APC 技術ブログ

株式会社エーピーコミュニケーションズの技術ブログです。

株式会社 エーピーコミュニケーションズの技術ブログです。

トップ > AWS > AWS Control Tower の Account Factory で作成した AWS アカウントに Microsoft Entra ID (旧 Azure AD) ユーザーでシングルサインオンする!(ユーザー同期編①)

AWS Control Tower の Account Factory で作成した AWS アカウントに Microsoft Entra ID (旧 Azure AD) ユーザーでシングルサインオンする!(ユーザー同期編①)

AWS
< techblogAPCについて(はじめにお読み下さい) >

はじめに

こんにちは。クラウド事業部の早房です。
今回は、前回に引き続き AWS Control Tower の Account Factory で作成した AWS アカウントに Microsoft Entra ID のユーザーを用いてシングルサインオンをするまでに必要な作業について紹介します。
※前回記事は以下。

techblog.ap-com.co.jp

本記事ではユーザー同期編ということで、Microsoft Entra ID 上のユーザーを IAM Identity Center ユーザーとして AWS 環境に同期するための方法をご紹介します。

IAM Identity Center ユーザーとは?

【AWS】【初心者】IAM Identity Center とは?IAM Identity Center ユーザーって何者? - APC 技術ブログ

なお、ユーザー同期編はボリュームがあるので本記事も含め 3 つの記事に分けて投稿しようかと思います。

1. 目次

  1. 目次
  2. 全体の作業フローと本記事での作業箇所の確認
  3. 前提条件
  4. 作業完了条件
  5. 作業手順
  6. 参考情報

2. 全体の作業フローと本記事での作業箇所の確認

①AWS Control Tower のランディングゾーンセットアップ
②Microsoft Entra ID → AWS へのユーザー同期
③Account Factory での AWS アカウント作成
④作成したAWSアカウントへのアクセス権の設定
といったフローで作業を進めていきます。

本投稿の作業範囲は「Microsoft Entra ID → AWS へのユーザー同期 」です。

3. 前提条件

  • AWS アカウントで IAM Identity Center が有効になっていること。
  • Azure で Microsoft Entra ID を使用していること。

4. 作業完了条件

  • AWS IAM Identity Center と Microsoft Entra ID の双方で SAML 信頼関係構築のためのメタデータファイルのダウンロードができること。

5. 作業手順

5-1. メタデータファイルのダウンロード (AWS)

  1. 管理アカウントの AWS マネジメントコンソールにログイン後、検索窓に「IAM Identity Center」と入力し、IAM Identity Center のコンソール画面を表示します

  2. IAM Identity Center のダッシュボードから「アイデンティティソースを確認」をクリックします。

  3. アイデンティティソースタブ内のアクションから「アイデンティティソースを変更」をクリックします。

  4. 「外部 ID プロバイダー」を選択し、「次へ」をクリックします。

  5. 「メタデータファイルをダウンロード」をクリックし、ファイルをダウンロードします。

  6. サインアウト等はせず、次項「5-2. エンタープライズアプリケーションの設定 (Azure)」を実施します。

5-2. フェデレーション メタデータ XML のダウンロード (Azure)

  1. Azure Portal にログインし、検索窓に「Microsoft Entra ID」と入力し、Microsoft Entra ID をクリックします。

  2. 左ペインより「エンタープライズ アプリケーション」をクリックします。

  3. 「新しいアプリケーション」をクリックします。

  4. 検索窓に「AWS IAM Identity Center」と入力し、「AWS IAM Identity Center (successor to AWS Single Sign-On)」をクリックします。

  5. 「作成」をクリックします。

  6. アプリケーションの追加が正常に完了することを確認します。

  7. 左ペインより「シングル サインオン」をクリックし、「SAML」をクリックします。

  8. 「メタデータファイルをアップロードする」をクリックし、AWS IAM Identity Center でダウンロードしたメタデータファイルを選択し、「追加」をクリックします。

  9. ファイルのアップロードが正常に完了したことを確認します。

  10. 「保存」をクリックします。

  11. 構成の保存が正常に完了したことを確認します。 「シングル サインオンをテスト」が表示された場合は、「いいえ」を選択します。

  12. SAML 証明書の項目内より、「フェデレーション メタデータ XML」をダウンロードします。

  13. ファイルのダウンロードが正常に完了したことを確認します。

6. 参考情報

  • チュートリアル: Microsoft Entra SSO と AWS IAM Identity Center の統合

learn.microsoft.com

  • 外部 ID プロバイダーConnect する

docs.aws.amazon.com

まとめ

今回はMicrosoft Entra ID から AWS へのユーザー同期手順ということで、双方の環境でのメタデータダウンロードまでの手順を紹介しました。
次回は Microsoft Entra ID で取得したメタデータを使用して、AWS IAM Identity Center のアイデンティティソースを変更する様子を紹介します。

おわりに

私達クラウド事業部はAWSなどのクラウド技術を活用したSI/SESのご支援をしております。

https://www.ap-com.co.jp/service/utilize-aws/

また、一緒に働いていただける仲間も募集中です!
今年もまだまだ組織規模拡大中なので、ご興味持っていただけましたらぜひお声がけください。

www.ap-com.co.jp

本記事の投稿者: hybs_yuuuu
AWSをメインにインフラ系のご支援を担当しています。 https://www.credly.com/users/hybs_yuuuu/badges