Identity & Access
AWS SaaS Factory
SaaS により、アプリケーションのアイデンティティやアクセスモデルに対し、まったく新しい次元が導入されます。現在のアイデンティティアーキテクチャにおいては、ユーザーをテナントと結び付け、「SaaS アイデンティティ」を創出するための手段が考慮されている必要があります。 この取り組みの中で SaaS のアーキテクトには、アプリケーションのサービスでアイデンティティを利用するための、新しい戦略を取り込むことが求められます。また、アプリケーションの認証モデル全体に対して、テナントコンテンツの適用も必要となります。それらの要件を満たすために、各 SaaS 組織には、AWS および AWS パートナーからの豊富なサービスが用意されています。
The Secret to SaaS (Hint: It's Identity)(SaaS 達成の秘訣、それはアイデンティティ)
どの SaaS 環境であっても、アイデンティティは基本的で大切な要素です。この要素は、SaaS アーキテクチャとそのデザインに緻密に組み込まれている必要があります。これにより、マルチテナントサービスやインフラストラクチャ、さらにデータに対するアクセスを効果的に認証し、その範囲を指定できるようになります。このセッションでは、柔軟性やデベロッパーの生産性を損なうことなく、テナントアイデンティティを SaaS アプリケーションに導入する方法を、AWS パートナーである Okta と協力しながら検証します。ここでのゴールは、テナントに対する認識を盛り込んだ戦略を確認することです。AWS とアイデンティティソリューションのエコシステムが提供する、規模、セキュリティ、イノベーションを活用していきます。このセッションでは、SaaS アイデンティティのシステムの中で働くすべてのパートを、内容まで詳しく解説します。SaaS アイデンティティを管理するアプローチを決定するために、ベストプラクティスや一般的な考慮事項についても実例を挙げて説明します。
Managing SaaS Users with Amazon Cognito(Amazon Cognito を使用した SaaS ユーザーの管理)
このブログ記事では、Amazon Cognito Identity ユーザープールについて、その主要な機能に目を向けます。ここでのゴールは、主なコンセプトに触れてみながら、この新しい機能が提供する基礎的な機能を、いくつか紹介していくことです。
Identity Federation and SSO for SaaS on AWS(AWS の ID フェデレーション と SaaS 用 SSO)
このブログ記事では、シングルサインオン(SSO)を支えるいくつかのテクノロジーとコンセプト、アプリケーションへのサードパーティユーザー ID のリンク法(ID フェデレーション)、実装時に役立つ AWS 製品とパートナーソリューションの事例などを説明していきます。
Managing SaaS Identity Through Custom Attributes and Amazon Cognito(カスタム属性と Amazon Cognito による SaaS アイデンティティの管理)
この記事では、マルチテナントシステムの設計手法を解説します。また、Amazon Cognito を使用するテナントコンテキストやロールを明示していきます。Cognito により、ユーザーによるサインアップやサインインが、モバイルやウェブのアプリケーションに簡単に追加できるようになります。まず、最初に、マルチテナントアプリケーションにテナントコンテキストを導入する方法を説明した後、カスタム属性とクレームについても解説していきます。また、設計上のいくつかの考慮事項を示しながら、マルチテナントシステムでのカスタム属性の活用法も説明します。
SaaS Identity and Isolation with Amazon Cognito AWS Quick Start(Amazon Cognito クイックスタートを使用した SaaS のアイデンティティと分離)
このクイックスタートでは、ID プロバイダーとして Amazon Cognito を使用し、マルチテナント SaaS (Software-as-a-Service) 環境でアイデンティティと分離を実現するための高可用性があるソリューションを実装します。クイックスタートには、マルチテナント環境のロール全体でのアイデンティティと隔離のさまざまな要素を示す、軽量の SaaS 注文管理システムが用意されています。クイックスタートのデプロイには、Amazon Cognito、AWS Lambda、Amazon API Gateway、Amazon EC2 Container Service (Amazon ECS) といった AWS のサービスが含まれます。デプロイを自動化する AWS CloudFormation テンプレートはカスタマイズ可能です。デプロイガイドには、SaaS のアイデンティティと分離の中核となる概念と実装の詳細、デプロイと設定のステップバイステップの手順が記載されています。
SaaS and OpenID Connect: The Secret Sauce of Multitenant Identity and Isolation(SaaS と OpenID Connect: マルチテナントアイデンティティと分離の秘密の味付け)
アイデンティティは、SaaS の設計で基本的な要素となるもので、その適切な構築には技術が必要とされることがあります。ユーザーをテナント、ロール、ポリシーなどと繋げる戦略が必要となり、その戦略には、デベロッパーを阻害しないようなシームレスなモデルも必要です。幸い、アイデンティティプロバイダーと OpenID Connect からは、そのモデルが提供されています。SaaS プロバイダーは、SaaS アイデンティティで機能しているすべてのパーツに対応するためのツールを利用できます。このセッションでは、頑強なアイデンティティソリューションを構築する際の、ソリューションの利用方法を詳しく見ていきます。取り上げるソリューションには、テナントとアイデンティティの紐つけ、テナントとシステムロールのサポート、テナントアクセスの分離などが含まれます。SaaS アイデンティティモデルの各要素を AWS 上で編成するための、具体的な実例を提供することを目的にしています。
AWS SaaS Factory Architecture Track: SaaS Identity and Onboarding(AWS SaaS Factory アーキテクチャトラック: SaaS アイデンティティとオンボーディング)
このコースでは、オンボーディングのプロセスについて包括的に解説しています。頑強な SaaS アイデンティティの構築と、オンボーディングの作業に関する主な考慮事項を明示します。さらに、システムのアイデンティティトークンにテナントコンテキストを埋め込むための、OpenID Connect による特別なアプローチを検証した上で、テナントリソースへのアクセスで範囲を規定するために、このトークンがどう利用できるかも取り上げていきます。また、テナント環境でのオンボーディング、請求のしくみ、設定、ならびにプロビジョニングに関する、広範な要素も詳しく説明しています。
他の AWS SaaS Factory トレーニングで SaaS の詳細を学ぶ