OktaとAWS IAM Identity Centerを連携してシングルサインオンする手順をまとめてみた

OktaアカウントでAWSマネジメントコンソールにログイン をやっていきます。

本記事は弊社の過去記事のアップデート版となります。
旧 AWS SSO は2022年6月26日に AWS IAM Identity Center になりました。

Identity Center有効化/Oktaアプリケーション作成

AWS

まずはIAM Identity Center有効化します。

Setting → Change Identity source → 外部IdP を選択

ここまで来たらこの画面はそのままにして、次はOkta側の設定をします。

Okta

Oktaアカウントはご自身で準備してください。こちらから作成できます。

作成するとダッシュボードに着地します。

左のメニューから Applications → Browse App Catalog → AWSと検索しAWS IAM Identity Centerを選択 → Add Integration Add Integration を選択します。

Identity provider metadata

Okta

Sign Onタブ → SAML Signing Certificates → Actions → View IdP metadata を選択し、表示されたXMLをファイルで保存します。

AWS

Identity provider metadata の IdP SAML metadata をアップロードして次へ、変更を確定します。

Service provider metadata

AWS

IAM Identity Center Assertion Consumer Service (ACS) URL と IAM Identity Center issuer URL を控えておきます。

Okta

Sign Onタブから設定

自動プロビジョニング

AWS

Setting画面から選択していきます。

SCIM Endpoint と Access Token をコピーします。

Okta

Provisioningタブを選択し、先ほどのSCIMとTokenを入力します。

ここで注意すべきは、SCIMは末尾のスラッシュを削除して入力ことです。そうしないと統合に失敗します。

続けてProvisioningタブのProvisioning to Appを編集して、すべてチェックを入れましょう。

そしてAssignmentタブに移動して、Assign to Peopleを選択します。

成功するとOkta側のユーザーとグループをIdentity Centerに同期してくれるようになります。

中間チェック

AWS

ここまで設定したら AWS access portal URL からOktaアカウントでログインしてみます。

ログイン成功、しかし選択できるアプリケーションが無い状態

Identity Center UserをAWSアカウントへアクセス許可

AWS

Identity Centerを設定したアカウントは別のAWSアカウントをOrganizationで作成しておきます。

そのAWSアカウントにユーザーを割り当てます。

Identity Center Userを選択します。

次にユーザーの権限設定するため、許可セットを作成します。

今回は検証なのでAdministratorAccess権限を作成しました。

あとは画面の指示にしたがって進めていきます。

うまく設定できていれば、AWSアカウントにIdentity Center Userが表示されているはずです。

AWSマネジメントコンソールにログイン

もう一度 AWS access portal URL でログインすると今度は設定したAWSアカウントが表示されています。

※別の検証でS3AccessGrantsも表示されていますが気にしないでください。

無事コンソールにログインし、ユーザー名がIdentity Center Userであることが確認できました！

以上です。