![[アップデート]Elasticsearch ServiceがKibanaのSAML認証をサポートしました!](https://devio2023-media.developers.io/wp-content/uploads/2019/04/amazon-elasticsearch-service.png)
[アップデート]Elasticsearch ServiceがKibanaのSAML認証をサポートしました!
Elasticsearch ServiceがKibanaのSAML認証をサポートしました!
今までKibanaはCognitoや独自ユーザーID/Passwordでのログインが必要でしたが、 SAML認証に対応したことによってSAML認証に対応したサードパーティIDプロバイダ(Okta, Pind Identity, OneLogin, Auth0, Azure Active Directory等) を利用した認証が可能になります。
この機能によって、ユーザーは既存のユーザーIDとPasswordを利用してKibanaにログインできるようになります。
やってみた
たとえばこんな環境が作れます。
SAMLのIdPとしてAuth0を利用して、Auth0のユーザーでElasticsearch ServiceのKibanaにログインできます。
試しに、Auth0のユーザーでログイン可能なElasticsearch ServiceのKibanaを構築すると、こういった動きになります。
SAML認証を有効にしている状況で、Elasticsearch ServiceのKibanaにアクセスします。
そうすると、次のようにAuth0のログイン画面が表示されて、Auth0のユーザーでログインできるようになっています。
ログインが完了すると、Kibanaの画面が表示されて、Auth0のユーザーでログインできることが確認できました。
注意点
KibanaでSAML認証を利用する上で、いくつか注意点があります。
- SAML認証の機能は、Elasticsearch 6.7以降のドメインで提供されています。
- KibanaのSAML認証は、ブラウザからKibanaにアクセスするためだけに利用できます。SAML認証では、ElasticsearchやKibana APIへの直接HTTPリクエストはできません。
- Elasticsearchドメインは1つの認証方法しか選択できません。Amazon Cognito認証と同時にSAML認証は利用できません。
- SAML認証を有効にするためには、Elasticsearchドメイン作成時に 細かいアクセスコントロールを有効化 し、 マスターユーザーの作成 をして、 SAML認証を準備する にチェックを入れておく必要があります。
終わりに
Elasticsearch ServiceのKibanaがSAML認証に対応したことで、KibanaのSingle Sign-Onがやりやすくなったんじゃないかと思います。
実際にKibanaのSAML認証が試せるように、具体的な設定方法についてもブログにしようと思います。
![[WIC] Okta Workforce Identity Cloudを利用してAWSアカウントに対してSSO設定をしてみた](https://images.ctfassets.net/ct0aopd36mqt/wp-thumbnail-d91c3f01500237e80a7d37ce9c2ae878/856860d631599070d4ec2bf694c75ac8/eyecatch_okta_1200x630.png)
![[AWS CDK] ALBとCognitoを使ってOktaをIdPとするSAML認証をしてみた](https://devio2023-media.developers.io/wp-content/uploads/2023/08/amazon-cognito.png)
