こんにちは、洲崎です。
Amazon WorkSpaces WebでOktaをIdPとして設定してみたのでブログにします。
Amazon WorkSpaces Webとは
Amazon WorkSpaces Webは、AWSが用意したWebブラウザ(Chrome)を手元の端末から使用できるサービスです。
リモートワーク等で、社外ネットワークから社内システムにアクセスする際に機密データを端末に残さないようにする時などに使うことができます。
詳細について、下記ブログもご参照ください。
Amazon WorkSpaces Webはユーザー認証にAcitive Direcotryを使わず外部のIdP(AWS SSO,Azure AD,Okta 等)でSAML認証が必須となっています。
やってみる
上記で紹介した記事はAWS SSOやAzure ADで連携されています。今回はOkta連携でやってみます。
WorkSpaces Webプライベートサブネット用意
WorkSpaces WebはAZが異なるプライベートサブネットが2つ必要です。
マネジメントコンソールから、VPCウィザードでAZ二つ、プライベートサブネット2つでサクッと作成します。
※WorkSpaces Webからインターネットにアクセスしたい場合は、別途NAT Gatewayを作成します。(↓参考)
Okta:IdP設定
※OktaコンソールはGoogle翻訳で日本語として表示しています。
Oktaコンソールに入り、アプリケーションの中のアプリケーションをクリックします。
「アプリ統合の作成」をクリックします。
「SAML2.0」を選択します。
任意のアプリ名を入力し、次へ進みます。(今回はworkspaces-webとしました)
この画面の状態で開いたままにします。
WorkSpaces Web:Webポータルの作成
マネジメントコンソールからWorkSpaces Webを開き、「ウェブポータルを作成」をクリックします。
作成したVPCとプライベートサブネットを指定し、セキュリティグループはデフォルトを指定し次へ進みます。
ウェブポータルの設定はURLやポリシーを設定できます。デフォルトのままで進めていきます。
クリップボード等、ユーザーの動作について設定できます。デフォルトのまま進めていきます。
アイデンティティプロパイダーのオプションを「標準」で、「標準IdPで続行」をクリックします。
すると個々のメタデータ値を表示することができるので、表示して「WorkSpaces Web ACS URL」と「WorkSpaces Web SP エンティティ ID」を控えます。
画面をこのままにしてOktaのページに戻ります。
Okta:SAML設定
開いたままのOktaのページに戻り次へをクリックします。
SAML設定のページに入るので、シングルサインオンURLは先ほど控えた「WorkSpaces Web ACS URL」を、オーディエンスURIは「WorkSpaces Web SP エンティティ ID」を貼り付けます。
名前IDの形式を「電子メールアドレス」に変更します。
最後に顧客かパートナーかを選択し、終了をクリックします。
OktaコンソールのSign Onタブ(日本語だと入社する)から、メタデータ URLをコピーして控えます。
WorkSpaces Webのコンソールに戻り、IdPメタデータ URLのところに貼り付けます。
次へをクリックすると、WorkSpaces Webの立ち上げが始まります。起動までに最大15分かかります。
Okta:ユーザーの割り当て
最後に、OktaユーザーにWorkSpaces WebのIdPを割り当てます。
ユーザー画面を開き、「アプリケーションの割り当て」をクリックします。
ユーザー名にメールアドレスが入ってるのを確認し、保存して戻るをクリックします。
アプリケーションの割り当ての画面に遷移します。割り当て済みになっていたら完了です。終わりをクリックします。
WorkSpaces Webを起動
WorkSpaces Webが立ち上がったら、ウェブポータルエンドポイントをクリックします。
サインインボタンが出るため、Oktaで事前にログインしておき、サインインをクリックします。
WorkSpaces Webを立ち上げることができました!
最後に
Oktaの連携は比較的スムーズにできました。
ローカルにデータを残したくない等ある際に、気軽に利用したい場合とか活用できそうです。
Oktaを利用している場合はぜひ検討してみてはいかがでしょうか。
ではまた!コンサルティング部の洲崎でした。
33
