AWS SSO Directory が利用できるようになりました(Microsoft AD以外の選択肢が提供されました)
はじめに
中山(順)です
AWS SSOでAWS SSO Directoryを利用できるようになりました。これにより、Directory Serviceが提供するMicrosoft AD以外のディレクトリを選択できるようになりました。
AWS Single Sign-On でユーザーの作成と管理が可能に
やってみた
実際に使ってみます。
ディレクトリの有効化
まずは、ディレクトリを有効化します。
AWS SSO Directoryを選択します。
特に設定項目はありません。
1分くらいでディレクトリとの接続が完了します。
作成できると、ポータルへのURLやユーザー/グループの管理画面を確認できます。
グループの作成
まずはグループを作成してみます。
グループ名と説明を入力すことができます。
ユーザーの作成
次にユーザーを作成します。
最初にメールアドレスを入力します。こちらは初期パスワード設定などにも利用されます。 そのほかには、初期パスワードの設定方法や姓/名などの属性を設定できます。 設定できる属性は多くありません。
次に、ユーザーをグループに追加します。 追加先はさきほど作成したグループです。
ユーザー/グループをAWSアカウントにアサイン
次に、先ほどのユーザーでAWSアカウントにアクセスできるように権限を割り当てます。
今回は、Organizationの設定やPermission Setの作成などが完了していることを前提として、既存のPermission Setに先ほど作成したグループをアサインします。 AWS SSOを利用するための設定は、こちらの記事をご参照ください。
まず、アサイン先のAWSアカウントを指定します。
アサインするグループを指定します。
アサインされるPermission Setを指定します。
ここまでで最低限の設定は完了です。
動作確認
まずは作成したユーザーをアクティベートします。 ユーザーが作成できていれば、設定時に指定したメールアドレスに招待メールが送られているはずです。
今回は"Send an email to the user with password setup instructions."を選択したので、"Accept invitation"をクリックして任意のパスワードを設定します。 問題なければポータルにログインすることができます。 2回目以降のログインには"User Portal URL"にアクセスして設定したパスワードでログインしてください。
マネージメントコンソールにもログインできました。
料金
こちらは無料です。
まとめ
AWS SSOで独自のディレクトリを選択できるようになりました。 これまでより気軽にAWS SSOを利用できるようになりました。
しかしながら、現時点では大規模かつ高度な要件への対応は難しいとも感じます。 今後、以下のようなアップデートがあると個人的にはうれしいです。
- CLI/SDKの提供
- 大量のユーザーをプロビジョニングするケースへの対応
- 既存のディレクトリからのユーザー/パスワード同期
- Azure AD Syncのようなツールの提供
- ユーザー属性の充実/追加
- MFAのサポート
要件を踏まえて、適切なディレクトリを選択しましょう。
現場からは以上です。