はじめに
こんにちは。エーピーコミュニケーションズ クラウド事業部の髙野です。
本記事ではGoogle Workspace ユーザーを IAM Identity Center ユーザーとしてAWS 環境に同期するための手順を紹介します。 なお、今回の内容は少しボリュームがあるので本記事を含め3つの記事に分けて投稿しており、本記事が2つ目の記事です。 1つ目の記事は以下を参照してください。
本記事で紹介している手順は以下を参考に記載しております。
前提条件
AWS アカウントに Google Workspace ユーザーでシングルサインオンしてみた。(part1) に記載の手順を実施済みであること。
目次
- AWS のカスタムユーザー属性を作成する
- ID プロバイダーのメタデータをダウンロードする
- Google Workspace で Amazon Web Services アプリをセットアップする
- IAM Identity Center の ID ソースを変更し、Google Workspace を SAML ID プロバイダーとして設定する
- Google Workspace でアプリを有効にする★
- IAM Identity Center の自動プロビジョニングを設定する★
- Google Workspace で自動プロビジョニングを設定する★
- IAM Identity Center グループを作成する
- Google Workspace ユーザーをIAM Identity Center グループに追加する
- IAM Identity Center グループ にアカウントへのアクセス権を付与する
- Google Workspace ユーザーの AWS リソースへのアクセスを確認する
※本記事では手順5から手順7を取り扱います。後続の手順については次回以降の記事で紹介します。
手順
5.Google Workspace でアプリを有効にする
5-1.Google管理コンソールの左側のナビゲーションパネルで、[アプリ] を展開し、[ウェブアプリとモバイルアプリ] を選択します。
5-2.アプリのリストで、Amazon Web Servicesを選択して、アプリの詳細ページを開きます。
5-3.[ユーザーアクセス]パネルで、[ユーザーアクセス] の横にある下矢印を選択して [ユーザーアクセス] を展開し、[サービスステータス] パネルを表示します。
5-4.[サービスのステータス] で [オン(すべてのユーザー)] を選択し、[保存] を選択します。
5-5.AWS access portalを選択して、アプリの詳細ページを開きます。
5-6.[ユーザーアクセス] パネルで、[ユーザーアクセス] の横にある下矢印を選択して [ユーザーアクセス] を展開し、[サービスステータス] パネルを表示します。
5-7.[サービスのステータス] で [オン(すべてのユーザー)] を選択し、[保存] を選択します。
6.IAM Identity Center 自動プロビジョニングをセットアップする
6-1.管理者権限を持つロール又はユーザーで IAM Identity Center コンソール にサインインします。
6-2.[設定] ページで、[自動プロビジョニング情報] ボックスを見つけて、[有効にする]を選択します。
これにより、IAM Identity Center での自動プロビジョニングがすぐに有効になり、必要な SCIM エンドポイントとアクセストークンの情報が表示されます。
6-3.[インバウンド自動プロビジョニング] ダイアログボックスで、次のオプションの各値をコピーします。
- SCIM エンドポイント
- アクセストークン
6-4.[閉じる] を選択します。
7.Google Workspace で自動プロビジョニングを構成する
7-1.Google管理コンソールの左側のナビゲーションパネルで、[アプリ] を展開し、[ウェブアプリとモバイルアプリ] を選択します。
7-2.アプリのリストで、Amazon Web Servicesを選択します。
7-3.[自動プロビジョニング] セクションで、[自動プロビジョニングを設定] を選択します。
7-4.手順6-3でコピーしたアクセストークンの値を Google Workspace の[アクセストークン] フィールドに貼り付け、[続行] を選択します。
7-5.手順6-3でコピーしたSCIMエンドポイントの値を Google Workspace の [エンドポイントURL] フィールドに貼り付け、URLの末尾にあるスラッシュを削除し、[続行] を選択します。
7-6.すべての必須の IAM Identity Center 属性が Google Cloud Directory 属性にマッピングされていることを確認し、[続行] を選択します。
マッピングされていない必須項目がある場合は、下矢印を選択して、適切な属性にマップします。
7-7.Google Workspace ディレクトリを持つグループを選択して、Amazon Web Servicesへのアクセスを提供できます。この手順をスキップして、[続行] を選択します。
7-8.プロビジョニング解除では、状況ごとにプロビジョニング解除が開始されるまでの時間を指定できます。[完了] を選択します。
Amazon Web Servicesのページに戻ります。
7-9.[自動プロビジョニング] セクションで、トグルスイッチをオンにして、[無効] から [有効] に変更します。
7-10.確認ダイアログボックスで、[有効にする] を選択します。
7-11.IAM Identity Center コンソールに戻り、 [ユーザー] を選択します。[ユーザー] ページには、SCIM によって作成された Google Workspace ディレクトリのユーザーがリストされます。ユーザーが IAM Identity Center に正常に同期されていることを確認します。
ユーザーがまだリストされていない場合は、プロビジョニングがまだ進行中である可能性があります。プロビジョニングには最大24時間かかる場合がありますが、ほとんどの場合は数分以内に完了します。数分ごとにブラウザウィンドウを更新してください。
まとめ
これで、Google Workspace と AWS 間の SAML 接続が正常に設定され、自動プロビジョニングが機能していることを確認できました。
次回はIAM Identity Center に同期されたユーザーをIAM Identity Center グループに追加してAWSアカウントへのアクセス許可を実施します。
お知らせ
弊社はAWSアドバンスドティアサービスパートナー認定を受けております。また以下のようにAWSの活用を支援するサービスも行っているので、何かご相談したいことがあればお気軽にご連絡ください。
一緒に働いていただける仲間も募集中です!
今年もまだまだ組織規模拡大中なので、ご興味持っていただけましたらぜひお声がけください。