Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

AWS Re:Invent Security Recap AWS SSO

16,989 views

Published on

AWS Re:Invent_security recap AWS SSO

Published in: Technology
  • Be the first to comment

AWS Re:Invent Security Recap AWS SSO

  1. 1. アマゾンウェブサービスジャパン株式会社 西日本担当 ソリューションアーキテクト 辻 義一 AWS Single Sign-On (SSO) 2017.12.7 General Availabilityバージニア北部リージョンで提供開始
  2. 2. 自己紹介 辻辻 義一義一(つじ(つじ よしかず)よしかず) 西日本担当西日本担当 ソリューションアーキテクトソリューションアーキテクト 簡単な経歴簡単な経歴 •• 大阪生まれの大阪育ち。大阪生まれの大阪育ち。 •• 独立系独立系SIerSIerでインフラエンジニア。でインフラエンジニア。 AWSAWSのすきな所のすきな所 〜〜 安い、早い、おもしろい安い、早い、おもしろい 〜〜
  3. 3. 何が求められているか? AWS リソース 権限 コスト を明確に分離したい プロジェクト 単位 本番環境 開発環境 エンドユーザ 企業単位 IAMユーザと IAMポリシー リソース タグ AAAA PJ-A BBBB PJ-B CCCC PJ-A 使用状況レポート とタグ付け 要件によっては 分離しきれない 方法1
  4. 4. 何が求められているか? AWS リソースを 別々の AWS アカウントに分離 アカウントを越えて ・データコピー ・ネットワーク接続 ・一括請求 も可能 ログインの手間 権限管理の分散 権限 コスト を明確に分離したい プロジェクト 単位 本番環境 開発環境 エンドユーザ 企業単位 方法2
  5. 5. 何が求められているか? 複数の AWS アカウントに シングルサインオンしたい ビジネスアプリケーショへの シングルサインオンを ユーザに提供したい
  6. 6. そのためにどんな課題があるか? 既存の SSO ソリューショ ンは AWS との連携が 十分ではない 従来の SSO ソフトウェアは 複雑で高価、 専門知識が必要
  7. 7. AWS Single Sign-On (SSO) AWS アカウントとビジネスアプリケーションへの シングルサインオン (SSO) を提供するクラウドサービス 複数 AWS アカウントのコ ンソールに SSO アクセス 簡単に利用を 始めれる 既存の社内 ID 基盤 (Active Directory) を活用する ビジネス アプリケーションに SSO アクセス
  8. 8. 価格と提供リージョン AWS SSO は 追加料金なし で利用可  AWS SSO の利用には AWS Directory Service との連携が必須。  Microsoft ADは$106.9〜/月、AD Connectorは$58.56-175.68/月。 2017/12/7 に General Availability 現時点では バージニア北部リージョン(us-east-1) のみで提供 • AWS Directory Service も同一リージョンで設定が必要 AWS Organization のすべての機能を有効化が必要 (全ての子アカウントで有効化の承認が必要)
  9. 9. 対応内容 ユーザレポジトリ  Active Directory • AWS Directory Service の Microsoft AD あるいは AD Connector で連携 2要素認証  Directory Service に設定された RADIUS によるワンタイムパスワード ログイン先  AWS Organizations の組織に内にあるAWS アカウントの マネージメントコンソール  SAML 2.0 対応アプリケーション
  10. 10. AWS SSO を利用する
  11. 11. ユーザポータルにログイン 社内で使用している のと同じユーザ名と パスワードを入力
  12. 12. 利用できるアプリケーション一覧 管理者が登録、許可した アプリケーションのみ表示
  13. 13. 複数のAWSアカウント
  14. 14. 複数のパーミッションセット 同じAWSアカウントでも 複数のパーミッションセットが選べる
  15. 15. AWS SSO を設定する ① AWSアカウントへのアクセス
  16. 16. AWSアカウントと権限指定 マスターAWSアカウント AWS OrganizationsAWS Single Sign-OnAWS Directory Service Active Directory 設定 ディレクトリ接続 オンプレミス メンバーアカウント #1 メンバーアカウント #N フル機能を有効にした AWS Organizations を通じて 組織内のAWSアカウントを指定 IAMポリシーと同じ文法とツールで パーミッションセットを定義 定義とポリシーがメンバーアカウント に自動的に設定される 1 1 2 3 3 2 3 IAMロール& IAMポリシー IAMロール& IAMポリシー
  17. 17. Active Directory 上のユーザを指定 マスターAWSアカウント AWS OrganizationsAWS Single Sign-OnAWS Directory Service Active Directory 設定 ディレクトリ接続 ユーザ& グループ オンプレミス メンバーアカウント #1 メンバーアカウント #N AD 上のユーザやグループに パーミッションセットを割り当て 4 4
  18. 18. ログインフロー マスターアカウント AWS Single Sign-On AWS SSO ユーザポータル Active Directory ユーザ パーミッション セット オンプレミス メンバーアカウント AWS SSO ユーザポータル をブラウザで開く AWS SSO はパーミッションセット に基いて許可されたアプリを表示 ユーザはメンバーアカウント内の IAM ロールとしてSSOログイン リソースへのアクセスは AWS Organizations の SCP や IAM ポリシー で管理される CloudTrail で監視や監査 AWS Directory Service 1 1 2 3 4 社内の認証情報を使ってログイン2 5 AWS ClodTrail 3 4 5 グループ
  19. 19. 特徴 AWSアカウントへのSSOアクセス • AWS Organizations を使って、 特定のAWSアカウントや組織ユニット内の 全アカウントへのアクセスを指定 • 一般的な仕事の役割に基いて パーミッションを割り当て • 個別のセキュリティ要件に適するように パーミッションのカスタマイズも可能 • 1人に複数のAWSアカウントの 複数のパーミッションを割り当て可能
  20. 20. AWS SSO を設定する ② SAML対応アプリへのアクセス
  21. 21. アプリを登録 マスターカウント AWS Single Sign-OnAWS Directory Service ユーザ& グループ Active Directory ディレクトリ接続 アプリ オンプレミス AD 上のユーザやグループに を割り当て 2 22 1 2 事前定義されているビジネスアプリ あるいは カスタムアプリケーションを選択して登録 アプリケーションのメタデータ を登録 13 設定 3
  22. 22. 特徴 SAML対応しているアプリケーションへの SSOアクセス • SAMLが利用可能なビジネスアプリケーションへの SSOアクセスを設定 • 多くの主要なSaaSへの事前定義設定あり • その他のSaaSや独自アプリケーションも登録可能
  23. 23. 関連する AWS サービスについて
  24. 24. 関連するその他のサービス・機能 AWS Directory Service AmazonCognito User Pool/ Federated Identity モバイルアプリやSingle Page Application (SPA) 向けの認証機能 SAMLでアプリにSSOログイン できるように連携 既存 Active Directory との連携、 マネージドのActive Directory の実現 ADユーザにマネージメントコンソール へのログインを実現 AWS Identity and Access Manager (IAM) SAML での SSO ログインを受け付けて マネージメントコンソールへのログインや 一時クレデンシャルの提供
  25. 25. Active DirectoryとAWS Directory Serviceの連携方法 Option 1: Microsoft ADで オンプレミスのADと 信頼関係を結ぶ Option 3: AWS Microsoft ADを スタンドアロンで利用する Option 2: AD Connectorで オンプレミスのADと接続する Active Directory Directory Service Microsoft AD LDAP, Kerberos, Referrals 信頼関係 ユーザ& グループ Active Directory Directory Service AD Connectorサービス アカウント LDAP & Kerberosユーザ& グループ Directory Service Microsoft AD ユーザ& グループ
  26. 26. Internet 現時点で日本からバージニア北部リージョンで Directory Serviceを使う方法 Option 1: VPC の インターネットVPN あるいはDirect Connet Gateway で バージニア北部リージョンと接続 Option 2: EC2上のインターネット VPNサーバでリージョン間を接続する Active Directory ユーザ& グループ Active Directory サービス アカウント ユーザ& グループ Directory Service AD Connector Directory Service AD Connector Directory Service Microsoft AD VPN Server VPN Server バージニア北部 東京 バージニア北部 東京
  27. 27. まとめ
  28. 28. AWS SSOはActive Directory上のユーザに 対してSSOを提供。 • 同一Oragnizations内のAWSアカウントの マネージメントコンソール • SAML対応しているSaaSアプリケーション SSO はセキュリティ向上と利便性向上の 両方を実現でき、あらゆる企業におすすめ。

×