AWS SSOのIDソースをAD Connectorにしました
2022/03/27
オンプレミス想定のActive DirectoryにVPN接続して、AD Connectorを作成、AWS SSOのIDソースにしました。
目次
関連ブログ
- AWSクイックスタートのActive Directory Domain Services on AWS
- オンプレミスに見立てたオハイオリージョンにVyOSインスタンスを起動して東京リージョンからVPN接続
- AD Connectorを作成してシームレスにドメイン参加する
AD Connector作成が初回失敗して再実行
オンプレミス想定のActive Directory側のEC2のセキュリティグループで、AD Connectorを設置するサブネットのIPアドレスに53,88, 389 TCP/UDPポートを許可していなかったため、作成失敗しました。
オンプレミス想定のActive Directory側のEC2のセキュリティグループに上記を追加。
ICMPはping確認用。
AD Connectorの作成
Smaillで作成しました。
awsconはADでexample.comドメインにあらかじめ作成しておいた接続用ユーザーです。
その他AD側の設定は、AD Connectorを作成してシームレスにドメイン参加するを参照しました。
既存のDNSアドレスは2つのADインスタンスのプライベートIPアドレスを指定しました。
VPCはAWS SSOを有効にするリージョンで作成しました。
AWS SSOでIDソースにAD Connectorを設定
AWSアカウントでOrganizations組織を作成して、AWS SSOを有効化しました。
SSOダッシュボードで、[アイデンティティソースを選択]を選択しました。
[アクション]-[アイデンティティソースを変更]を選択しました。
[Active Directory]を選択しました。
Existing Directoriesで作成しておいたAD Connectorを選択しました。
「承諾」を入力して作成しました。
設定完了しました。
AWS SSOアクセス許可セットを作成
テストのためにIAMを読み込むことができる許可セットを作成しました。
アクセス許可セット画面で[許可セットを作成]ボタンを押下しました。
事前定義された許可セットではなく、[カスタム許可セット]を選択しました。
AWSマネージドポリシーのIAMReadOnlyAccessを選択しました。
インラインポリシーも書けるようです。
あとは名前を設定して作成しました。
AWSアカウントにADユーザーを割り当て
Organizationsのメンバーアカウントを選択して、[ユーザーまたはグループを割り当て]を選択しました。
ADのグループを選択しました。
作成しておいた許可セットを選択しました。
ポータルからサインイン
AWS SSOのポータルにADユーザーとパスワードでサインインしました。
アカウントが選択できました。
対象のアカウントのIDプロバイダとIAMロールを確認
IDプロバイダに、AWS SSOによって自動で作成されたSAMLプロバイダがありました。
IAMロールには、SAMLプロバイダにsts:AssumeRoleWithSAMLを許可する信頼ポリシーのIAMロールが作成されていました。
許可ポリシーには、許可セットで設定したIAMReadOnlyAccessが設定されていました。
デモ動画
サインインなどのデモはYoutubeで公開しています。
最後までお読みいただきましてありがとうございました!
「AWS認定資格試験テキスト&問題集 AWS認定ソリューションアーキテクト - プロフェッショナル 改訂第2版」という本を書きました。
「AWS認定資格試験テキスト AWS認定クラウドプラクティショナー 改訂第3版」という本を書きました。
「ポケットスタディ AWS認定 デベロッパーアソシエイト [DVA-C02対応] 」という本を書きました。
「要点整理から攻略するAWS認定ソリューションアーキテクト-アソシエイト」という本を書きました。
「AWSではじめるLinux入門ガイド」という本を書きました。
開発ベンダー5年、ユーザ企業システム部門通算9年、ITインストラクター5年目でプロトタイプビルダーもやりだしたSoftware Engineerです。
質問はコメントかSNSなどからお気軽にどうぞ。
出来る限りなるべく答えます。
このブログの内容/発言の一切は個人の見解であり、所属する組織とは関係ありません。
このブログは経験したことなどの共有を目的としており、手順や結果などを保証するものではありません。
ご参考にされる際は、読者様自身のご判断にてご対応をお願いいたします。
また、勉強会やイベントのレポートは自分が気になったことをメモしたり、聞いて思ったことを書いていますので、登壇者の意見や発表内容ではありません。
ad
ad
関連記事
-
-
AWS DataLake 構築ハンズオンに行ってきました
AWSJ大阪が増床されて2019年10月限定でAWS pop-up loftとい …
-
-
S3に置いたMP3ファイルをTwilioから電話再生する(AWS Lambda Python)
Google Calendar Twilio ReminderのTwilioを使 …
-
-
S3 Intelligent-Tieringのオブジェクトの階層移動をCloudWatchメトリクスで確認
CloudWatchメトリクスの保存期間は現時点で15ヶ月(455日)なのでそろ …
-
-
AWS ControlTowerで既存アカウントをまとめて追加
AWS Organizationsに新たに招待したアカウントをAWS Contr …
-
-
Amazon Connect 発信イベントをEventBridgeで確認
Amazon Connectから発信した電話に出たのか、出なかったのかを確認した …
-
-
Developers Summit 2018 「AWSのフルマネージドな環境でCI/CDをやってみよう!AWS Cloud9からAWS Fargateへの継続的デプロイをご紹介」を聞きました
※写真は展示のAmazon Echoです。 以下は、思ったことや気になったことを …
-
-
IAMアイデンティティセンター(IIC)のList Assignment APIを確認しました
やりたいことは、IAMアイデンティティセンター(IIC)のユーザー名をキーにして …
-
-
TuneCoreの売上データCSVをS3に格納してAthenaのクエリをRe:dashのデータソースにして可視化する
先日参加しましたAWS Summit Tokyo 2017で、 [JapanTa …
-
-
「最小限のコードで機械学習のためのトレーニングデータを準備する」チュートリアル記録
Amazon SageMaker Data Wranglerのチュートリアルをや …
-
-
「JAWS-UG 名古屋 2022年 “re:Invent”の復習~忘年会~」に参加しました
re:Inventのおみやげも飲み物、ピザ、お寿司もたくさん。 コラボベースさん …