JAWS-UG CLI専門支部 #13 Azure ADで AWSのManagementConsoleに SSOしてみた (代理認証編)
8 likes1,879 views
Jawsug cli 13-aad01
![me.json
{
"name“ : "Nobuhiro Nakayama",
"favorite aws services“ : [
"Storage Gateway",
"Directory Service",
"IAM"
],
"certifications“ : [
"AWS Certified Solutions Architect-Associate",
"AWS Certified SysOps Administrator-Associate",
"Microsoft Certified Solutions Expert : Server Infrastructure",
"Microsoft Certified Solutions Expert : SharePoint"
]
}
2015/3/2 2](https://image.slidesharecdn.com/jawsug-cli13aad01-150222040454-conversion-gate01/85/JAWS-UG-CLI-13-Azure-AD-AWS-ManagementConsole-SSO-2-320.jpg)
JAWS-UG CLI専門支部 #13 Azure ADで AWSのManagementConsoleに SSOしてみた (代理認証編)
- 1. Azure ADで AWSのManagement Consoleに SSOしてみた (代理認証編) JAWS-UG CLI #13 2015/03/02 Nobuhiro Nakayama
- 2. me.json { "name“ : "Nobuhiro Nakayama", "favorite aws services“ : [ "Storage Gateway", "Directory Service", "IAM" ], "certifications“ : [ "AWS Certified Solutions Architect-Associate", "AWS Certified SysOps Administrator-Associate", "Microsoft Certified Solutions Expert : Server Infrastructure", "Microsoft Certified Solutions Expert : SharePoint" ] } 2015/3/2 2
- 4. 目次 • はじめに • Azure ADとは? • SSO(代理認証)の設定手順 • まとめ 2015/3/2 4
- 5. 注意事項 • 本資料は個人で準備した環境において、個人的に実施した結果や調査をもとに記載しております。 • また、本資料の内容ならびに閲覧により生じた一切の問題及び不利益について、発表者は一切の責 任を負うことができませんのでご了承ください。 • 自己責任でのご活用をお願いします! 2015/3/2 5
- 7. はじめに • 会社で利用するIDとパスワード、何組持ってますか? • 今日は、管理するIDとパスワードを減らすための手段の1つであるAzure Active Directoryをご 紹介します。 • AWS Management Consoleも利用できます! 2015/3/2 7
- 9. Azure ADとは? • Microsoft Azure Active Directory • IDMaaS(ID Management System as a Service) • オンプレミスとのActive Directory Domain Serviceとは別物です。 • ドメイン参加などはできません。 • いろんなSaaSとSSO(Single Sign on)できる。 • もちろん、AWSもOK! • オンプレミスのActive Directoryと同期することが可能 • 同期ツールはDirSync、AAD Sync、FIM(MIM)、Azure AD Connect、など。 • PowerShellやAPIもある。 • 有料プラン(Premium)を使うと、多要素認証とかパスワードリセットとか、いろんな機能を利用できるよ うになる。 • 詳しいことはbing先生に聞いて下さいw 2015/3/2 9
- 11. 設定手順 1. IAMユーザの作成(事前準備) → 本資料では省略 1. ユーザの作成 2. パスワードの有効化 3. IAM User Sign-in URLの確認 4. (IAM Policyの割り当て) 2. ディレクトリの設定 1. ディレクトリの作成 3. ユーザの設定 1. ユーザの作成 4. アプリケーションの設定 1. アプリケーションの追加 2. シングルサインオンの構成 3. ユーザの割り当て 5. 動作確認 1. Access Panelへのアクセス 2015/3/2 11 この手順はSSOの動作を確認するための (多分)最も簡単な手順です。
- 13. 2015/3/2 13
- 14. 2015/3/2 14
- 16. 2015/3/2 16
- 19. 2015/3/2 19
- 21. 2015/3/2 21
- 22. 2015/3/2 22
- 23. 2015/3/2 23
- 25. 2015/3/2 25
- 26. 2015/3/2 26
- 27. 2015/3/2 27
- 28. 2015/3/2 28
- 29. 2015/3/2 29
- 30. 2015/3/2 30
- 31. 2015/3/2 31
- 32. 2015/3/2 32 以下の情報を設定 ・AWS Account ID(もしくは IAM User Sign-in URLのカスタマ イズした部分) ・IAMユーザ名 ・パスワード
- 33. 2015/3/2 33
- 34. 動作確認 2015/3/2 34
- 35. Management Consoleへのアクセス方法 • 以下のURLへアクセス • http://myapps.microsoft.com/ • SSOには2種類あります。 • アプリケーションからAzure ADへリダイレクトされるパターン • Office365はこちら • Azure ADのポータルからアクセスするパターン • AWSはこちら 2015/3/2 35
- 36. 2015/3/2 36
- 37. 2015/3/2 37 Firefoxの場合、 拡張機能が必要です。 「Access Panel Extension」
- 40. 2015/3/2 40
- 41. まとめ 2015/3/2 41
- 42. まとめ • Azure ADのような認証基盤を利用することで、管理するIDとパスワードを減らせます。 • ただし、今回ご紹介した方法を本番環境の運用に利用するには正直しんどい? • パスワードの周期的な変更への対応がめんどくさい・・・ • IAMのMFAを有効にすると、ログインに失敗。パスワードの入力が必要になる。 • 既にOffice365を導入済み&Management Consoleにアクセスするメンバーがわずかしかいないの であれば、使えるかも? • Office365にログインするときにオンプレのADと同じパスワードが使えるようになっている場合、Azure ADとディレクトリ同期されているはず。 (その場合、IAMユーザの準備とアプリケーションの設定(ユーザの割り当てを含む)を行うだけでOK) • しかし、MFAが使えないようなので強い権限は与えにくい・・・ • RunInstanceとか、Modify*とか、Delete*とか・・・ 2015/3/2 42
- 43. 次回? • Active Directory Federation Serviceとの連携 • 本格的な環境の場合にはこちらだと思います。 • これから勉強します。。。 • 前回のBlack Belt Tech Webinarで紹介されていました。 • http://www.slideshare.net/AmazonWebServicesJapan/aws-black-belt-tech-aws-management-console 2015/3/2 43
- 44. To be continue・・・? 2015/3/2 44