情報システム課の宮澤です｡
今回は､OneLoginを利用して､AWSへSAML認証でログインするための設定手順を紹介します｡

OneLoginでコネクタの作成

管理者アカウントでログインし、OneLoginの管理画面から”APPS > Add Apps”を選択します。

アプリケーション検索欄に”AWS”と入力し､”Amazon Web Serivces(AWS)”と記載され､SAML2.0と表示されたものを選択します｡

Display NameにOneLogin上の表示名を設定し､下部の選択で”SAML2.0″を選択し”SAVE”を押します｡

SAVEを押すと以下の画面に遷移するので､”MORE ACTIONS>SAML Metadata”を押してXMLファイルをダウンロードします｡
※後ほどAWSマネジメントコンソールの設定で利用します｡

AWSでIDプロバイダの設定

マネジメントコンソールにログイン後IAMの画面に移動し､”IDプロバイダー>プロバイダの作成”を押します｡

プロバイダタイプは”SAML”を選択し､プロバイダ名を任意で設定します｡
メタデータドキュメントは､先程OneLoginからダウンロードしたファイルを指定して”次のステップ”を押します。

最後に設定した情報の確認画面が表示されるので､問題なければ”作成”を押します成”を押します。

IAM Roleを作成

IAMの画面で”ロール > 新しいロールの作成”を押します｡

”SAML2.0 フェデレーション”を選択し、”SAMLプロバイダー”の値を先ほど作成した、IDプロバイダーを指定します。
そして、”プログラムによるアクセスとAWSマネジメントコンソールによるアクセスを許可する”を選択して”次のステップ:アクセス権限”を押します。

該当IAMロールで利用する権限を設定します。

最後に、ロール名を入力して”ロールの作成”を押します。

OneLoginコネクタにパラメータを設定

OneLoginのコネクタ設定画面に戻り”Parameters”タブを開きます｡
ParametersタブではSAML認証を行うときに利用する以下の3つの用に設定します｡

• Amazon Username UsernameAWS上でのユーザーの表示名) : Email
• Role : arn:aws:iam::アカウントナンバー:role/作成し/作成しロール名,arn:aws:iam::アカウントナンバー:saml-provider/作成したIDプロバイダ名
• RoleSessionName(AWS上でのユーザーの表示名) : Email

最後に”Access”タブを押して､適切なRoleを指定し”SAVE”を押します｡

ログイン確認

OneLoginにログイン後､作成したAWSアカウントのコネクタをクリックします｡

OneLogin経由でAWAWへSAMLでログインされ､ユーザー名が表示される部分には”ロール名/表示名”の用に表示されます｡

CloudTrailを確認すると､しっかりOneLoginで設定した表示名(メールアドレス)で証跡が残っています｡

まとめ

今回の設定を行うことで､OneLogLogからSAMLでAWSへログインすることが可能になります｡
この設定を行ったことで､AWSアカウント上にIAMアカウントを発行することなく､OneLoginのユーザー名で指定したロールを利用してAWSアカウントを利用させることができます｡
これにより､個別のIAMアカウント発行をする必要がなくなるので､管理者は面倒なアカウント管理業務を行わずに済むため､時間を有効活用できるようになります｡