はじめに
AWSサービスのうち、以下のサービスでは、ユーザー認証のシングルサインオン (SAML 2.0 ベースのフェデレーション認証)に対応しています。
- AWS IAM Identity Center
- Amazon WorkSpaces
- Amazon AppStream 2.0
- AWS Client VPN
OktaとAWSのシングルサインオンを試したいと思った時、Okta Starter Developer Editionが無料で利用できることを知りました。
Okta Starter Developer Editionとは、Oktaの認証、認可、ユーザー管理の機能をアプリに組み込む開発者向けに無料で提供されています。
一部制限がありますが、Oktaの機能を用いた開発や検証を行う方にとって非常に便利です。
本記事では、Okta Starter Developer Editionの登録方法と、例としてAWS Client VPNのシングルサインオンを設定する際のOkta側の手順を紹介します。
Okta Starter Developer Editionの登録方法
まず、以下のリンクにアクセスします。
[Sign up free]をクリックします
必要な情報(名前など)を入力するか、GoogleやGitHubアカウントを使用して登録できます(今回はGoogleアカウントを使用しました)。
登録が完了すると、Oktaのダッシュボードにアクセスできます。
AWSサービスとの連携
ここからは、例としてAWS Client VPNのシングルサインオンを設定するためのOkta側の手順を解説します。
[Applications]に遷移します。
[Browse App Catalog]に遷移します
検索窓からAWS Client VPNと入力し、AWS Client VPNを選択します
[Add Integration]をクリックします
[Done]をクリックすると、AWS Client VPNが統合され、設定できるようになります。
設定するため、[Edit]をクリックします
Client VPNの認証でシングルサインオンを許可するユーザーの設定で、[memberOf]は、Matches regex、値を .* とし保存します。
保存後、Metadata URLをコピーしアクセスすると、メタデータが出力されるため、全てコピーして、ローカルにmetadata.xmlファイルとして保存します。
metadata.xmlファイルにコピーする際、インデントなどは気にしなくて良いです。
ユーザーを追加
ClientVPNの認証でシングルサインオンを許可するユーザーを追加します。
許可するユーザーを追加するため、[Assign]の[Assign to People]をクリックします
追加するユーザーの[Assign]をクリックします
これでClientVPNのシングルサインオンでVPN接続できるユーザーを追加できました
ID プロバイダの追加
AWS側で、ID プロバイダを追加します。
プロバイダ名を記載し、先程のmetadata.xmlをメタデータドキュメントとしてアップロードします。
これで、Okta側の設定は完了です。
続きのClientVPNの設定は、今回は割愛します。
もし最後までClientVPNの設定をされたい方は、続きとして下記のブログをご確認ください。
また、OktaでもClient VPNのセットアップについてドキュメントがありますので、ご参考ください。
最後に
Okta Starter Developer Editionの登録方法とAWSサービスとの連携について解説しました。
登録時にクレジットカード情報も不要のため、安心して利用いただけますので、Oktaをどんどん利用してみてください
54
