AWS Single Sign-On

複数の AWS アカウントおよびビジネスアプリケーションへのシングルサインオン (SSO) アクセスを一元管理

AWS Single Sign-On (SSO) は、複数の AWS アカウントとビジネスアプリケーションへのアクセスの一元的な管理を容易にし、割り当てられたアカウントとアプリケーションのすべてに対する 1 か所からのシングルサインオンアクセスをユーザーに提供できるようにする AWS のサービスです。AWS SSO を使用すると、AWS Organizations にあるすべてのアカウントに対するアクセスとユーザーアクセス許可を簡単に一元管理できます。AWS SSO では、個々のアカウントにおける追加のセットアップを必要とすることなく、アカウントに必要なアクセス許可のすべてが自動的に設定および維持されます。ユーザーのアクセス許可は一般的な職務に基づいて割り当てることができ、特定のセキュリティ要件を満たすためにこれらのアクセス許可をカスタマイズすることも可能です。AWS SSO には、Salesforce、Box、および Office 365 などの多数のビジネスアプリケーションとの統合機能も組み込まれています。

AWS SSO では、AWS SSO の ID ストアでユーザー ID を作成して管理する、または簡単に Microsoft Active Directory、Azure Active Directory (Azure AD)、および Okta Universal Directory などの既存のアイデンティティソースに接続することができます。

AWS SSO の使用開始は簡単です。AWS SSO マネジメントコンソールで数回クリックするだけで、AWS SSO を既存のアイデンティティソースに接続し、ユーザーに割り当てられた AWS Organizations アカウント、および事前統合された数百ものクラウドアプリケーションへのアクセス権をユーザーに付与するアクセス許可を設定することが可能で、これらはすべて、単一のユーザーポータルから実行できます。

メリット

AWS アカウントへのアクセス許可を一元管理

AWS SSO を使用すると、AWS Organizations を通じて管理されているすべての AWS アカウントの SSO アクセスとユーザーアクセス権限を一元管理できます。個々のアカウントに追加設定は必要ありません。AWS SSO は、アカウントに必要なすべての権限を自動的に設定して管理します。共通の職務をもとにユーザー許可を割り当て、個々のセキュリティ要件に合うようそれらをカスタマイズし、ユーザーまたはグループがアクセスを必要とする場所では個々のアカウントのユーザーまたはグループに許可を割り当てることができます。たとえば、セキュリティチームにセキュリティツールを実行している AWS アカウントへの管理レベルのアクセス権を付与する一方で、他の AWS アカウントに対してはモニタリングのための監査レベルのアクセス権のみを付与することができます。 

AWS SSO でユーザーを作成、または Microsoft AD DS もしくは Azure AD を既存のアイデンティティソースに接続する

AWS SSO は、AWS SSO でユーザーアイデンティティとグループを作成するオプションを提供します。Microsoft Active Directory Domain Services、Azure AD、または Okta Universal Directory を既にアイデンティティプロバイダー (IdP) として使用している場合、ユーザーは既存のコーポレート認証情報を使用して AWS にアクセスでき、管理者は引き続き既存のアイデンティティシステムでユーザーとグループを管理できます。

1 か所からアカウントとアプリケーションにアクセスする

AWS SSO はユーザーポータルを提供しており、ユーザーは割り当てられた AWS アカウントとビジネスアプリケーションで、1 か所から自分の担当するロールを見つけてサインインできます。AWS SSO では、Salesforce、Box、Office 365 をはじめ、多くのビジネスアプリケーションに対する事前構成型の SAML 統合が用意されています。AWS ではこれらの統合の変更を監視し、ユーザーの代わりに統合を自動的に更新します。AWS SSO アプリケーション設定ウィザードでは、Security Assertion Markup Language (SAML) 2.0 をサポートするすべてのアプリケーションに SSO アクセスを拡張できます。

使用が簡単

AWS SSO では、わずか数回クリックするだけで、組織のために高可用性のシングルサインオンサービスを有効化できます。デプロイして維持する追加のインフラストラクチャはありません。管理およびサインインアクティビティはすべて AWS CloudTrail に記録されるため、監査およびコンプライアンス要件を満たすために役立ちます。ユーザーがいつ、どの IP アドレスからアカウントおよびアプリケーションにアクセスしようとしたのかを一元的に表示することができます。ユーザーにアカウントおよびアプリケーションへのアクセス権が付与された時間、ユーザーに割り当てられた AWS アカウントへのアクセス許可が変更された時間、およびユーザーのシングルサインオンアクセスが削除された時間も表示できます。AWS SSO を使用することで、シングルサインオンアクティビティを 1 か所で監査する可視性が得られます。

機能の説明

SSO-diagram
600x400_imageAPI
Image API では AWS Single Sign-On (SSO) を使用して、1 つのダッシュボードから AWS のシングルテナント環境とその他の重要なアプリケーションを管理しています。SSO は非常に直感的であるため、re:Invent で学習を始めてからたった数週間で導入できました。SSO がなければ、各 VPC とその他のすべてのアプリケーションに異なるユーザー名とパスワードを使用することになります。この機能によってスケールできるだけなく、環境管理がシンプルになります。それこそ私たちが求めるビジネスのやり方です。
– Bill Joy 氏、Image API、IT ディレクター

Invenia_LABS_logo_600x400
Invenia は、ビッグデータおよび高頻度データを使用してエネルギーインテリジェンスに関わる複雑な問題をリアルタイムで解決するクラウドベースの機械学習プラットフォームです。当社はクラウドベースのビジネスを行う上で、広範囲にわたり AWS および SaaS ベースのアプリケーションに頼っています。とはいえ、非常に多くの独立したシステムに対するエンドユーザーの認証情報の管理に関連して、セキュリティとコンプライアンスのリスクを負うことは避けたいと考えていました。AWS SSO をデプロイすることで、そのようなリスクを負う代わりに既存の社内認証情報を使用して同じアプリケーションへのアクセスを提供することができました。従来の SSO ソリューションの面倒な管理もまったくありません。すばらしいです!
Sascha McDonald 氏、Invenia、アーキテクチャとオペレーション部門の責任者


syncron-logo-600x400
Syncron は、世界の主要な製造業のお客様が製品稼働時間を最大化し、優れたカスタマーエクスペリエンスを提供するよう支援する、クラウドベースのアフターサービスソリューションのプロバイダーです。当社はクラウドベースのビジネスを行う上で、独自の認証情報がユーザーにとって過度な負担となる場合に起こり得る、生産性の阻害やセキュリティ上の課題に特に配慮しています。AWS SSO により、ユーザーは通常の社内認証情報を使用して迅速かつ容易に AWS に接続できます。それにより当社では、AWS の複数アカウント構成におけるユーザー認証情報のライフサイクル管理に時間を費やす代わりに、優れたサービスをお客様に継続的に提供することに集中できるようになりました。
    – Richard Barkestam 氏、Syncron、CTO


AWS アカウントとビジネスアプリケーションのビルトインサポート

AWS SSO は、AWS アカウントとビジネスアプリケーションへのアクセス管理に役立ちます。AWS SSO に統合済みのビジネスアプリケーションの詳細な一覧については、AWS SSO クラウドアプリケーションを参照してください。

AWS-600x400
600x400_atlassian
600x400_Box_Logo
Dropbox-600x400
Github
GSuite_600x400
O365_600x400
600x400_salesforce
600x400_servicenow
600x400_Slack_Logo

ブログ投稿と記事

1

AWS Single Sign-On の主要機能の詳細

特徴ページをご覧ください
始める準備はできましたか?
サインアップ
ご不明な点がおありですか?
お問い合わせ