AWSのシングルサインオン設定

2021年10月に更新したものです。

AWSのシングルサインオン設定の手順をまとめたページです。

 

利用に際しての注意点

  • メタップスクラウド上で利用権限を持っているユーザーがAWSへログイン可能になります。

事前準備

 

SSO連携の手順

  1. SAML認証の設定手順
  2. AWS(SP)管理画面のSSO設定
  3. メタップスクラウド(IdP)管理画面のSSO設定
  4. メタップスクラウドとAWSアカウントIDの関連付け

 

SAML認証の設定手順

  1. AWSマネジメントコンソールのAWSのサービス一覧から「IAM」を選択します。
  2. IAMダッシュボードメニューの [アクセス管理] > [IDプロバイダ] を選択します。
  3. IDプロバイダー画面で「プロバイダを追加」をクリックし、下記を設定します。
    • プロバイダのタイプで「SAML」を選択します
    • プロバイダ名に「MetapsCloud」を入力します(分かりやすい名称)
    • メタデータドキュメントにメタップスクラウドで取得する「メタデータ」をアップロードします
    • 「プロバイダを追加」ボタンをクリックします
  4. IAMダッシュボードメニューの [アクセス管理] > [ロール] を選択します。
  5. 「ロールの作成」ボタンをクリックし、下記を選択します。
    • 信頼されたエンティティの種類で「SAML 2.0フェデレーション」
    • SAMLプロバイダーで、上記で作成した「IDプロバイダ」を選択します
    • 「プログラムによるアクセスとAWSマネジメントコンソールによるアクセスを許可する」を選択します
    • 「属性」「値」は、上記を選択することにより自動入力します
    • 「次のステップ:アクセス権限」ボタンをクリックします
    • 利用するサービスに応じたポリシーを選択します
    • 「次のステップ:タグ」ボタンをクリックします
    • タグの追加は特にせず、「次のステップ:確認」ボタンをクリックします
    • 「ロール名」に任意の名称を入力し「ロールの作成」ボタンをクリックします
  6. メタップスクラウドの管理者画面で、アプリ詳細>アプリ設定の登録ページで「ステータス」を「有効」に設定します。

AWS(SP)管理画面のSSO設定

メタップスクラウドのアプリ詳細ページの「SSO」> SAML2.0を選択し「設定へ進む」ボタンをクリック >「SAML設定の登録」にAWS側の情報を設定します。

AWSの設定は、IAMダッシュボードの [アクセス管理] > [IDプロバイダ] > [プロバイダを追加] にて行います。

AWSの設定箇所 メタップスクラウド項目名
メタデータドキュメント メタデータ

 

メタップスクラウド(IdP)管理画面のSSO設定

メタップスクラウドのアプリ詳細ページ右上にある「編集」ボタンをクリックし、AWSの情報をメタップスクラウドに設定します。

メタップスクラウド項目名 設定値
ACS URL https://signin.aws.amazon.com/saml
SPエンティティID urn:amazon:webservices
デフォルト Relay State 入力不要

デフォルト Relay Stateには、よく利用しているRegionをご登録ください。
未設定時には「バージニア北部」Regionが選択されている状態でログインされます。

例)東京Regionを設定する場合:
https://us-east-1.console.aws.amazon.com/console/home?region=us-east-1#

 

属性情報

ユーザーごとの属性情報の設定はメタップスクラウド側の「ユーザー」>「連携アプリ」画面もしくは「アプリ」>「利用ユーザー一覧」画面で設定できます。

SAMLのアイコンをクリックします

AWS-01

ユーザーのSAML属性情報を入力し、「登録する」ボタンをクリックします

AWS-02

https://aws.amazon.com/SAML/Attributes/Role

[ロールARN],[プロバイダのARN]

https://aws.amazon.com/SAML/Attributes/SessionDuration

セッションを保持する時間

※ 値の範囲は 900 秒 (15 分) から 43200 秒 (12 時間) で、他の値が設定されるとSAML連携時にエラーが発生します

 

メタップスクラウドとAWSアカウントIDの関連付け

メタップスクラウドでAWSへの利用設定がされている必要があります。