OneLoginを利用してAWSにSAMLでログインする

AWS運用自動化サービス「Cloud Automator」

情報システム課の宮澤です。
今回は、OneLoginを利用して、AWSへSAML認証でログインするための設定手順を紹介します。

OneLoginでコネクタの作成

管理者アカウントでログインし、OneLoginの管理画面から”APPS > Add Apps”を選択します。

アプリケーション検索欄に”AWS”と入力し、”Amazon Web Serivces(AWS)”と記載され、SAML2.0と表示されたものを選択します。

Display NameにOneLogin上の表示名を設定し、下部の選択で”SAML2.0″を選択し”SAVE”を押します。

SAVEを押すと以下の画面に遷移するので、”MORE ACTIONS>SAML Metadata”を押してXMLファイルをダウンロードします。
※後ほどAWSマネジメントコンソールの設定で利用します。

AWSでIDプロバイダの設定

マネジメントコンソールにログイン後IAMの画面に移動し、”IDプロバイダー>プロバイダの作成”を押します。

プロバイダタイプは”SAML”を選択し、プロバイダ名を任意で設定します。
メタデータドキュメントは、先程OneLoginからダウンロードしたファイルを指定して”次のステップ”を押します。

最後に設定した情報の確認画面が表示されるので、問題なければ”作成”を押します成”を押します

2017-01-13_17h05_01

IAM Roleを作成

IAMの画面で”ロール > 新しいロールの作成”を押します。

”SAML2.0 フェデレーション”を選択し、”SAMLプロバイダー”の値を先ほど作成した、IDプロバイダーを指定します。
そして、”プログラムによるアクセスとAWSマネジメントコンソールによるアクセスを許可する”を選択して”次のステップ:アクセス権限”を押します。

該当IAMロールで利用する権限を設定します。

最後に、ロール名を入力して”ロールの作成”を押します。

OneLoginコネクタにパラメータを設定

OneLoginのコネクタ設定画面に戻り”Parameters”タブを開きます。
ParametersタブではSAML認証を行うときに利用する以下の3つの用に設定します。

  • Amazon Username UsernameAWS上でのユーザーの表示名) : Email
  • Role : arn:aws:iam::アカウントナンバー:role/作成し/作成しロール名,arn:aws:iam::アカウントナンバー:saml-provider/作成したIDプロバイダ名
  • RoleSessionName(AWS上でのユーザーの表示名) : Email

最後に”Access”タブを押して、適切なRoleを指定し”SAVE”を押します。

ログイン確認

OneLoginにログイン後、作成したAWSアカウントのコネクタをクリックします。

capture_01

OneLogin経由でAWAWへSAMLでログインされ、ユーザー名が表示される部分には”ロール名/表示名”の用に表示されます。

2017-01-18_18h18_36

 

CloudTrailを確認すると、しっかりOneLoginで設定した表示名(メールアドレス)で証跡が残っています。

2017-01-18_18h41_04

まとめ

今回の設定を行うことで、OneLogLogからSAMLでAWSへログインすることが可能になります。
この設定を行ったことで、AWSアカウント上にIAMアカウントを発行することなく、OneLoginのユーザー名で指定したロールを利用してAWSアカウントを利用させることができます。
これにより、個別のIAMアカウント発行をする必要がなくなるので、管理者は面倒なアカウント管理業務を行わずに済むため、時間を有効活用できるようになります。

AWS運用自動化サービス「Cloud Automator」