AWS Directory ServiceとOneLoginを組み合わせて、Amazon WorkSpacesのシングル・サインオン環境とMFA認証を実現してみた

AWS運用自動化サービス「Cloud Automator」
この記事は1年以上前に書かれたものです。
内容が古い可能性がありますのでご注意ください。

こんにちは、クラウドインテグレーション部 ソリューションスペシャリストの薄井です。

さて、今回はAWS Directory ServiceOneLoginを組み合わせて、Amazon WorkSpacesシングル・サインオン環境とMFA認証を実現してみました。

シングル・サインオン環境とMFA認証を構成した環境構成は、このような形になります。

WorkSpaces-OneLogin-SSO

 

OneLogin とは?

さまざまなクラウド・サービスのアイデンティティ管理およびアクセス管理を実現するクラウドサービスです。

SaaSやオンプレミスのアプリケーションの認証用のID基盤として活用ができ、クラウド・サービスを安全に安心して利用することができます。

OneLoginの機能&ライセンス費用、連携可能なアプリケーション例

OneLoginの提供機能とライセンス費用は、以下のとおりになります。

https://www.onelogin.com/jp/product/pricing

  • シンプルなシングル・サインオン機能のみ利用いただく場合は「STARTER」プラン
  • 日本語対応、カスタムレポート、IDフェデレーション(SAMLなど)を利用いただく場合は「ENTERPRISE」プラン
  • SaaSのユーザー作成/削除(プロビジョニング)、カスタムデータ連携などを利用いただく場合は「UNLIMITED」プラン

OneLogin-Edition

 

 

また、ID連携可能なSaaSを含む代表的なアプリケーションの例は、以下のとおりです。(これらの代表的なアプリケーション以外のアプリケーションにも対応しています)

https://www.onelogin.com/jp/product/app-catalog

OneLogin-ApplicationCatalog

なぜシングル・サインオン環境とMFA認証が必要なのか

Amazon WorkSpacesを利用いただいているお客様は、AWSだけでなく複数のクラウド・サービスを積極的に活用いただいているケースが多いです。
その場合、よくある課題として、クラウド・サービスごとにIDが個別発行されID管理が分散化してしまい、ID管理の負担が重く、適切な権限管理がされているかの確認が困難であることが挙げられます。
また、Amazon WorkSpacesを利用するにあたり、IDとパスワードのみの認証に不安を覚えるお客様も数多くいらっしゃいます。

AWSマネージドサービスとSaaS(IDaaS:IDentity as a Service)の組み合わせをご提案

前述のような課題を抱えているお客様向けに、システム管理者のID管理の負担を減らしつつ、「AWSマネージドサービス」と「SaaSベースのIDentity as a Service」を活用して課題を解決します。

●ポイント1:IDの分散管理の防止

AWSマネージドサービスである「AWS Directory Service (Microsoft AD)」を活用して、Microsoft Active DirectoryをID管理・認証基盤として利用する。
ただし、Microsoft Active Directoryのみでは、「ADFS(Active Directory Federation Service)やWAP(Web Application Proxy)などのサーバを追加構築しない限り」クラウド・サービスのID管理・認証基盤としての活用ができません。

今回は、SaaSの「OneLogin」を組み合わせすることで、ActiveDirectoryに登録されているID情報をOneLoginに同期して、クラウド・サービスのID管理・認証基盤に活用できるようにします。
「OneLogin」を利用することで、ActiveDirectoryのID情報を利用したシングル・サインオンを簡単に実現することが出来ます。

●ポイント2:MFA認証の実現

AWSの仮想デスクトップサービスである「Amazon WorkSpaces」でMFAの認証を利用する場合、「AWS Directory Service (AD Connector)」が必須となります。

※「AWS Directory Service (Simple AD)」や「AWS Directory Service (Microsoft AD)」だけでは利用できません。
 <多要素認証の前提条件>
  http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/prep_connect.html#mfa_prereqs

そのため、ID管理は「AWS Directory Service (Microsoft AD)」を利用して、WorkSpacesのMFA認証のために「AWS Directory Service (AD Connector)」を追加して、組み合わせすることでMFA認証を実現します。
AWS Directory Serviceが多段構成となるため、ちょっと構成が複雑になりますが、WorkSpacesのインスタンスのクライアント用途サブネットと、「AWS Directory Service (Microsoft AD)」のサーバ用途サブネットを分けるためにも、この多段構成が必須です。

また、「AWS Directory Service (AD Connector)」が要求するRADIUSサーバですが、OneLoginで提供されているRADIUS Server Interfaceを利用することでRADIUSサーバの運用を無くすことができます。

 <CONFIGURING THE RADIUS SERVER INTERFACE>
 https://onelogin.zendesk.com/hc/en-us/articles/202361670-Configuring-the-RADIUS-Server-Interface

合わせて、OneLoginが提供する「MFA機能」を利用することで、お客様利用のデバイスを多要素認証のキーデバイスとして利用することが出来ます。

 <ADDING MULTI-FACTOR AUTHENTICATION>
 https://onelogin.zendesk.com/hc/en-us/articles/202123454-Adding-Multi-Factor-Authentication-
 ⇒「Google Authenticator」または「OneLogin Mobile OTP」のいずれかのスマートデバイスのアプリ利用を推奨いたします。

AWS VPC構成

前述の内容を踏まえ、AWSマネージドサービスとOneLoginを組み合わせした場合のVPC構成は、以下のようになります。

WorkSpaces-OneLogin-VPC

コンポーネント名称 用途・提供機能 備考
AWS Directory Service

(Microsoft AD)

Microsoft Active DirectoryによるID管理、認証基盤機能を提供 マネージドサービスであるため、ActiveDirectoryの一部機能に制限あり

AWS Directory Service

(AD Connector)

WorkSpacesの認証要求のプロキシ、MFA認証機能を提供  

EC2-WindowsInstance

(OneLogin AD Connector)

ActiveDirectoryのID情報をOneLoginと同期する機能を提供 高い可用性が必要な場合は、AutoScalingを利用して複数台で構成する
VPC NAT Gateway VPCからインターネットへのハイパフォーマンスなNAT機能を提供 アベイラビリティーゾーン間のデータ転送コストを抑えるため、アベイラビリティーゾーン別に配置する
Amazon WorkSpaces エンドユーザーの仮想デスクトップ環境を提供  

OneLogin

Cloud Directory Service

OneLoginによるID管理、認証基盤機能を提供 ※今回の構成では、「Microsoft Active Directory」をIDマスターとして、OneLogin側は同期されたIDを利用する

OneLogin

RADIUS Service

OneLoginによるRADIUS認証機能を提供 ※今回の構成では、「AWS Directory Service(AD Connector)」からのMFA認証(RADIUS)の認証機能として利用する

OneLogin

MFA Device Authentication Service

OneLoginによるユーザー別のMFAデバイス認証機能を提供 ※今回の構成では、「AWS Directory Service(AD Connector)」からのMFA認証(RADIUS)の認証のワンタイムパスワード機能として利用する

OneLogin

Single Sign On (SSO) Service

OneLoginによるユーザー別にクラウドサービスのシングル・サインオンを提供  

WorkSpaces利用時のMFA認証ステップ

ステップ1:WorkSpacesクライアントアプリケーションを起動

WorkSpacesクライアントアプリケーションを起動して、ユーザー名に「ActiveDirectoryのユーザーID」、パスワードに「ActiveDirectoryのユーザーパスワード」、MFA Codeに「OneLoginのMFAデバイスのワンタイムパスワード」をそれぞれ入力します。

WorkSpaces-MFA-1

 

WorkSpaces-MFA-2

 

ステップ2:WorkSpacesにログイン

ステップ1で入力したID情報、MFAデバイスのワンタイムパスワードでWorkSpacesにログインできます。

WorkSpaces-MFA-3

 

まとめ

AWS Directory ServiceとOneLoginを組み合わせて、WorkSpacesのシングル・サインオン環境とMFA認証が実現できることをご紹介しました。
OneLoginはクラウド・サービスのIDプロバイダとして多数の実績があり、導入することでクラウド・サービスのシングル・サインオンを簡単に実現できます。また、シングル・サインオンで連携できるクラウド・サービス/アプリケーションも増加していくため、OneLogin利用料以外の追加コストを掛けずに、様々なクラウド・サービスの利用を加速できる素晴らしいID管理サービスです。

弊社では、AWSとOneLoginのインテグレーションだけでなく、他のクラウド・サービスを含めたインテグレーションサービスをお客様にご提供しています。ぜひ、OneLoginやAWSマネージドサービスを活用して、みなさまのクラウド・サービスを安心・安全に利用していく支援をさせて頂ければと思います。

OneLoginのデモやサービス紹介などを希望されるお客様は、以下のリンクからお問い合わせいただけますと幸いです。ご連絡をお待ちしております。

お問い合わせ
https://www.serverworks.co.jp/contact

 

AWS運用自動化サービス「Cloud Automator」