[アップデート] Amazon WorkMail が IAM Identity Center との統合をサポートしました

[アップデート] Amazon WorkMail が IAM Identity Center との統合をサポートしました

Clock Icon2024.11.07

いわさです。

先日、Amazon WorkMail が MFA をサポートしたというアップデートアナウンスがありました。

https://aws.amazon.com/about-aws/whats-new/2024/10/amazon-workmail-multi-factor-authentication/

タイトルは MFA がサポートされたという内容ですが、その実体は Amazon WorkMail が AWS IAM Identity Center と統合出来るようになったというアップデートです。
WorkMail で IAM Identity Center を有効化することで、IAM Identity Center の様々なセキュリティ機能などを WorkMail でも使えるようになります。

使ってみましたので紹介します。

WorkMail で IAM Identity Center を有効化する

まずは WorkMail で IAM Identity Center を有効化する必要があります。
既存 WorkMail インスタンスで確認したところ、新しく Identity Center というメニューが追加されています。
そちらにアクセスしてみると、Identity Center 統合の設定を確認出来ます。

E0E823EE-F7C1-4420-AF81-7CAE168A90D3_1_105_c.jpeg

Enable ボタンを押すと、ダイアログ上で認証モードとアクセストークンの説明が表示されます。
認証モードについては後ほど変更しますので紹介します。
アクセストークンは外部メールクライアントで使う場合があります。こちらの有効期限は本日は設定しませんが、変更可能です。

B7D8EE97-2203-4842-B846-2A20EE6E5B33.png

前提として IAM Identity Center 自体がセットアップ済みである必要があります。
WorkMail 上の IAM Identity Center 有効化操作としてはまずはここまでです。

5E3D9407-8448-4494-820D-6C2F7B49AD66_1_105_c.jpeg

同一リージョンに IAM Identity Center が必要

ちなみに、WorkMail と同一リージョン(今回だとバージニア北部を使用)に IAM Identity Center インスタンスがセットアップされていない状態だと次のように有効化が出来ません。

97F9BF9E-B1B8-48DE-8CCB-B98218CEF86A_1_105_c.jpeg

IAM Identity Center ユーザーを WorkMail で使う

WorkMail 上で IAM Identity Center の統合が出来ましたが、これだけでは WorkMail 上で使えるようになるわけではありません。
WorkMail ユーザーと IAM Identity Center ユーザーを紐づける必要があります。

IAM Identity Center ユーザーを WorkMail アプリケーションへ追加する

まず、WorkMail アプリケーションにアクセス許可した IAM Identity Center ユーザーを用意する必要があります。
「Assign users and groups」を押します。

F0DF0489-97DF-425C-AE0D-E4E59C96FA6C_1_105_c.jpeg

追加する方法ですが、新規 IAM Identity Center ユーザーも同時に作成する方法と、既存の IAM Identity Center ユーザー・グループに許可を設定する方法があります。
まずは IAM Identity Center ユーザーの同時追加から試してみます。
「Add and assign new users」ボタンを押します。

D4D7A503-01C6-4C89-94DD-FF21388BDD0F.png

ユーザー情報を入力します。
ここで入力する情報は WorkMail ユーザーではなく、新規作成する IAM Identity Center ユーザーですのでご注意ください。

CF3AF059-AC0F-486F-AD26-83EFD6DCA4D4.png

WorkMail の Identity Center 機能の中に Assigned users というタブがあり、WorkMail へのアクセスが許可された IAM Identity Center ユーザーが表示されます。
なお、この時点ではまだ WorkMail ユーザーとの関連付けはされていません。

1F9A2240-297B-421D-85FB-DA8D33247E5D_1_105_c.jpeg

IAM Identity Center コンソールも確認してみると、ユーザーが追加されていることが確認出来ます。

E2A28E07-210D-46A6-B6D5-D7A61500830C_1_105_c.jpeg

で、その IAM Identity Center ユーザーの関連付けされたアプリケーションを見てみると、WorkMail インスタンスが関連付けされています。

89AA4FDB-0629-451A-82A5-67BCD97AE54D.png

では続いて、既存 IAM Identity Center ユーザーも追加してみます。
「Assign existing users and groups」を追加します。

3EC912F8-0D48-426D-B2A4-FFDDAF7C662C.png

自動で全ユーザー・グループが表示されるわけでなく、検索するタイプです。
ユーザー名の一部を入力すると、対象の IAM Identity Center ユーザーが表示されました。選択しましょう。

08098D95-0CD0-42A8-94C6-70CDA0951CB1.png

先ほどと同じように WorkMail インスタンスに関連づいたユーザーとして認識されました。

E26E8606-2379-4271-9B4C-D23923CDAB6A_1_105_c.jpeg

WorkMail ユーザーと IAM Identity Center を関連付けする

さらに、WorkMail インスタンスへのアクセスを許可しただけではまだ足りませんでして、IAM Identity Center のユーザーがそのまま WorkMail ユーザーになるわけではなく、WorkMail ユーザーという概念は引き続き必要です。
そこで、WorkMail ユーザーと IAM Identity Center ユーザーを関連付けする必要があります。

前提として IAM Identity Center 統合前から既に WorkMail ユーザーを作成している状態です。

EC74BAF4-5DFA-47C4-B0B4-12278DDF49A0.png

今度は「Associate users」ボタンを押します。

2773A3E7-1AA7-401F-A227-60A90F24E69D_1_105_c.jpeg

次のダイアログでまず WorkMail ユーザーを選択します。

14BE3C4F-9F91-4931-9193-D29174439C92_4_5005_c.jpeg

続いて IAM Identity Center ユーザーの ID を入力します。
ここはなぜか...手入力。

2DB21C7F-0741-4E05-9AD4-D460E696E33B_4_5005_c.jpeg

IAM Identity Center ユーザーでログインして WorkMail へアクセスする

IAM Identity Center を有効化し、ユーザー関連付けをすることで利用出来るようになりました。
注意点として、認証モードにもよるのですが IAM Identity Center 認証を使う場合と WorkMail 直接認証の場合で URL が異なります。
WorkMail の Identity Center 機能に表示されちえる URL はパラメータとしてsrc=idcが追加されていることが確認出来ます。

86D52AD2-E2E2-4522-95DB-1EE431022215_1_105_c.jpeg

こちらにアクセスしてみるとリダイレクトされて IAM Identity Center の URL が表示されました。

7BF00189-73CF-4E73-A700-2FC6D116FE67.png

先ほど WorkMail ユーザーと関連付けした IAM Identity Center ユーザーでサインインしてみると、関連付けした既存ユーザーのメールボックスにアクセス出来ました。なるほど。

E22ABA3E-1388-4AF8-9ACE-57A0BC2F9DA2_1_105_c.jpeg

IAM Identity Center 認証設定にて MFA が有効化されている場合

ちなみに、元々のアナウンスのタイトルでは MFA が強調されていましたが、IAM Identity Center で MFA の設定を有効化しておくと次のように WorkMail アクセス時に MFA が要求されます。

9C91CA54-64F5-4EDF-8F0D-63B5E9C8DFBE.png

通常の WorkMail 直接認証もデフォルトでは可能

先ほど少し触れましたが、デフォルトでは IAM Identity Center 以外の従来の WorkMail 直接認証も利用可能な状態です。
従来の通常 URL からアクセスしてみましょう。

2D539941-3A1E-4CF4-9C06-63865F565AFC_1_105_c.jpeg

そうすると次のように従来のサインイン画面が表示されました。
なるほどという感じですが、すべて IAM Identity Center に寄せたい場合もあると思います。

97AD5D55-C11F-4FD7-89E6-96FAD56DF848.png

そうした場合は Authentication mode タブから認証モードの変更が可能です。
デフォルトは次のように「WorkMail directory and identity center」が設定されているはずです。

82D4B104-546E-4983-B75D-2EA4FC541E1F_4_5005_c.jpeg

こちらで identity center only モードを選択することで IAM Identity Center 認証を強制することが出来るようです。設定してみましょう。

5EF5E06B-1728-4536-AB88-77A6C7146C0A.png

先ほどのsrc=idcパラメータが無い URL でアクセスしてみると...

20C106C8-3905-4DDE-9DAD-7EDE575037EB.png

おぉ、IAM Identity Center のサインイン画面が表示されました。

さいごに

本日は Amazon WorkMail が IAM Identity Center との統合をサポートしたので実際に使ってみました。

MFA もそうですが、アプリケーションごとの独自ユーザー管理をしたくない場合があるので今回の IAM Identity Center 統合は非常に使えそうです。
例えば MFA 以外にも外部 IdP を統合するなど、そういったことも出来そうですね。

Share this article

facebook logohatena logotwitter logo

© Classmethod, Inc. All rights reserved.