Successfully reported this slideshow.
Your SlideShare is downloading. ×

AWS SSO x On-Prem AD Easy IAM user management on Jtf2021

More Related Content

Related Books

Free with a 30 day trial from Scribd

See all

Related Audiobooks

Free with a 30 day trial from Scribd

See all

AWS SSO x On-Prem AD Easy IAM user management on Jtf2021

  1. 1. AWS SSO x オンプレADで 簡単IAMユーザ管理
 オイシックス・ラ・大地(株)@morihaya55 Photo by Alexandr Podvalny on Unsplash: https://unsplash.com/photos/WOxddhzhC1w July Tech Festa 2021 Track C3 2021-07-18
  2. 2. Oisix ra daichi inc.
  3. 3. Take Home Messages ● AWS SSOは安い ● IdPさえあればすぐ始められる ○ (私たちはオンプレADを選択) ● AWSネイティブな便利機能もあるよ
  4. 4. 話さないこと ● SAML認証の詳しい仕様 ● Microsoft Active Directory以外 のIdPについて ● AWS SSO自体の細かな設定
  5. 5. Agenda ● AWS SSO導入前の話 ● ORDでのAWS SSO構成 ● AWS SSOのここが良い ● 今後のAWS SSOへの期待
  6. 6. Agenda ● AWS SSO導入前の話 ● ORDでのAWS SSO構成 ● AWS SSOのここが良い ● 今後のAWS SSOへの期待
  7. 7. AWSのIAMのユーザ管理 大変じゃないですか?
  8. 8. 私たちの場合は... ● Terraform管理 or 手作り ● 複数のアカウントはスイッチロール
  9. 9. TerraformでIAM管理 以下のようなディレクトリ構成 common/
 ├── 000_common
 ├── 010_iam
 ├── 011_iam_policy
 ├── 012_iam_role
 ├── 013_iam_group
 ├── 014_iam_user
 ...

  10. 10. TerraformでIAM管理 1ユーザにつき、1tfファイルで運用 014_iam_user
 ├── README.md
 ├── backend.tf
 ├── user_oisix_taro.tf
 ├── user_radish_ziro.tf
 ├── user_daichi_sabro.tf
 ...
 
 

  11. 11. AWSアカウントまたぎは スイッチロール github.com/tilfinltd/aws-extend-switch-roles は素晴らしい
  12. 12. スイッチロールの良さ ● アカウント切り替えのためのステップは、AWS SSOよりもスイッチロールの方が少ない ● ユーザ側で表示するアカウントを制御できる ● Organization を意識せずに利用できる ○ AWS SSOはOrganizationの内外で扱いが明 確に異なる
  13. 13. Terraformで管理できてる分 はまだ良いのですが...
  14. 14. 100ユーザ超えてくると大変 さて、手作業分とTerraform管理を見極められるか な?!
  15. 15. 抱えていた課題 ● 異動・退職ユーザの処理漏れによるセキュリティ リスク ● 月初の入社などで都度作業が発生するのでToil だよこれは ● 人数が増えてくると `terraform apply` も都度 時間がかかるように
  16. 16. 何とかしたいなと思っていた 頃に発表されたのが、 2020-09-03の、
  17. 17. AWS SSOのTokyoリージョ ンへのリリース!! https://aws.amazon.com/jp/blogs/news/aws-single-sign-on-tokyo/
  18. 18. IdPとしてADが使える! 以下の状態だったので、お膳立てが整っていた! ● 会社のADは人事情報に紐づき、ユーザの入社・ 異動・退職が専門部署によって厳しく管理されて いる ● 部門はADグループとして作成され、ユーザはそ れぞれのADグループに所属している
  19. 19. 主要案件の傍ら、検証を始め て導入を展開中 AWS Single Sign-On
  20. 20. Agenda ● AWS SSO導入前の話 ● ORDでのAWS SSO構成 ● AWS SSOのここが良い ● 今後のAWS SSOへの期待
  21. 21. 構成図 - AWS SSO導入前後
  22. 22. AWS SSO導入前 AWS Organization の Root アカウントは、 リソースを基本的に持たな い管理用のアカウントでし た。
  23. 23. AWS SSO導入前 AWS SSOの要件として AWS Organization の Root アカウントがIdPへア クセスできる必要がありま す。
  24. 24. AWS SSO導入-準備中 AWS Organization の Root アカウントとADC(AD Controler)のあるアカウン トをVPC Peeringで接続 (DirectConはコストが..)
  25. 25. AWS SSO導入-準備完了 AWS SSO からAD Connector 経由で、IdPで あるADCへのアクセス経 路が整いました。
  26. 26. Agenda ● AWS SSO導入前の話 ● ORDでのAWS SSO構成 ● AWS SSOのここが良い ● 今後のAWS SSOへの期待
  27. 27. AWS SSOの良いところ ● MFAを簡単に導入できる ● AWS NativeなCLIやWeb Consoleへの連携 ● 対応しているサービスはプリセットで簡単連携
  28. 28. MFAを簡単に導入できる ● FIDO2などの物理キー ● Google Authenticator, Authy などのアプリ ORDではアプリを採用
  29. 29. AWS NativeなCLIやWeb Consoleへの連携 アクセス件を持ったアカウントのManagement Consoleと、CLI用のCredentialへシュッとアクセスで きる
  30. 30. AWS NativeなCLIやWeb Consoleへの連携 特にCLI用のCredential が生成された画面は、 初 見で感動しました。
  31. 31. AWS NativeなCLIやWeb Consoleへの連携 各AWSへのアカウントとグループに対し、 “Permission sets” と呼ばれる仕組みで、従来の IAMポリシーを利用した権限を、IdPのグループ単位 に柔軟に適用できる。
  32. 32. AWS NativeなCLIやWeb Consoleへの連携 “Permission sets” と AD グループの紐付け例
  33. 33. 対応しているサービスはプリセット で簡単連携
  34. 34. 余談: Azure ADも検討した ● グループ単位の認証だと P2 (有料)以上が必要 ● O365向けに、全社員(1,000人以上)のIDが連携 済みで、有料プランにするとコストが跳ね上がる ● ちょっとわかりづらいライセンス体系 などを理由に見送りました...
  35. 35. Agenda ● AWS SSO導入前の話 ● ORDでのAWS SSO構成 ● AWS SSOのここが良い ● 今後のAWS SSOへの期待
  36. 36. 今後のAWS SSOへの期待 ● ADのネステッドなグループへの対応 ● ADのカスタム情報の連携 ● Amazon Cognito との連携 ● アプリアイコンの自由な変更
  37. 37. ADのネステッドなグループへの対 応 “Permission sets” と AD グループを紐づけるが、AD グループにユーザが直接所 属していればOK
  38. 38. ADのネステッドなグループへの対 応 ADグループに、ADグルー プが所属している場合、現 状はユーザは権限を持たな い扱いとなる
  39. 39. ADのネステッドなグループへの対 応 XXX本部の様に親グルー プへ丸ごと権限を与えたく ても、現状ではユーザが直 接所属するADグループを 登録しないといけない...
  40. 40. ADのカスタム情報の連携 今はサポートされた主要な属性(Attributes)しか認 証情報として利用できないため、 グループ情報を持たせた属性をSaaS側へ送って RBACを行うなどの細かな制御ができない... https://docs.aws.amazon.com/singlesignon/latest/userguide/attributemappingsconcept.html#supporteddir ectoryattributes
  41. 41. Amazon Cognito との連携 Amazon Cognito で認証を実装済みのアプリケーショ ンへ、AWS SSO からログインできればかなり嬉し い。 ポータルに表示できると一覧性も高まる。
  42. 42. Amazon Cognito との連携 ただしFAQsで明確にできないとされています... Q: Can I use my Amazon Cognito User Pools as the identity source in AWS SSO? A: it is not a supported identity source in AWS SSO. https://aws.amazon.com/single-sign-on/faqs/
  43. 43. アプリアイコンの自由な変更 Custom Application として登録すると現在は以下に なる。サポートからも多くの要望がすでにあるとの回答 が来たので、期待しています...!
  44. 44. ● AWS SSOは安い ● IdPさえあればすぐ始められる ○ (私たちはオンプレADを選択) ● AWSネイティブな便利機能もあるよ まとめ ご静聴感謝!! m( _ _ )m

×