している必要があります。

AWSSSO の前提条件

設定

SSOの有効化

OrganizationsのルートアカウントでSSOサービスより「AWS SSOを有効にする」をクリックします。

SSOが有効になったらIDソースを変更します。

[設定]からIDソースの「変更」ボタンをクリックします。

今回はDirectory ServiceのADを使用しますので、[Active Directory]を選択して、既存のディレクトリを選択します。

MFAの有効化

MFAの設定を行います。

[設定]メニューの多要素認証欄の「設定」ボタンをクリックします。

今回は下記のように設定しました。

[ユーザーはMFAの入力を求められます]:サインインのたび(常時オン)
[ユーザーはこれらのMFAタイプで認証できます]:認証アプリ
[ユーザーが登録済みのMFAデバイスを持っていない場合]:サインイン時にMFAデバイスを登録するよう要求する

アクセス権限セットの作成

[AWSアカウント]メニューの[アクセス権限セット]のタブを選択して「アクセス権限セットを作成」ボタンをクリックします。

今回はAdministratorAccessを付与しますので、[既存の職務機能ポリシーを使用]を選択します。

[AdministratorAccess]を選択して登録を完了しました。

ユーザーにアクセス権限セットの割り当て

ADのユーザーにアクセス権限セットを割り当てる作業を行います。

[AWSアカウント]メニューでADのあるAWSアカウントを選択して「ユーザーの割り当て」をクリックします。

[ユーザー]をクリックしてディレクトリを選択してユーザー名を検索してチェックをつけます。

ユーザーに割り当てるアクセス権限セットを選択します。

コンソールログインの確認

ユーザーポータルURLにアクセスします。

ユーザー名とパスワードを入力してサインインします。

サインインすると、MFAを登録する画面に遷移しますので、登録します。

無事にユーザーポータルにログインできました。