AWS Single Sign-On とは - AWS Single Sign-On

AWS Single Sign-On とは

AWS Single Sign-On は、AWS アカウントおよびクラウドアプリケーションへの SSO アクセスの一元管理を容易にするクラウドベースのシングルサインオン (SSO) サービスです。特に、AWS Organizations 内のすべての AWS アカウントを対象に SSO アクセスとユーザーアクセス許可を管理するうえで役立ちます。AWS SSO はまた、一般的に使用されているサードパーティー SaaS (Software-as-a-Service) や Security Assertion Markup Language (SAML) 2.0 をサポートするカスタムアプリケーションに対するアクセスとアクセス許可を管理するのにも便利です。AWS SSO には、エンドユーザーが自分に割り当てられている AWS アカウント、クラウドアプリケーション、カスタムアプリケーションを一元的に検索したり確認したりできるユーザーポータルが含まれます。

AWS SSO の機能

AWS SSO には次の機能があります。

AWS Organizations との統合

AWS SSO は、他のクラウドネイティブな SSO ソリューションとは異なり、AWS Organizations および AWS API のオペレーションと緊密に統合されます。AWS SSO は AWS Organizations とネイティブに統合され、すべての AWS アカウントを列挙します。アカウントが組織単位 (OU) 内に整理されている場合は、AWS SSO コンソールにも同じように表示されます。この方法により、AWS アカウントのすばやい検出、一般的なアクセス許可セットのデプロイ、およびアクセスの一元管理ができるようになります。

AWS アカウントおよびクラウドアプリケーションへの SSO アクセス

AWS SSO を通じて、すべての AWS アカウント、クラウドアプリケーション、および SAML 2.0 ベースのカスタムアプリケーションにわたって SSO アクセスを容易に管理できるようになります。カスタムスクリプトやサードパーティーのソリューションは必要ありません。–AWS SSO コンソールを使用すると、パーソナライズされたエンドユーザーポータルに対するアクセスを許可したアプリケーションへのワンクリックアクセスを付与するユーザーを、すばやく割り当てることができます。

AWS SSO でユーザーとグループを作成および管理する

サービスを初めて有効にするとき、AWS SSO にデフォルトのディレクトリを作成し ます。このディレクトリを使用して、コンソールで直接ユーザーとグループを管理できます。または、必要に応じて、既存の AWS Managed Microsoft AD ディレクトリに接続して、Windows Server で提供されている標準の Active Directory 管理ツールでユーザーを管理することもできます。AWS SSO でユーザーを管理することを選択した場合、ユーザーの迅速な作成とグループへの整理がすべてコンソール内で簡単に実行できます。

既存の社内認証の活用

AWS SSO は AWS Directory Service を介して Microsoft AD と統合されています。つまり、従業員は社内の Active Directory 認証情報を使用して AWS SSO ユーザーポータルにサインインできます。Active Directory のユーザーに各種アカウントとアプリケーションへのアクセス権を付与するには、ユーザーを適切な Active Directory グループに追加するだけです。たとえば、DevOps グループ SSO アクセス権限を本番環境の AWS アカウントに付与できます。DevOps グループに追加されたユーザーには、これらの AWS アカウントへの SSO アクセスが自動的に付与されます。このオートメーションによって、新規ユーザーをオンボードさせたり、既存のユーザーに新規アカウントとアプリケーションを即座に割り当てたりすることが簡単になります。

一般的に使用されているクラウドアプリケーションとの互換性

AWS SSO では、Salesforce、Box、Office 365 など、一般的に使用されているクラウドアプリケーションをサポートしています。したがって、アプリケーション統合手順を用意することで、こうしたアプリケーションに SSO を設定するための時間を短縮できます。これらの手順は、これらの SSO 設定とトラブルシューティングにおいて管理者を支援するガードレールの役割を果たします。管理者は各クラウドアプリケーションの詳細な設定について学習する必要がなくなります。

セットアップと使用状況のモニタリングが簡単

AWS SSO では、可用性の高い SSO サービスをわずか数クリックで有効化できます。追加のインフラストラクチャをデプロイしたり、AWS アカウントを追加で設定することはありません。AWS SSO は高い可用性と安全性を備え、ニーズに合わせて拡張や縮小ができるインフラストラクチャであり、管理するにあたってソフトウェアやハードウェアは必要ありません。AWS SSO は AWS CloudTrail 内のすべてのサインインアクティビティを記録するとともに、SSO アクティビティを一元的にモニタリングおよび監査するための可視性を提供します。