トップ > AppStream2.0 > AppStream 2.0 で IAM Identity Center を SAML 2.0 IdPとして利用する 〜 (3) IAM Identity Center の基本環境構築

AppStream 2.0 で IAM Identity Center を SAML 2.0 IdPとして利用する 〜 (3) IAM Identity Center の基本環境構築

AppStream2.0 AWS IAM Identity Center
記事タイトルとURLをコピーする

はじめに

こんにちは、ドウミョウ と申します。

AppStream 2.0 の認証先として、IAM Identity Center を利用する検証を行ってみました。 何回かに分けて、実構築の模様をお届けします。

細かいチューニングは別途で行う前提で、
基本的な環境を構築し、フェデレーション設定を終わらせることをゴールとします。

本ポストでは

本ポストでは、IAM Identity Center を有効化し、ユーザ登録などの基本環境構築を行っていきます。

今回は、AppStream 利用者用のグループを1つ作り、そこに3人のユーザを所属させます。
この際、IAM Identity Center 上に登録するユーザは、ユーザー名とメールアドレスは必須、かつ一意である必要がありますので、留意しましょう。
また、ユーザーを登録した時点で、設定したメールアドレス宛に招待メールが届くことにも留意です。

実構築

IAM Identity Center の有効化

さっそく、IAM Identity Center の有効化から始めていきます。

Organizations の設定が可能な、組織管理アカウントでログインし、
AWS Organizations > サービス > AWS IAM Identity Center (AWS Single Sign-On) と進みます。

「信頼されたアクセスを有効にする」ボタンを押下し、IAM Identity Center を有効化するリージョンを選択します。
リージョンについては、1つのみ選択可能なので留意しましょう。

有効化前に最終確認の画面が表示されますので、「有効にする」ボタンをクリックします。

IAM Identity Center が、有効化できました。

Organizations 上のコンソール操作はここまでになります。
「コンソールに移動する」ボタンを押下して、IAM Identity Center のコンソール画面に移動しましょう。

いきなりダッシュボードに色々な情報が表示されていますが、順番に設定を行います。
左のメニューから「設定」を選択します。

最初に「インスタンス名」を設定しておきます。「編集」を押下すると設定できます。
必須では無いようですが、念の為。

多要素認証の設定

次は「認証」タブで、ユーザの認証に関連する設定を行います。

常時、多要素認証をONにしたいので、多要素認証セクションの「設定」を押下します。

MFAの設定画面です。
今回は、MFAを常時オンにしたいので「サインインごと(常時オン)」を選択し、「変更を保存」を押下します。

グループとユーザの作成

次に、ユーザーを登録する前に、ユーザーが所属する「グループ」を作成しておきます。
IAM Identity Center > グループ > グループ作成 を押下します。

適当な名前をつけてグループを作成します。

次に、ユーザーを作成します。
ユーザー > ユーザーを追加 を押下します。

ユーザーの情報を設定、入力して「次へ」を押下します。

作成したユーザーを、グループに所属させることができます。
先ほど作成したグループを選択して、次へ を押下します。

最後に確認画面が表示されますので、ユーザーを追加 を押下します。

ユーザーが追加できました。

この時点で、ユーザーに設定したメールアドレス宛に招待メールが飛びます。

ユーザー側の設定

ユーザー側に届いた招待メールの内容を確認し、ユーザー側の設定を行っていきます。

このような招待メールが届きます。
Accept Invitation を押下します。

ブラウザ上に、新規ユーザーのサインアップ画面が表示されますので、パスワードを設定します。


この際、IAM Identity Center 側のパスワード要件に沿う必要があります。

パスワードを設定したら、サインインします。

MFAデバイスの登録画面に推移しますので、MFAを登録しましょう。

今回は、認証アプリで登録してみました。

MFAを登録し、正常にログインが完了すると「AWSアクセスポータル」へ推移します。
現時点では、利用できるアプリケーションを登録していないので、何も表示されていません。

ユーザー側の設定は一旦ここまでです。

ユーザの登録状況を確認する

IAM Identity Center 上で、ユーザーの登録状況などが確認できます。
今回は、テストユーザを3つ作成し、それぞれにMFAを設定してみました。

さいごに

IAM Identity Center で ユーザーを管理する場合のパスワード要件の変更はできないようです。詳細は以下AWS公式ドキュメントを参照下さい。
docs.aws.amazon.com

IAM Identity Center の基本環境構築はここまでです。
次はいよいよ、AppStream 2.0 で IAM Identity Center を SAML 2.0 IdPとして利用する設定を行っていきます。

blog.serverworks.co.jp

Yoshitaka Domyo (記事一覧)

エンタープライズクラウド本部所属 プログラムマネージャー/プロジェクトマネージャー。

好きなものは、AWS、電子音楽、マンガです。