この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。
Elasticsearch ServiceがKibanaのSAML認証をサポートしました!
今までKibanaはCognitoや独自ユーザーID/Passwordでのログインが必要でしたが、 SAML認証に対応したことによってSAML認証に対応したサードパーティIDプロバイダ(Okta, Pind Identity, OneLogin, Auth0, Azure Active Directory等) を利用した認証が可能になります。
この機能によって、ユーザーは既存のユーザーIDとPasswordを利用してKibanaにログインできるようになります。
やってみた
たとえばこんな環境が作れます。
SAMLのIdPとしてAuth0を利用して、Auth0のユーザーでElasticsearch ServiceのKibanaにログインできます。
試しに、Auth0のユーザーでログイン可能なElasticsearch ServiceのKibanaを構築すると、こういった動きになります。
SAML認証を有効にしている状況で、Elasticsearch ServiceのKibanaにアクセスします。
そうすると、次のようにAuth0のログイン画面が表示されて、Auth0のユーザーでログインできるようになっています。
ログインが完了すると、Kibanaの画面が表示されて、Auth0のユーザーでログインできることが確認できました。
注意点
KibanaでSAML認証を利用する上で、いくつか注意点があります。
- SAML認証の機能は、Elasticsearch 6.7以降のドメインで提供されています。
- KibanaのSAML認証は、ブラウザからKibanaにアクセスするためだけに利用できます。SAML認証では、ElasticsearchやKibana APIへの直接HTTPリクエストはできません。
- Elasticsearchドメインは1つの認証方法しか選択できません。Amazon Cognito認証と同時にSAML認証は利用できません。
- SAML認証を有効にするためには、Elasticsearchドメイン作成時に 細かいアクセスコントロールを有効化 し、 マスターユーザーの作成 をして、 SAML認証を準備する にチェックを入れておく必要があります。
終わりに
Elasticsearch ServiceのKibanaがSAML認証に対応したことで、KibanaのSingle Sign-Onがやりやすくなったんじゃないかと思います。
実際にKibanaのSAML認証が試せるように、具体的な設定方法についてもブログにしようと思います。
2
