growing hard days.

AWS SSOのIDソースをAD Connectorにしました

2022/03/25 2022/03/27

オンプレミス想定のActive DirectoryにVPN接続して、AD Connectorを作成、AWS SSOのIDソースにしました。

目次

関連ブログ

AD Connector作成が初回失敗して再実行

オンプレミス想定のActive Directory側のEC2のセキュリティグループで、AD Connectorを設置するサブネットのIPアドレスに53,88, 389 TCP/UDPポートを許可していなかったため、作成失敗しました。

オンプレミス想定のActive Directory側のEC2のセキュリティグループに上記を追加。
ICMPはping確認用。

AD Connectorの作成

Smaillで作成しました。
awsconはADでexample.comドメインにあらかじめ作成しておいた接続用ユーザーです。
その他AD側の設定は、AD Connectorを作成してシームレスにドメイン参加するを参照しました。

既存のDNSアドレスは2つのADインスタンスのプライベートIPアドレスを指定しました。

VPCはAWS SSOを有効にするリージョンで作成しました。

AWS SSOでIDソースにAD Connectorを設定

AWSアカウントでOrganizations組織を作成して、AWS SSOを有効化しました。

SSOダッシュボードで、[アイデンティティソースを選択]を選択しました。

[アクション]-[アイデンティティソースを変更]を選択しました。

[Active Directory]を選択しました。

Existing Directoriesで作成しておいたAD Connectorを選択しました。
「承諾」を入力して作成しました。

設定完了しました。

AWS SSOアクセス許可セットを作成

テストのためにIAMを読み込むことができる許可セットを作成しました。

アクセス許可セット画面で[許可セットを作成]ボタンを押下しました。

事前定義された許可セットではなく、[カスタム許可セット]を選択しました。

AWSマネージドポリシーのIAMReadOnlyAccessを選択しました。
インラインポリシーも書けるようです。

あとは名前を設定して作成しました。

AWSアカウントにADユーザーを割り当て

Organizationsのメンバーアカウントを選択して、[ユーザーまたはグループを割り当て]を選択しました。

ADのグループを選択しました。

作成しておいた許可セットを選択しました。

ポータルからサインイン

AWS SSOのポータルにADユーザーとパスワードでサインインしました。

アカウントが選択できました。

対象のアカウントのIDプロバイダとIAMロールを確認

IDプロバイダに、AWS SSOによって自動で作成されたSAMLプロバイダがありました。

IAMロールには、SAMLプロバイダにsts:AssumeRoleWithSAMLを許可する信頼ポリシーのIAMロールが作成されていました。

許可ポリシーには、許可セットで設定したIAMReadOnlyAccessが設定されていました。

デモ動画

サインインなどのデモはYoutubeで公開しています。

最後までお読みいただきましてありがとうございました！

「AWS認定資格試験テキスト＆問題集　AWS認定ソリューションアーキテクト - プロフェッショナル改訂第2版」という本を書きました。

「AWS認定資格試験テキスト AWS認定クラウドプラクティショナー改訂第3版」という本を書きました。

「ポケットスタディ AWS認定デベロッパーアソシエイト［DVA-C02対応］」という本を書きました。

「要点整理から攻略するAWS認定ソリューションアーキテクト-アソシエイト」という本を書きました。

「AWSではじめるLinux入門ガイド」という本を書きました。

開発ベンダー5年、ユーザ企業システム部門通算9年、ITインストラクター5年目でプロトタイプビルダーもやりだしたSoftware Engineerです。
質問はコメントかSNSなどからお気軽にどうぞ。
出来る限りなるべく答えます。

このブログの内容/発言の一切は個人の見解であり、所属する組織とは関係ありません。
このブログは経験したことなどの共有を目的としており、手順や結果などを保証するものではありません。
ご参考にされる際は、読者様自身のご判断にてご対応をお願いいたします。

また、勉強会やイベントのレポートは自分が気になったことをメモしたり、聞いて思ったことを書いていますので、登壇者の意見や発表内容ではありません。

- AWS AWS, iam, sso

Tweet

関連記事

: WordPressで画像アップロードができなくなった(AWS WAFでブロックしていた)

WordPressで画像がアップロードできなくなりました。こんなメッセージです …

: AWS Lambdaで「Process exited before completing request」

AWS lambdaで「Process exited before comple …

: AWSセルフマネージドAD環境にリモートデスクトップで接続

AWSクイックスタートのActive Directory Domain Serv …

: EC2スケジュールリザーブドインスタンスって終わりましたん？

ユーザーガイドのScheduled Reserved Instancesを見ると …

: ブラウザからJavaScript SDKを使ってAmazon S3 への写真のアップロードチュートリアルをやってみました

ブラウザから Amazon S3 への写真のアップロードをやってみました。 HT …

: AWS Lambda(Python)でDynamoDB テーブルを日次で削除/作成(オートスケーリング付き)

この記事はAWS #2 Advent Calendar 2018に参加した記事で …

: IAM Access Analyzerの検出をEventBridgeルールで検知して通知する

やりたかったことは使用可能としているリージョンのIAM Access Analy …

: Amazon EC2 Auto Scalingのライフサイクルフック

EC2 Auto Scalingにライフサイクルフックという機能があります。ス …

: AWSのAmazon LinuxにGitマスターサーバをインストールしてRedmineリポジトリブラウザで見る

Amazon LinuxにGitをインストールする Gitをインストールして自動 …

: 新規アカウントでAWS Budgetsの設定をしました

新規で組織を作ってAWS Budgetsを久しぶりに設定しました。作成してすぐ …

PREV: 新しいVPCウィザード(2022年)がすんごく便利になってました
NEXT: 「Fin-JAWS 第25回～Go to Fin-JAWS School! 2022～」で発表しました