Amazon Web Services ブログ

AWS Single Sign-On ユーザーサインインプロセスの変更と準備方法

セキュリティの向上とユーザーエクスペリエンスの強化、AWS Identity との将来の互換性のために、AWS Single Sign-On (SSO) はサインインプロセスの変更が予定されています。一部の AWS SSO のユーザーに影響を与えるこの変更は、2020 年 10 月上旬に実施される予定です。

  • AWS SSO サインインページは、新しいトップレベル DNS ドメインである signin.aws に移行します。ネットワーク管理者やセキュリティ管理者が、特定の Amazon Web Service (AWS) ドメインやサインインエンドポイントへのアクセスをフィルタリングしている場合、この変更に備えて、新しいサインインドメインを許可リストに追加する必要があります。
  • AWS SSO のビルトインアイデンティティストアや Microsoft Active Directory を利用している場合、サインイン、パスワードの変更、およびユーザー招待フローについて、ユーザーエクスペリエンスが変わります。AWS SSO 管理者としてのアクションは必要ありませんが、トレーニング資料やドキュメントを更新してユーザーにお知らせする必要があるかもしれません。

AWS SSO とは?

AWS SSO を利用することで、複数の AWS アカウントや業務アプリケーションへのアクセスを一元的に管理することが容易になります。また、割り当てられたすべてのアカウントやアプリケーションへの SSO アクセスをユーザーに提供することも可能になります。AWS SSO では、AWS SSO のアイデンティティストアを利用してユーザ ID を作成・管理したり、Microsoft Active Directory、Okta Universal Directory、Azure Active Directory などの既存のアイデンティティソースに接続したりすることができます。詳細については AWS SSO のページをご覧ください。

AWS SSO ユーザーポータルとは?

AWS SSO ユーザーポータルは、ユーザーに割り当てられた AWS アカウント、ロール、アプリケーションの表示やアクセスを提供します。AWS SSO ユーザーポータルの URL をユーザーに提供することで、ユーザーは AWS アカウントやサービスにサインインしたり、統合された AWS やサードパーティアプリケーションにアクセスすることができます。

ユーザがサインインする際、ユーザはまずユーザポータルの URL である https://[yourdirectory].awsapps.com/start に接続します。AWS SSO アイデンティティストアまたは Microsoft Active Directory を使用している場合は、ログインするための https://[yourdirectory].awsapps.com/login が表示されます。外部 ID プロバイダ (IdP) を利用している場合は、ユーザーは https://[yourdirectory].awsapps.com/login の AWS SSO ページに移動した後、外部 IdP のサインインページにリダイレクトされます。そこで認証が成功すると、ユーザーは SAML レスポンスにより AWS SSO SAML エンドポイントにリダイレクトされます。

また、IdP ユーザーポータル の URL をユーザーに提供して、外部 IdP イニシエーティッドの SAML フローを実装することもできます。その場合、ユーザーは AWS SSO SAML エンドポイントに直接リダイレクトされ、AWS SSO の URL (https://[yourdirectory].awsapps.com/login) にアクセスせずに AWS SSO ユーザーポータルにリダイレクトされます。

変更点と準備方法

新しい AWS SSO サインインドメイン

次世代ファイアウォール (NGFW) やセキュアウェブゲートウェイ (SWG) などのウェブコンテンツフィルタリングソリューションを利用して、AWS サインインドメインへアクセス制御している場合、この新しい AWS SSO サインインドメインの移行は影響がある可能性があります。2020 年 10 月には、AWS SSO のサインインページが https://[yourdirectory].awsapps.com/login から https://[yourregion].signin.aws/platform/login に移動します。特定のAWSドメインへのアクセスを制御している場合は、新しいドメイン(signin.aws) を許可リストに追加する必要があります。

変更後には、ユーザーはまず AWS SSO URL(https://[yourdirectory].awsapps.com/start )に移動した後、 https://[yourdirectory].awsapps.com/login に移動します 。その後ユーザーは、新しいトップレベル DNS ドメイン (signin.aws) である https://[yourregion].signin.aws/platform/login にリダイレクトされます。AWS SSO アイデンティティストアの設定によって、ユーザーは認証情報を入力するか、認証のために外部 IdP のサインインページにリダイレクトされます。

この変更が行われる前に Web コンテンツフィルタの許可リストに signin.aws ドメインを追加しても、現在のシステムの動作には影響ありません。できるだけ早く新しいサインインドメインを追加することをお勧めします。

また、今までサインインドメインのアクセス制御を行っていなかった場合は、このアクションは必要ありません。

注: ユーザーが AWS SSO にサインインするためにパスワードマネージャを使用しており、AWS SSO ネイティブアイデンティティストアや Microsoft Active Directory を使用している場合、パスワードマネージャの機能も新しい signin.aws ドメインの影響を受ける可能性があります。ユーザーがパスワードマネージャの設定を更新できるように準備する必要があるかもしれません。

AWS SSO ユーザーエクスペリエンスの変更

このユーザーエクスペリエンスの変更は、AWS SSO のアイデンティティソースとして AWS SSO ネイティブアイデンティティストア、または Microsoft Active Directory を使用している AWS SSO のお客様にのみ影響を与えます。新しいユーザーエクスペリエンスは自動的に有効になり、AWS SSO 管理者としてのアクションは必要ありません。ただし、この変更によってユーザートレーニング資料や関連ドキュメントの更新が必要になるかもしれないので注意が必要です。

ユーザビリティとセキュリティ強化のため、新しい AWS SSO サインインでは、図 1 に示すように、ユーザー名とパスワードの入力が 2 つのステップに分割されます。

Figure 1: New AWS SSO sign-in

図 1: 新しい AWS SSO サインイン

もう一つの変更点は、招待フローとパスワード変更フローです。現在のフローでは、ユーザーは新しいパスワードを設定または更新した後、自動的にサインインすることができました。新しいフローでは、セキュリティの理由から、新しいパスワードで再度サインインする必要があります。

このユーザーエクスペリエンスの変更は、外部 IdP で AWS SSO を利用しているお客様には影響ありません。

さらにサポートが必要ですか?

AWS IQ を利用することで、AWS のお客様は、オンデマンドのプロジェクト作業のために、 AWS 認定サードパーティエキスパートを見つけ、安全にコラボレーションし、支払いを行うことができます。リクエストの送信方法、エキスパートからの回答の取得方法、適切なスキルと経験を持つエキスパートの選択方法については AWS IQ のページをご覧ください。コンソールにサインインし、Get Started with AWS IQ を選択することでリクエストを開始できます。

ご質問や問題がある場合は、AWS Support またはテクニカルアカウントマネージャー(TAM)までお問い合わせください。

AWS セキュリティに関するニュース、コンテンツ、新機能のご案内は Twitter でも配信しています。

Author

Yuri Duchovny

ユーリはニューヨークを拠点とするソリューションアーキテクトで、クラウドセキュリティ、アイデンティティ、コンプライアンスを専門としています。大企業におけるクラウド変革をサポートし、最適なテクノロジーと組織の意思決定を支援しています。AWS の前は、アプリケーションとネットワークのセキュリティ、DoS、不正対策などを担当していました。仕事以外では、スキー、セーリング、世界旅行を楽しんでいます。

 

原文はこちら。翻訳は SA 桐谷彰一 が担当しました。