[アップデート] Amazon WorkMail が IAM Identity Center との統合をサポートしました
いわさです。
先日、Amazon WorkMail が MFA をサポートしたというアップデートアナウンスがありました。
タイトルは MFA がサポートされたという内容ですが、その実体は Amazon WorkMail が AWS IAM Identity Center と統合出来るようになったというアップデートです。
WorkMail で IAM Identity Center を有効化することで、IAM Identity Center の様々なセキュリティ機能などを WorkMail でも使えるようになります。
使ってみましたので紹介します。
WorkMail で IAM Identity Center を有効化する
まずは WorkMail で IAM Identity Center を有効化する必要があります。
既存 WorkMail インスタンスで確認したところ、新しく Identity Center というメニューが追加されています。
そちらにアクセスしてみると、Identity Center 統合の設定を確認出来ます。
Enable ボタンを押すと、ダイアログ上で認証モードとアクセストークンの説明が表示されます。
認証モードについては後ほど変更しますので紹介します。
アクセストークンは外部メールクライアントで使う場合があります。こちらの有効期限は本日は設定しませんが、変更可能です。
前提として IAM Identity Center 自体がセットアップ済みである必要があります。
WorkMail 上の IAM Identity Center 有効化操作としてはまずはここまでです。
同一リージョンに IAM Identity Center が必要
ちなみに、WorkMail と同一リージョン(今回だとバージニア北部を使用)に IAM Identity Center インスタンスがセットアップされていない状態だと次のように有効化が出来ません。
IAM Identity Center ユーザーを WorkMail で使う
WorkMail 上で IAM Identity Center の統合が出来ましたが、これだけでは WorkMail 上で使えるようになるわけではありません。
WorkMail ユーザーと IAM Identity Center ユーザーを紐づける必要があります。
IAM Identity Center ユーザーを WorkMail アプリケーションへ追加する
まず、WorkMail アプリケーションにアクセス許可した IAM Identity Center ユーザーを用意する必要があります。
「Assign users and groups」を押します。
追加する方法ですが、新規 IAM Identity Center ユーザーも同時に作成する方法と、既存の IAM Identity Center ユーザー・グループに許可を設定する方法があります。
まずは IAM Identity Center ユーザーの同時追加から試してみます。
「Add and assign new users」ボタンを押します。
ユーザー情報を入力します。
ここで入力する情報は WorkMail ユーザーではなく、新規作成する IAM Identity Center ユーザーですのでご注意ください。
WorkMail の Identity Center 機能の中に Assigned users というタブがあり、WorkMail へのアクセスが許可された IAM Identity Center ユーザーが表示されます。
なお、この時点ではまだ WorkMail ユーザーとの関連付けはされていません。
IAM Identity Center コンソールも確認してみると、ユーザーが追加されていることが確認出来ます。
で、その IAM Identity Center ユーザーの関連付けされたアプリケーションを見てみると、WorkMail インスタンスが関連付けされています。
では続いて、既存 IAM Identity Center ユーザーも追加してみます。
「Assign existing users and groups」を追加します。
自動で全ユーザー・グループが表示されるわけでなく、検索するタイプです。
ユーザー名の一部を入力すると、対象の IAM Identity Center ユーザーが表示されました。選択しましょう。
先ほどと同じように WorkMail インスタンスに関連づいたユーザーとして認識されました。
WorkMail ユーザーと IAM Identity Center を関連付けする
さらに、WorkMail インスタンスへのアクセスを許可しただけではまだ足りませんでして、IAM Identity Center のユーザーがそのまま WorkMail ユーザーになるわけではなく、WorkMail ユーザーという概念は引き続き必要です。
そこで、WorkMail ユーザーと IAM Identity Center ユーザーを関連付けする必要があります。
前提として IAM Identity Center 統合前から既に WorkMail ユーザーを作成している状態です。
今度は「Associate users」ボタンを押します。
次のダイアログでまず WorkMail ユーザーを選択します。
続いて IAM Identity Center ユーザーの ID を入力します。
ここはなぜか...手入力。
IAM Identity Center ユーザーでログインして WorkMail へアクセスする
IAM Identity Center を有効化し、ユーザー関連付けをすることで利用出来るようになりました。
注意点として、認証モードにもよるのですが IAM Identity Center 認証を使う場合と WorkMail 直接認証の場合で URL が異なります。
WorkMail の Identity Center 機能に表示されちえる URL はパラメータとしてsrc=idc
が追加されていることが確認出来ます。
こちらにアクセスしてみるとリダイレクトされて IAM Identity Center の URL が表示されました。
先ほど WorkMail ユーザーと関連付けした IAM Identity Center ユーザーでサインインしてみると、関連付けした既存ユーザーのメールボックスにアクセス出来ました。なるほど。
IAM Identity Center 認証設定にて MFA が有効化されている場合
ちなみに、元々のアナウンスのタイトルでは MFA が強調されていましたが、IAM Identity Center で MFA の設定を有効化しておくと次のように WorkMail アクセス時に MFA が要求されます。
通常の WorkMail 直接認証もデフォルトでは可能
先ほど少し触れましたが、デフォルトでは IAM Identity Center 以外の従来の WorkMail 直接認証も利用可能な状態です。
従来の通常 URL からアクセスしてみましょう。
そうすると次のように従来のサインイン画面が表示されました。
なるほどという感じですが、すべて IAM Identity Center に寄せたい場合もあると思います。
そうした場合は Authentication mode タブから認証モードの変更が可能です。
デフォルトは次のように「WorkMail directory and identity center」が設定されているはずです。
こちらで identity center only モードを選択することで IAM Identity Center 認証を強制することが出来るようです。設定してみましょう。
先ほどのsrc=idc
パラメータが無い URL でアクセスしてみると...
おぉ、IAM Identity Center のサインイン画面が表示されました。
さいごに
本日は Amazon WorkMail が IAM Identity Center との統合をサポートしたので実際に使ってみました。
MFA もそうですが、アプリケーションごとの独自ユーザー管理をしたくない場合があるので今回の IAM Identity Center 統合は非常に使えそうです。
例えば MFA 以外にも外部 IdP を統合するなど、そういったことも出来そうですね。