AWS ParallelClusterID センターとの UI 統合 - AWS ParallelCluster
IAM Identity Center を有効にする IAM ID センターへのアプリケーションの追加

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS ParallelClusterID センターとの UI 統合

このチュートリアルの目的は、AWS ParallelCluster UI を IAM Identity Center と統合して、Active Directory 内のユーザーをクラスターと共有できるシングルサインオンソリューションを実現する方法を示すことです。AWS ParallelCluster

AWS ParallelCluster を使用する場合、AWS ParallelCluster イメージやクラスターを作成または更新したときに作成された AWS リソースに対してのみ支払いが発生します。詳細については、「AWS が使用する のサービス AWS ParallelCluster」を参照してください。

前提条件:

IAM Identity Center を有効にする

既に ID センターが AWS Managed Microsoft AD (Active Directory) に接続されている場合は、その ID センターを使用できます。その場合は、「IAM ID センターにアプリケーションを追加する」のセクションに進んでください。

ID センターをまだに接続していない場合はAWS Managed Microsoft AD、以下の手順に従ってセットアップしてください。

ID センターを有効にする

  1. コンソールで IAM ID センターに移動します。(自分のいる地域にいることを確認してください) AWS Managed Microsoft AD。

  2. 有効にする」ボタンをクリックすると、組織を有効にするかどうかを尋ねられる場合があります。これは必須条件なので、有効にすることを選択できます。:アカウントの管理者に、リンクをクリックして確認するように求める確認メールが送信されます。

ID センターをマネージド AD に接続する

  1. ID センターを有効にした後の次のページで、「推奨セットアップ手順」が表示されます。ステップ 1 で「ID ソースの選択」を選択します

  2. 「ID ソース」セクションで、「アクション」ドロップダウンメニュー (右上) をクリックし、「ID ソースを変更」を選択します。

  3. アクティブディレクトリ」を選択します。

  4. [既存のディレクトリ] で、ディレクトリを選択します。

  5. [次へ] をクリックします。

  6. 変更内容を確認し、一番下までスクロールし、テキストボックスに「ACCEPT」と入力して確認し、「ID ソースを変更」をクリックします。

  7. 変更が完了するまで待つと、上部に緑色のバナーが表示されます。

ユーザーとグループを ID センターに同期する

  1. 緑色のバナーで「ガイド付きセットアップを開始」(右上のボタン) をクリックします。

    「ガイド付きセットアップを開始」ボタンが強調表示されているスクリーンショット。

  2. 属性マッピングの設定」で、「次へ」をクリックします。

  3. 「同期スコープの設定」セクションで、ID センターと同期するユーザーの名前を入力し、「追加」をクリックします。

  4. ユーザーとグループの追加が完了したら、「次へ」をクリックします。

    [次へ] ボタンが強調表示されているスクリーンショット。

  5. 変更内容を確認し、「設定を保存」をクリックします。

  6. 次の画面でユーザーが同期されていないという警告が表示されたら、右上の [同期を再開する] ボタンを選択します

  7. 次に、ユーザーを有効にするには、左側の「ユーザー」タブでユーザーを選択し、「ユーザーアクセスを有効にする > ユーザーアクセスを有効にする」をクリックします。

    :上部に警告バナーが表示されている場合は、[同期を再開] を選択し、ユーザーが同期するまで待つ必要がある場合があります (更新ボタンで同期が完了しているかどうかを確認してください)。

    「ユーザー」タブを強調表示したスクリーンショット。

IAM ID センターへのアプリケーションの追加

ユーザーを IAM Identity Center と同期したら、新しいアプリケーションを追加する必要があります。これにより、どの SSO 対応アプリケーションを IAM Identity Center ポータルから利用できるようになるかが設定されます。この場合、AWS ParallelCluster UI をアプリケーションとして、IAM Identity Center を ID プロバイダーとして追加します。

次のステップでは、AWS ParallelCluster UI をアプリケーションとして IAM Identity Center に追加します。 AWS ParallelClusterUI は、ユーザーがクラスターを管理するのに役立つウェブポータルです。詳細については、AWS ParallelClusterUI を参照してください。

ID センターでのアプリケーションのセットアップ

  1. IAM Identity Center > アプリケーション (左側のメニューバーにある [アプリケーション] をクリックします)

  2. アプリケーションを追加」をクリックします。

  3. [カスタム SAML 2.0 アプリケーションを追加] を選択します。

  4. [次へ] をクリックします。

  5. 使用したい表示名と説明 (PCUI や UI など) を選択します。AWS ParallelCluster

  6. IAM Identity Center メタデータの下にある IAM Identity Center SAML メタデータファイルのリンクをコピーし、後で使用できるように保存します。これは、ウェブアプリで SSO を設定するときに使用されます。

  7. アプリケーションプロパティ」の「アプリケーション開始 URL」に PCUI アドレスを入力します。これを確認するには、 CloudFormation コンソールに移動して PCUI に対応するスタック (parallelcluster-ui など) を選択し、[出力] タブに移動して [UIURL] を探します。 ParallelCluster

    例:https://m2iwazsi1j.execute-api.us-east-1.amazonaws.com

  8. [アプリケーションメタデータ] で [メタデータの値を手動で入力] を選択します。次に、以下の値を指定します。

    1. 重要:ドメインプレフィックス、リージョン、ユーザープール ID の値は、必ず環境固有の情報に置き換えてください。

    2. ドメインプレフィックス、リージョン、ユーザープール ID は、Amazon Cognito > ユーザープールコンソールを開くと取得できます。

      Cognieto ユーザープールの下のユーザープール名を強調表示しているスクリーンショット

    3. PCUI に対応するユーザープールを選択します (PCUI-CD8A2-Cognito-153EK3to45S98-UserPool のようなユーザープール名が付きます)

    4. [アプリ統合] に移動します。

      「アプリケーションインテグレーション」タブの「Cogneto」ドメインをハイライトしたスクリーンショット

  9. <domain-prefix>アプリケーションアサーションコンシューマサービス (ACS) URL: https: //.auth。 <region>.amazoncognito.com/saml2/idpresponse

    アプリケーション SAML オーディエンス:実行:amazon: cognito: sp: <userpool-id>

  10. [送信] を選択します。次に、追加したアプリケーションの「詳細」ページに移動します。

  11. アクション」ドロップダウンリストを選択し、「属性マッピングの編集」を選択します。次に、以下の属性を指定します。

    1. アプリケーションのユーザー属性:subject (注:subject は事前入力されています) → IAM アイデンティティセンターの次の文字列値またはユーザー属性にマップされます:$ {user: email}、形式:EmailAddress

    2. アプリケーションのユーザー属性:email → IAM ID センターのこの文字列値またはユーザー属性へのマッピング:$ {user: email}、フォーマット:未指定

      「PCUI の属性マッピング」セクションをハイライトしたスクリーンショット

  12. 変更を保存します。

  13. ユーザーを割り当て」ボタンを選択し、ユーザーをアプリケーションに割り当てます。これらは PCUI インターフェイスにアクセスできる Active Directory 内のユーザーです。

    強調表示されているスクリーンショット:アプリケーションにユーザーを割り当てます。

IAM アイデンティティセンターをユーザープールの SAML IdP として設定する

  1. ユーザープール設定で、「サインインエクスペリエンス」>「ID プロバイダーの追加」を選択します。

    [サインインエクスペリエンス] タブをハイライトしたスクリーンショット

  2. SAML IdP を選択してください

  3. [プロバイダー名] には、次のように入力しますIdentityCenter

  4. メタデータドキュメントソース」で「メタデータドキュメントのエンドポイント URL を入力」を選択し、Identity Center のアプリケーション設定時にコピーした URL を指定します。

  5. 属性」で、「電子メール」の場合は「電子メール」を選択します。

    スクリーンショット:[サインインエクスペリエンス] タブが強調表示されています。

  6. [ID プロバイダーを追加] を選択します。

IdP をユーザープールアプリクライアントと統合

  1. 次に、ユーザープールの「アプリ統合」セクションで、「アプリクライアントリスト」に表示されているクライアントを選択します

    [サインインエクスペリエンス] タブをハイライトしたスクリーンショット

  2. ホステッド UI で [編集] を選択します。

  3. [ID プロバイダー] IdentityCenterでも同様に選択します。

  4. [Save changes] (変更の保存) を選択します。

設定を検証してください。

  1. 次に、PCUI にログインして作成したセットアップを検証します。PCUI ポータルにサインインすると、Corporate ID を使用してサインインするオプションが表示されるはずです。

    「サインインエクスペリエンス」タブをハイライトしたスクリーンショット

  2. IdentityCenterボタンをクリックすると、IAM Identity Center IdP ログインに移動し、続いて PCUI を含むアプリケーションのページが表示されるはずです。そのアプリケーションを開きます。

  3. 次の画面が表示されたら、ユーザーはCognitoユーザープールに追加されています。

    [サインインエクスペリエンス] タブをハイライトしたスクリーンショット

ユーザーを管理者にする

  1. 次に、Amazon Cognito > ユーザープールコンソールに移動し、新しく作成したユーザーを選択します。このユーザーには identitycenter というプレフィックスが付いているはずです。

    スクリーンショット:[サインインエクスペリエンス] タブが強調表示されています。

  2. [グループメンバーシップ] で [ユーザーをグループに追加] を選択し、[管理者] を選択して [追加] をクリックします

  3. これで [続行] をクリックすると、AWS ParallelCluster UI ページに移動します。 IdentityCenter