IAM Identity Center + Microsoft Entra ID の ID 構成で Amazon QuickSight との統合機能を使えるか確認してみた
いわさです。
半年ほど前のアップデートで、Amazon QuickSight は AWS IAM Identity Center とマネージドっぽく統合出来るようになりました。
で、ちょっと思ったのが次のように IAM Identity Center が外部 IdP を ID ソースとする場合でもプロビジョニングなど問題なく動くのだろうかと疑問になりました。
上記では ID ソースに Microsoft Entra ID を構成しています。
もちろん Microsoft Entra ID を直接 QuickSight と SAML 連携させることも可能なのですが、IAM Identity Center のアプリケーションとして QuickSight を扱いたいという要件がありました。
結局は QuickSight 側に IAM Identity Center から情報を渡しているだけなのでおそらく動くだろうと思ったのですが、これは実際に試したほうが確実だろうということで試してみました。
結論としては問題なく動作したのですが、せっかくなので構成手順なども含めその様子を紹介したいと思います。
前提の ID 環境
前提として次のように IAM Identity Center の組織アカウントを有効化しており、アイデンティティソースに Microsoft Entra ID を統合済みです。
本日時点では QuickSight は IAM Identity Center のアカウントインスタンスはサポートしておらず、組織インスタンスが必須です。
Microsoft Entra ID と IAM Identity Center の統合方法は次を参考にしてください。
自動プロビジョニングまでやろうとするともうひと手間必要ですが、手動プロビジョニングで連携するだけであれば割とサクッと構成出来ると思います。
この時点では、IAM Identity Center にアクセスすると Microsoft Entra ID のサインインが求められ、サインインすると IAM Identity Center のアプリケーション一覧が表示されます。(ただし、この時点ではまだ QuickSight はない)
QuickSight と IAM Identity Center を統合
本日時点では QuickSight アカウントのサインアップ時にのみ IAM Identity Center を統合することが出来ますのでご注意ください。ID グループと QuickSight ユーザーをうまいこと連携してくれる便利機能があるので、将来的にもちょっと厳しい気が個人的にはしていますが...。
セットアップ時に必要になるので、QuickSight ユーザーを自動プロビジョニングするための IAM Identity Center グループを作成しておきます。
確認用のユーザーをどこかのグループに追加しておきましょう。
あとは新しく QuickSight 環境を作成し直します。
作成時に認証方法として IAM Identity Center を選択し、先ほど作成したグループを割当します。
あとは通常どおりセットアップするだけで完了です。簡単です。
サインインして確認してみる
作成後、QuickSight にアクセスしてみます。
そうすると IAM Identity Center のサインインへリダイレクトされ、そこから更に Microsoft Entra ID のサインインへリダイレクトされます。
Entra ID でサインインすると IAM Identit Center のアプリケーション画面、あるいは QuickSight のサインイン画面からアクセスしていた場合であれば直接 QuickSight までリダイレクトされます。
以下は関係ないアプリケーションを別件でセットアップしてしまっているのですが、、、無視してください!
割り当てされたグループに従ってうまくユーザーもプロビジョニングされていました。
さいごに
本日は IAM Identity Center + Microsoft Entra ID の ID 構成で、QuickSight 統合機能を使ってみました。
問題なく使えましたね。
多段でリダイレクトされる場合でもうまく起点となるページまで戻ってくれるので安心しました。
IAM Identity Center の統合機能は QuickSight サインアップ時しか使えないのでそれだけがちょっとネックですが、可能であればやはりこの統合機能使いたいですね。