AWSのシングルサインオン設定の手順をまとめたページです。
2021年10月に更新したものです。
利用に際しての注意点
- メタップスクラウド上で利用権限を持っているユーザーがAWSへログイン可能になります。
事前準備
- 「アプリの登録方法」を参照の上、AWSアプリの登録を行ってください
SSO連携の手順
SSO連携の詳細手順
SAML認証の設定手順
- AWSマネジメントコンソールのAWSのサービス一覧から「IAM」を選択します。
- IAMダッシュボードメニューの [アクセス管理] > [IDプロバイダ] を選択します。
- IDプロバイダー画面で「プロバイダを追加」をクリックし、下記を設定します。
- プロバイダのタイプで「SAML」を選択します
- プロバイダ名に「MetapsCloud」を入力します(分かりやすい名称)
- メタデータドキュメントにメタップスクラウドで取得する「メタデータ」をアップロードします
- 「プロバイダを追加」ボタンをクリックします
- IAMダッシュボードメニューの [アクセス管理] > [ロール] を選択します。
- 「ロールの作成」ボタンをクリックし、下記を選択します。
- 信頼されたエンティティの種類で「SAML 2.0フェデレーション」
- SAMLプロバイダーで、上記で作成した「IDプロバイダ」を選択します
- 「プログラムによるアクセスとAWSマネジメントコンソールによるアクセスを許可する」を選択します
- 「属性」「値」は、上記を選択することにより自動入力します
- 「次のステップ:アクセス権限」ボタンをクリックします
- 利用するサービスに応じたポリシーを選択します
- 「次のステップ:タグ」ボタンをクリックします
- タグの追加は特にせず、「次のステップ:確認」ボタンをクリックします
- 「ロール名」に任意の名称を入力し「ロールの作成」ボタンをクリックします
AWS(SP)管理画面のSSO設定
メタップスクラウドのアプリ詳細ページの「SSO」> SAML2.0を選択し「設定へ進む」ボタンをクリック >「SAML設定の登録」にAWS側の情報を設定します。
AWSの設定は、IAMダッシュボードの [アクセス管理] > [IDプロバイダ] > [プロバイダを追加] にて行います。
- IAM SAML ID プロバイダーの作成(外部サイト:AWS)
| AWSの設定箇所 | メタップスクラウド項目名 |
|---|---|
| メタデータドキュメント | メタデータ |
メタップスクラウド(IdP)管理画面のSSO設定
メタップスクラウドのアプリ詳細ページ右上にある「編集」ボタンをクリックし、AWSの情報をメタップスクラウドに設定します。
| メタップスクラウド項目名 | 設定値 |
|---|---|
| ACS URL | https://signin.aws.amazon.com/saml |
| SPエンティティID | urn:amazon:webservices |
属性情報
ユーザーごとの属性情報の設定はメタップスクラウド側の「ユーザー」>「連携アプリ」画面もしくは「アプリ」>「利用ユーザー一覧」画面で設定できます。
SAMLのアイコンをクリックします
ユーザーのSAML属性情報を入力し、「登録する」ボタンをクリックします
| https://aws.amazon.com/SAML/Attributes/Role |
[ロールARN],[プロバイダのARN] |
| https://aws.amazon.com/SAML/Attributes/SessionDuration |
セッションを保持する時間 ※ 値の範囲は 900 秒 (15 分) から 43200 秒 (12 時間) で、他の値が設定されるとSAML連携時にエラーが発生します |
メタップスクラウドとAWSアカウントIDの関連付け
メタップスクラウドでAWSへの利用設定がされている必要があります。