AWS ParallelCluster UI と Identity Center の統合

このチュートリアルの目的は、 AWS ParallelCluster クラスターと共有できる Active Directory のユーザーを統合するシングルサインオンソリューションのために AWS ParallelCluster UI を IAM Identity Center と統合する方法を示すことです。

を使用する場合 AWS ParallelCluster、 AWS ParallelCluster イメージとクラスターを作成または更新するときに作成された AWS リソースに対してのみ料金が発生します。詳細については、「AWS が使用する サービス AWS ParallelCluster」を参照してください。

前提条件:

• こちらの手順に従ってインストールできる既存の AWS ParallelCluster UI

• 既存の Managed Active Directory、できれば統合 AWS ParallelClusterにも使用するもの。

IAM Identity Center を有効にする

既に AWS Managed Microsoft AD (Active Directory) に接続されているアイデンティティセンターがある場合は、それを使用できます。「IAM アイデンティティセンターへのアプリケーションの追加」セクションにスキップできます。

にまだ ID センターが接続されていない場合は AWS Managed Microsoft AD、以下の手順に従ってセットアップします。

アイデンティティセンターを有効にする

1. コンソールで、IAM アイデンティティセンターに移動します ( があるリージョンにいることを確認してください） AWS Managed Microsoft AD。

2. [有効化] ボタンをクリックすると、組織を有効にするかどうかを確認するメッセージが表示される場合があります。これは必須事項であるため、有効にすることを選択します。注: これにより、アカウントの管理者に対して、リンクをたどって確認する必要があるという確認メッセージが E メールで送信されます。

アイデンティティセンターを Managed AD に接続する

1. アイデンティティセンターを有効にした後の次のページに、推奨されるセットアップ手順が表示されます。ステップ 1 で [アイデンティティソースを選択] を選択します。

2. [アイデンティティソース] セクションで、[アクション] ドロップダウンメニュー (右上) をクリックし、[アイデンティティソースを変更] を選択します。

3. [Active Directory] を選択します。

4. [既存のディレクトリ] で、ディレクトリを選択します。

5. [次へ] をクリックします。

6. 変更を確認して下にスクロールし、テキストボックスに「ACCEPT」と入力して確認します。次に、[アイデンティティソースを変更] をクリックします。

7. 変更が完了するまで待つと、上部に緑色のバナーが表示されます。

ユーザーとグループをアイデンティティセンターに同期する

1. 緑色のバナーで、[ガイド付き設定を開始] (右上のボタン) をクリックします。

   

2. [属性マッピングを設定] で、[次へ] をクリックします。

3. [同期の範囲を設定] セクションで、アイデンティティセンターに同期するユーザーの名前を入力し、[追加] をクリックします。

4. ユーザーとグループの追加が完了したら、[次へ] をクリックします。

   

5. 変更内容を確認してから、[設定を保存] をクリックします。

6. 次の画面にユーザーが同期されていないという警告が表示された場合は、右上の [同期を再開] ボタンを選択します。

7. 次に、ユーザーを有効にするには、左側の [ユーザー] タブでユーザーを選択し、[ユーザーアクセスを有効化] > [ユーザーアクセスを有効化] をクリックします。

   注: 上部に警告バナーが表示されている場合は、[同期を再開] を選択し、ユーザーが同期するまで待つ必要があります (ユーザーが同期されたかどうかを確認するには、[更新] ボタンを試してください)。

   

アプリケーションを IAM アイデンティティセンターに追加する

ユーザーを IAM アイデンティティセンターと同期したら、新しいアプリケーションを追加する必要があります。これにより、IAM アイデンティティセンターポータルから使用できる SSO 対応アプリケーションを設定します。この場合、アプリケーションとして AWS ParallelCluster UI を追加し、IAM アイデンティティセンターを ID プロバイダーにします。

次のステップでは、IAM Identity Center で AWS ParallelCluster UI をアプリケーションとして追加します。 AWS ParallelCluster UI は、ユーザーがクラスターを管理するのに役立つウェブポータルです。詳細については、「AWS ParallelCluster UI」を参照してください。

アイデンティティセンターでアプリケーションをセットアップする

1. [IAM アイデンティティセンター] > [アプリケーション] (左側のメニューバー) で [アプリケーション] をクリックします。

2. [アプリケーションを追加] をクリックします。

3. [カスタム SAML 2.0 アプリケーションを追加] を選択します。

4. [次へ] をクリックします。

5. 使用する表示名と説明 (PCUI や UI など) AWS ParallelCluster を選択します。

6. [IAM アイデンティティセンターのメタデータ] で、IAM アイデンティティセンター SAML メタデータファイルへのリンクをコピーして保存します。これは、後ほどウェブアプリケーションで SSO を設定するときに使用します。

7. [アプリケーションのプロパティ] の [アプリケーション開始 URL] で、PCUI アドレスを入力します。これを確認するには、CloudFormation コンソールに移動して、PCUI に対応するスタック (例: parallelcluster-ui) を選択し、[出力] タブに移動して ParallelClusterUIUrl を見つけます。

   例: https://m2iwazsi1j.execute-api.us-east-1.amazonaws.com

8. [アプリケーションメタデータ] で [メタデータの値を手動で入力] を選択します。次に、以下の値を指定します。

   1. 重要: domain-prefix、region、userpool-id の値は、環境固有の情報に置き換えてください。

   2. domain-prefix、region、userpool-id は、[Amazon Cognito] > [ユーザープールコンソール] を開いて取得できます。

      

   3. PCUI に対応するユーザープールを選択します (このユーザープールの名前は pcui-cd8a2-Cognito-153EK3TO45S98-userpool のように表示されます)。

   4. [アプリケーションの統合] に移動します。

      

9. [アプリケーションのアサーションコンシューマーサービス (ACS) の URL]: https://<domain-prefix>.auth.<region>.amazoncognito.com/saml2/idpresponse

   [アプリケーション SAML 対象者]: urn:amazon:cognito:sp:<userpool-id>

10. [送信] を選択します。次に、追加したアプリケーションの [詳細] ページに移動します。

11. [アクション] ドロップダウンリストを選択し、[属性マッピングを編集] を選択します。次に、以下の属性を指定します。

    1. [アプリケーションのユーザー属性]: subject (注: subject は事前入力済み) → [この文字列値または IAM アイデンティティセンターのユーザー属性にマッピング]: ${user:email}、[形式]: emailAddress

    2. [アプリケーションのユーザー属性]: email → [この文字列値または IAM アイデンティティセンターのユーザー属性にマッピング]: ${user:email}、[形式]: 未指定

       

12. 変更内容を保存します。

13. [ユーザーを割り当て] ボタンを選択し、ユーザーをアプリケーションに割り当てます。これらは、PCUI インターフェイスにアクセスできる Active Directory 内のユーザーです。

    

ユーザープールで IAM アイデンティティセンターを SAML IdP として設定する

1. ユーザープール設定で、[サインインエクスペリエンス] > [ID プロバイダーを追加] を選択します。

   

2. SAML IdP を選択します。

3. [プロバイダー名] に [IdentityCenter] を指定します。

4. [メタデータドキュメントソース] で [メタデータドキュメントのエンドポイント URL を入力] を選択し、アイデンティティセンターのアプリケーションをセットアップしたときにコピーした URL を指定します。

5. [属性] の [email] で、E メールを選択します。

   

6. [ID プロバイダーを追加] を選択します。

IdP をユーザープールアプリケーションクライアントと統合する

1. 次に、ユーザープールの [アプリケーションの統合] セクションで、[アプリケーションクライアントのリスト] にリストされているクライアントを選択します。

   

2. [ホストされた UI] で、[編集] を選択します。

3. [ID プロバイダー] で、[IdentityCenter] も選択します。

4. [変更を保存] を選択します。

セットアップを検証する

1. 次に、PCUI にログインして、先ほど作成したセットアップを検証します。PCUI ポータルにサインインすると、企業 ID でサインインするオプションが表示されます。

   

2. [IdentityCenter] ボタンをクリックすると、IAM アイデンティティセンターの IdP ログインに移動し、アプリケーション (PCUI を含む) を示すページが表示されます。PCUI アプリケーションを開きます。

3. 次の画面に移動すると、ユーザーが Cognito ユーザープールに追加されます。

   

ユーザーを管理者にする

1. ここで、[Amazon Cognito] > ユーザープールコンソールに移動し、identitycenter をプレフィックスとする、新しく作成したユーザーを選択します。

   

2. [グループメンバーシップ] で、[ユーザーをグループに追加]、[管理者] の順に選択し、[追加] をクリックします。

3. これで、IdentityCenterで続行」をクリックすると、UI AWS ParallelCluster ページに移動します。