ヤマムギ

growing hard days.

*

Active Directory認証でAWSマネジメントコンソールにSSO

      2021/07/05


こちらの2つのサイトを参考にすすめました。

作成元の環境はこちらAWSクイックスタートのActive Directory Domain Services on AWSです。

ADFSのインストール

ADサーバーで、Sever Managerを起動して、[Add roles and features]を選択しました。

[Next]を押下しました。

デフォルトのまま、[Next]を押下しました。

対象は今のサーバーを選択。

ADFSを選択しました。

[Next]を押下しました。

[Install]を押下しました。

IISで自己証明書の発行

SSL証明書が必要なようなので、IISをインストールして自己証明書を発行しておきました。

IIS管理ツールで、ドメインを選択して[Server Certificates]を選択しました。

右側のペインで、[Create Self-Signed Certification]を選択しました。

表示名は任意です。

ADFSの設定

[Configure the federation service on this server.] を選択しました。

ドメインの管理者を選択しました。

IISで作っておいた自己証明書を選択しました。

ドメインの管理者を選択しました。

ADFSが使用するデータベースは新規作成しました。

事前チェックが完了したので、[Configure]ボタンを押下してインストールを行いました。

ADFSのXMLメタデータのダウンロード

https://ホスト名/FederationMetadata/2007-06/FederationMetadata.xml
にアクセスしました。
IEだったので、右上の歯車からCompatibility Settingsでドメインを追加して、XMLが互換表示されるようにしまして、ダウンロードしました。

このXMLファイルを使ってIAMに登録します。

IAMでIDプロバイダの登録

IAMの[IDプロバイダ]-[プロバイダを追加]を押下しました。

プロバイダ名は任意です。
ADFSからダウンロードしたXMLファイルをアップロードしました。

ロールの割り当てをしました。

新規ロールを作成しました。

SAMLプロバイダを選択して、[プログラムによるアクセスとAWSマネジメントコンソールによるアクセスを許可する]を選択すると、自動で以下が設定されます。
* 属性: SAML:aud
* 値: https://signin.aws.amazon.com/saml

今回はS3ReadOnly権限で試すことにしました。

IAMロール名は「ADFS-s3read」にしました。
このs3readの部分がADセキュリティグループの「AWS-s3read」とマッピングされるようにします。
こうすることでSSOの設定を1つ作れば、あとはADのセキュリティグループ名とIAMロール名でのマッピングが可能となります。

それでは、そうなるようにADFSの設定をしていきます。

ADFSの設定

ADFS管理ツールを起動して、[Relying Party Trust]-[Add Relying Party Trust]を選択しました。

Federation metadata addressに以下のURLを入力しました。
https://signin.aws.amazon.com/static/saml-metadata.xml

Display nameはサインイン画面に表示される名前です。任意です。

Permit everyoneを選択しました。

あとはデフォルトで完了です。

ADFSルールの設定

[Add Rule]からルールを4つ登録しました。

1つ目は Transform an Incoming Claimを選択しました。

Claim rule name: NameId
Incoming claim type: Windows account name
Outgoing claim type: Name ID
Outgoing name ID format: Persistent Identifier

2つ目は Send LDAP Attributes as Claimsを選択しました。

Claim rule name: RoleSessionName
LDAP Attribute: E-Mail-Addresses(選択)
Outgoing Claim Type: (入力)
https://aws.amazon.com/SAML/Attributes/RoleSessionName

この設定で、サインインしたユーザーのEメールアドレスが、RoleSessionNameに渡されます。

3つ目は Send Claims Using a Custom Ruleを選択しました。

Claim rule name: Get AD Groups
Custom rule:

4つ目も Send Claims Using a Custom Ruleを選択しました。

Claim rule name: Roles
Custom rule:

IDプロバイダのARNと、IAMロールを示すARNをADFS-まで書いています。
ADセキュリティグループのAWS-より後ろをIAMロールのADFS-の後ろに渡すようにしています。
こうすることで、ADセキュリティグループとIAMロールをマッピングでき、AD側IAM側両方でSSOのためのグループ、ロールを人が見て判断しやすくしています。

これでルールが全部完了しました。

動作確認

https://ホスト名/adfs/ls/IdpInitiatedSignOn.aspx
ADFSのサインイン画面にアクセスしました。

AWS-s3readというADセキュリティグループがプライマリメンバーのs3というユーザーでサインインしました。

画面がリダイレクトされて無事シングルサインオンできました。

EC2へのアクセスは制御されて、

S3へのアクセスはOKでした。
予定通りです。

途中で発生したエラー

Federation metadata addressにhttps://signin.aws.amazon.com/static/saml-metadata.xmlを入力して[Next]押下時に、MSIS7528: The metadata does not contain the role descriptions needed for the entity to be configured as a claims provider trust メッセージ

原因:
[Relying Party Trust]-[Add Relying Party Trust]を選択しなければならないところ、[Claims Provider Trusts]-[Add Claims Provider Trusts]を選択していた。

ADFSにブラウザからアクセスしたときに、MSIS7012エラーでサインインできない。

こちらWindows Server 2019 AD FS 構築でハマるポイント対策に対策がありました。
以下コマンドをPowerShellで実行して解決しました。

Your request included an invalid SAML response. to logout, click here.という画面にリダイレクトされる。

原因:
ADセキュリティグループにAWS-をつけるのを最初忘れていました。
それでIAMロールのARNがちゃんとレスポンスに含まれていなかったと考えられます。

画面にリダイレクトされてロールを選択すると、RoleSessionName is required in AuthnResponse (service: AWSSecurityTokenService; status code: 400; error code: InvalidIdentityToken)

原因:
https://aws.amazon.com/SAML/Attributes/RoleSessionNameにセッション名が渡されていない。
これは、テストユーザーのEメールアドレスを設定し忘れていたので発生しました。


最後までお読みいただきましてありがとうございました!

【PR】 「AWS認定試験対策 AWS クラウドプラクティショナー」という本を書きました。

【PR】 「AWSではじめるLinux入門ガイド」という本を書きました。

【PR】 「ポケットスタディ AWS認定 デベロッパーアソシエイト」という本を書きました。

【PR】 「AWS認定資格試験テキスト&問題集 AWS認定ソリューションアーキテクト - プロフェッショナル」という本を書きました。

 - AWS , , , , ,

ad

ad

  関連記事

EC2 Ubuntu DesktopにRDP

Ubuntu Desktopが必要になりましたので、こちらのAWS EC2でデス …

EC2 プレイスメントグループを試してみました

やったことないのでやってみたやつです。 プレイスメントグループの作成 まず、EC …

VPC環境でLambdaを100同時実行してプライベートIPアドレスを確認した

2019年9月発表のLambda 関数が VPC 環境で改善されます以降に、VP …

S3 Intelligent-Tieringで高頻度階層(FREQUENT)に戻る「アクセス」にS3 SelectとGlueクローラーが該当するのか確認してみました

ユーザーガイドのS3 Intelligent-Tiering のしくみには、「低 …

AWS Summit Tokyo 2017 聴講したセッションのメモ

2017年6月に参加しましたAWS Summitで聴講したセッションのメモを記し …

AWS Summit 2016 Tokyoに参加してきました (前日 ~ Day1)

AWS Summit 2016 Tokyoにて、セッション聴講、ブース展示拝見、 …

EC2のAMIとRDSのスナップショットを他のAWSアカウントに共有してブログサイトをAWSアカウント間で引っ越す

当ブログで使用しているEC2とRDSを環境の整理のため、他のAWSアカウントへ引 …

「AWS認定試験対策 AWS クラウドプラクティショナー」の出版が確定したのでAmazon著者セントラルに登録した

初の執筆本、「AWS認定試験対策 AWS クラウドプラクティショナー」の出版が確 …

新規アカウントでAWS Budgetsの設定をしました

新規で組織を作ってAWS Budgetsを久しぶりに設定しました。 作成してすぐ …

Amazon Connectから問い合わせ追跡レコード(CTR)をエクスポート

Amazon Connectから発信した電話に出たのか、出なかったのかを確認した …