OneLoginとAWSをSAML連携しSSOを実現する手順

1. 目的

この記事では、AWSとOneLoginをSAML連携してSSO(シングルサインオン)できるようにする設定方法をご紹介します。OneLoginとAWSのSAML連携については、お客様のご利用環境により4つのパターンに分岐します。ここでは、AWS Organizations によりアカウント管理をしている方を対象としたSAML連携設定手順をご紹介します。

前提条件

以下の点を満たしていることを確認してください

  • OneLoginのライセンスがProfessionalであること
  • OneLoginにおけるSuper UserあるいはAccount Ownerをお持ちであること
  • AWS Organizationsにて組織の作成及びアカウントの追加が完了していること
  • AWS Organizationsの管理アカウント(旧マスターアカウント)におけるルートユーザーをお持ちであること

2. 手順

1. OneLogin側の設定(前半)

  1. 管理者アカウントでOneLoginにログインし、[管理]からApplicationsタブ >[Applications]から[Add App]をクリックします

  2. AWS Single Sign-on と入力し、AWS Single Sign-on コネクタを選択します

  3. Display Name でOneLoginポータル画面での表示名を設定し、[Save]をクリックします

  4. More Actionsタブ >[SAML Metadata]をクリックし、メタデータファイルをダウンロードします

2. AWS側の設定(前半)

  1. AWS側の管理アカウントからIAM Identity Centerにアクセスします。(IAM Identity Centerが有効化されてない場合は[有効にする]をクリックします)

  2. アイデンティティソースを選択]> アクションタブ >[アイデンティティソースを変更] をクリックします

  3. [外部IDプロバイダー] で[ファイルを選択]をクリックし、手順1.4にてダウンロードしたメタデータファイル をアップロードします

  4. アイデンティティソースを変更]をクリックします

  5. 設定 > 自動プロビジョニング にて、[有効にする]をクリックします

  6. アクセストークン > [トークンを表示]からSCIMエンドポイント及びアクセストークンをコピーします

  7. アクション > [認証の管理]からIAM Identity Center Assertion Consumer Service(ACS)のURL, IAM Identity Center の発行者 URL をコピーします

3. OneLogin側の設定(後半)

  1. Configurationタブ > AWS SSO issuer URL, AWS SSO ACS URL, SCIM Base URL, SCIM Bearer Token の各項目に手順2.6と2.7でコピーした値を入力します。

  2. API Connection >[Enable]をクリックしAPI接続を有効化します。

  3. SSOタブ > SAML Signature Algorithm より、SHA-265 を選択します

  4. Accessタブより、アプリケーションを割り当てるロールを選択します

  5. Provisioningタブ > Enable provisioningにチェックをいれます

  6. Usersタブ > Provisioning Stateが ✅Provisionedとなっていることを確認します

  7. IAM Identity Center > ユーザーでユーザーが作成されていれば成功です

4. AWS側の設定(後半)

本セクションでは、プロビジョニングによって生成したユーザーにSSO先のアカウント及び権限を付与する方法をご説明します

4-1. アクセス許可セットを作成する

  1. AWS側の管理アカウントからIAM Identity Centerにアクセスします

  2. マルチアカウント許可 > [許可セット]>[許可セットを作成]をクリックします

  3. 許可セットタイプを選択します 例)事前定義された許可セット

  4. ポリシーを選択し、[次へ]をクリックします 権限の詳細については、AWSサポートへお問い合わせください 例) AdministratorAccess

  5. 許可セット名を入力し、許可セットの詳細を設定します

  6. 画面上部に許可セットが正常に作成されました と表示されれば完了です

4-2. 作成したアクセス許可セットを割り当てる

本セクションでは作成したアクセス許可セットを割り当てる方法をご紹介します。

  1. マルチアカウント許可 > [AWS アカウント]をクリックします

  2. アクセスを許可するアカウントにチェックを入れ、[ユーザーまたはグループを割り当て]をクリックします

  3. アクセス権を割り当てる単位を選択し、対象とするグループあるいはユーザーにチェックを入れ、[次へ]をクリックします

  4. 割り当てる許可セットを選択し、[次へ]をクリックし[送信]をクリックします

  5. AWS アカウントが正常に再プロビジョニングされ、更新された許可セットがアカウントに適用されました。 と表示されれば完了です

  6. 以上で作業は完了です。OneLoginにログインし、AWS コネクタをクリックし、SSOが成功すれば設定は完了です

3. 結論

OneLoginからAWSへのシングルサインオン

  1. OneLoginからSSOできることを確認します。OneLoginにログインし、AWSコネクタをクリックします。

  2. アクセスするアカウントをクリックし、権限を確認し、[Management console]をクリックします

  3. SSOが成功すれば設定は完了です



ペンティオでは、OneLoginをご契約いただいた方に向けて独自のドキュメントを無料で提供しています。

詳細は以下よりご覧ください。

詳細手順はこちら