[アップデート]Elasticsearch ServiceがKibanaのSAML認証をサポートしました!

Elasticsearch ServiceがKibanaのSAML認証をサポートしました! SAML認証に対応したことによってSAML認証に対応したサードパーティIDプロバイダを利用した認証が可能になります。
2020.10.29

Elasticsearch ServiceがKibanaのSAML認証をサポートしました!

今までKibanaはCognitoや独自ユーザーID/Passwordでのログインが必要でしたが、 SAML認証に対応したことによってSAML認証に対応したサードパーティIDプロバイダ(Okta, Pind Identity, OneLogin, Auth0, Azure Active Directory等) を利用した認証が可能になります。

この機能によって、ユーザーは既存のユーザーIDとPasswordを利用してKibanaにログインできるようになります。

やってみた

たとえばこんな環境が作れます。

SAMLのIdPとしてAuth0を利用して、Auth0のユーザーでElasticsearch ServiceのKibanaにログインできます。

試しに、Auth0のユーザーでログイン可能なElasticsearch ServiceのKibanaを構築すると、こういった動きになります。

SAML認証を有効にしている状況で、Elasticsearch ServiceのKibanaにアクセスします。

そうすると、次のようにAuth0のログイン画面が表示されて、Auth0のユーザーでログインできるようになっています。

ログインが完了すると、Kibanaの画面が表示されて、Auth0のユーザーでログインできることが確認できました。

注意点

KibanaでSAML認証を利用する上で、いくつか注意点があります。

  • SAML認証の機能は、Elasticsearch 6.7以降のドメインで提供されています。
  • KibanaのSAML認証は、ブラウザからKibanaにアクセスするためだけに利用できます。SAML認証では、ElasticsearchやKibana APIへの直接HTTPリクエストはできません。
  • Elasticsearchドメインは1つの認証方法しか選択できません。Amazon Cognito認証と同時にSAML認証は利用できません。
  • SAML認証を有効にするためには、Elasticsearchドメイン作成時に 細かいアクセスコントロールを有効化 し、 マスターユーザーの作成 をして、 SAML認証を準備する にチェックを入れておく必要があります。

終わりに

Elasticsearch ServiceのKibanaがSAML認証に対応したことで、KibanaのSingle Sign-Onがやりやすくなったんじゃないかと思います。

実際にKibanaのSAML認証が試せるように、具体的な設定方法についてもブログにしようと思います。