Azure ADでAWSのManagement Consoleに

SSOしてみた（代理認証編）

JAWS-UG CLI #13

2015/03/02

Nobuhiro Nakayama

me.json

{

"name“ : "Nobuhiro Nakayama",

"favorite aws services“ : [

"Storage Gateway",

"Directory Service",

"IAM"

],

"certifications“ : [

"AWS Certified Solutions Architect-Associate",

"AWS Certified SysOps Administrator-Associate",

"Microsoft Certified Solutions Expert : Server Infrastructure",

"Microsoft Certified Solutions Expert : SharePoint"

]

}

2015/3/2 2

はじめに

• 本LTにCLI要素はありませんw

• 運用について考えるにあたってのネタにはなると思います。

2015/3/2 3

目次

• はじめに

• Azure ADとは？

• SSO（代理認証）の設定手順

• まとめ

2015/3/2 4

注意事項

• 本資料は個人で準備した環境において、個人的に実施した結果や調査をもとに記載しております。

• また、本資料の内容ならびに閲覧により生じた一切の問題及び不利益について、発表者は一切の責任を負うことができませんのでご了承ください。

• 自己責任でのご活用をお願いします！

2015/3/2 5

はじめに

2015/3/2 6

はじめに

• 会社で利用するIDとパスワード、何組持ってますか？

• 今日は、管理するIDとパスワードを減らすための手段の１つであるAzure Active Directoryをご紹介します。

• AWS Management Consoleも利用できます！

2015/3/2 7

Azure ADとは？

2015/3/2 8

Azure ADとは？

• Microsoft Azure Active Directory

• IDMaaS（ID Management System as a Service）

• オンプレミスとのActive Directory Domain Serviceとは別物です。

• ドメイン参加などはできません。

• いろんなSaaSとSSO（Single Sign on)できる。

• もちろん、AWSもOK！

• オンプレミスのActive Directoryと同期することが可能

• 同期ツールはDirSync、AAD Sync、FIM(MIM)、Azure AD Connect、など。

• PowerShellやAPIもある。

• 有料プラン(Premium)を使うと、多要素認証とかパスワードリセットとか、いろんな機能を利用できるようになる。

• 詳しいことはbing先生に聞いて下さいw

2015/3/2 9

SSO（代理認証）の設定手順

2015/3/2 10

設定手順

1. IAMユーザの作成（事前準備） → 本資料では省略

1. ユーザの作成

2. パスワードの有効化

3. IAM User Sign-in URLの確認

4. （IAM Policyの割り当て）

2. ディレクトリの設定

1. ディレクトリの作成

3. ユーザの設定

1. ユーザの作成

4. アプリケーションの設定

1. アプリケーションの追加

2. シングルサインオンの構成

3. ユーザの割り当て

5. 動作確認

1. Access Panelへのアクセス

2015/3/2 11

この手順はSSOの動作を確認するための（多分）最も簡単な手順です。

ディレクトリの設定

2015/3/2 12

2015/3/2 13

2015/3/2 14

2015/3/2 15

独自ドメインも使えますが、今回は省略

2015/3/2 16

ユーザ設定

2015/3/2 17

2015/3/2 18

オンプレミスのディレクトリと同期する手段はありますが、今回はユーザを直接作成します。

2015/3/2 19

2015/3/2 20

予め作成しておいたIAMユーザと紐付けるユーザです。

2015/3/2 21

2015/3/2 22

2015/3/2 23

アプリケーションの設定

2015/3/2 24

2015/3/2 25

2015/3/2 26

2015/3/2 27

2015/3/2 28

2015/3/2 29

2015/3/2 30

2015/3/2 31

2015/3/2 32

以下の情報を設定・AWS Account ID（もしくはIAM User Sign-in URLのカスタマイズした部分）・IAMユーザ名・パスワード

2015/3/2 33

動作確認

2015/3/2 34

Management Consoleへのアクセス方法

• 以下のURLへアクセス

• http://myapps.microsoft.com/

• SSOには2種類あります。

• アプリケーションからAzure ADへリダイレクトされるパターン

• Office365はこちら

• Azure ADのポータルからアクセスするパターン

• AWSはこちら

2015/3/2 35

2015/3/2 36

2015/3/2 37

Firefoxの場合、拡張機能が必要です。

「Access Panel Extension」

2015/3/2 38

自動で次の画面に遷移します。

2015/3/2 39

「ユーザの割り当て」で設定した情報が自動で入力されます。自動で次の画面に遷移します。

2015/3/2 40

まとめ

2015/3/2 41

まとめ

• Azure ADのような認証基盤を利用することで、管理するIDとパスワードを減らせます。

• ただし、今回ご紹介した方法を本番環境の運用に利用するには正直しんどい？

• パスワードの周期的な変更への対応がめんどくさい・・・

• IAMのMFAを有効にすると、ログインに失敗。パスワードの入力が必要になる。

• 既にOffice365を導入済み＆Management Consoleにアクセスするメンバーがわずかしかいないのであれば、使えるかも？

• Office365にログインするときにオンプレのADと同じパスワードが使えるようになっている場合、Azure ADとディレクトリ同期されているはず。（その場合、IAMユーザの準備とアプリケーションの設定（ユーザの割り当てを含む）を行うだけでOK）

• しかし、MFAが使えないようなので強い権限は与えにくい・・・

• RunInstanceとか、Modify*とか、Delete*とか・・・

2015/3/2 42

次回？

• Active Directory Federation Serviceとの連携

• 本格的な環境の場合にはこちらだと思います。

• これから勉強します。。。

• 前回のBlack Belt Tech Webinarで紹介されていました。

• http://www.slideshare.net/AmazonWebServicesJapan/aws-black-belt-tech-aws-management-console

2015/3/2 43

To be continue・・・？

2015/3/2 44