AWS Single Sign-On

複数の AWS アカウントおよびビジネスアプリケーションへのシングルサインオン (SSO) アクセスを一元管理

AWS Single Sign-On (SSO) により複数の AWS アカウントとビジネスアプリケーションへのアクセスを簡単に一元管理できるようになり、ユーザーはすべての割り当て済みアカウントとアプリケーションに 1 か所から 1 度のサインオンでアクセスできるようにします。AWS SSO では、AWS Organizations のすべてのアカウントへの SSO アクセスとユーザーアクセス権限の一元管理が簡単になります。SSO は個々のアカウントで追加セットアップをすることなく、アカウントに必要なアクセス許可を自動的に構成および保持します。一般的なジョブ機能に基づいてユーザーにアクセス権を割り当てたり、特定のセキュリティ要件を満たすようにこれらのアクセス許可をカスタマイズしたりできます。また AWS SSO には、Salesforce、Box、Office 365 など多くのビジネスアプリケーションに対する組み込み統合が含まれています。

AWS SSO を使用することで、AWS SSO の ID ストアでユーザー ID を作成および管理したり、あるいは、Active Directory、Azure Active Directory (Azure AD) などの既存の ID ソースに簡単に接続できます。

AWS SSO の利用を開始するのは簡単です。AWS SSO の管理コンソールで数回クリックするだけで、AWS SSO と既存の ID ソースを接続し、割り当てられた AWS Organizations アカウントや事前構成された多数のクラウドアプリケーションにユーザーのアクセス権を、すべて 1 つのユーザーポータルから付与するようアクセス許可を構成できます。 

メリット

AWS アカウントへのアクセス許可を一元管理

AWS SSO を使用すると、AWS Organizations を通じて管理されているすべての AWS アカウントの SSO アクセスとユーザーアクセス権限を一元管理できます。個々のアカウントに追加設定は必要ありません。AWS SSO は、アカウントに必要なすべての権限を自動的に設定して管理します。共通の職務をもとにユーザー許可を割り当て、個々のセキュリティ要件に合うようそれらをカスタマイズし、ユーザーまたはグループがアクセスを必要とする場所では個々のアカウントのユーザーまたはグループに許可を割り当てることができます。たとえば、セキュリティツールを実行している AWS アカウントへの管理レベルのアクセスをセキュリティチームに許可しつつ、他の AWS アカウントに対してはモニタリングのために監査レベルのアクセスのみを許可できます。 

AWS SSO でユーザーを作成するか、Microsoft AD DS または Azure AD を ID システムに接続します

AWS SSO には AWS SSO にユーザー ID とグループを作成するためのオプションが用意されています。また、既に Microsoft Active Directory Domain Services または Azure AD を ID プロバイダー (IdP) として使用している場合は、ユーザーは既存の社内資格情報を使用して AWS にアクセスし、管理者は既存の ID システム上でユーザーとグループを引き続き管理できます。 

アカウントとアプリケーションに 1 か所からアクセス

AWS SSO はユーザーポータルを提供しており、ユーザーは割り当てられた AWS アカウントとビジネスアプリケーションで、1 か所から自分の担当するロールを見つけてサインインできます。AWS SSO では、Salesforce、Box、Office 365 をはじめ、多くのビジネスアプリケーションに対する事前構成型の SAML 統合が用意されています。AWS ではこれらの統合の変更を監視し、ユーザーの代わりに統合を自動的に更新します。AWS SSO アプリケーション設定ウィザードでは、Security Assertion Markup Language (SAML) 2.0 をサポートするすべてのアプリケーションに SSO アクセスを拡張できます。

使いやすさ

AWS SSO を使用すると、わずか数回のクリックで可用性の高い SSO サービスを利用できるようになります。デプロイまたは維持するための追加のインフラストラクチャはありません。すべての管理および SSO アクティビティは AWS CloudTrail に記録され、監査およびコンプライアンスの要件を満たすのに役立ちます。ユーザーがいつどの IP アドレスからアカウントやアプリケーションにアクセスしようとしたかを一元的に見ることができます。ユーザーのアカウントやアプリケーションへのアクセスが許可されたタイミング、AWS アカウントへ割り当てられた権限が変更されたタイミング、および SSO アクセスが削除されたタイミングも見ることができます。AWS SSO を使用すると、SSO アクティビティを 1 か所で監査する可視性が得られます。

仕組み

product-page-diagram-SSO
600x400_imageAPI
Image API では AWS Single Sign-On (SSO) を使用して、1 つのダッシュボードから AWS のシングルテナント環境とその他の重要なアプリケーションを管理しています。SSO は非常に直感的であるため、re:Invent で学習を始めてからたった数週間で導入できました。SSO がなければ、各 VPC とその他のすべてのアプリケーションに異なるユーザー名とパスワードを使用することになります。この機能によってスケールできるだけなく、環境管理がシンプルになります。それこそ私たちが求めるビジネスのやり方です。
– Bill Joy 氏、Image API、IT ディレクター

Invenia_LABS_logo_600x400
Invenia は、ビッグデータおよび高頻度データを使用してエネルギーインテリジェンスに関わる複雑な問題をリアルタイムで解決するクラウドベースの機械学習プラットフォームです。当社はクラウドベースのビジネスを行う上で、広範囲にわたり AWS および SaaS ベースのアプリケーションに頼っています。とはいえ、非常に多くの独立したシステムに対するエンドユーザーの認証情報の管理に関連して、セキュリティとコンプライアンスのリスクを負うことは避けたいと考えていました。AWS SSO をデプロイすることで、そのようなリスクを負う代わりに既存の社内認証情報を使用して同じアプリケーションへのアクセスを提供することができました。従来の SSO ソリューションの面倒な管理もまったくありません。すばらしいです!
Sascha McDonald 氏、Invenia、アーキテクチャとオペレーション部門の責任者


syncron-logo-600x400
Syncron は、世界の主要な製造業のお客様が製品稼働時間を最大化し、優れたカスタマーエクスペリエンスを提供するよう支援する、クラウドベースのアフターサービスソリューションのプロバイダーです。当社はクラウドベースのビジネスを行う上で、独自の認証情報がユーザーにとって過度な負担となる場合に起こり得る、生産性の阻害やセキュリティ上の課題に特に配慮しています。AWS SSO により、ユーザーは通常の社内認証情報を使用して迅速かつ容易に AWS に接続できます。それにより当社では、AWS の複数アカウント構成におけるユーザー認証情報のライフサイクル管理に時間を費やす代わりに、優れたサービスをお客様に継続的に提供することに集中できるようになりました。
    – Richard Barkestam 氏、Syncron、CTO


AWS アカウントとビジネスアプリケーションのビルトインサポート

AWS SSO は、AWS アカウントとビジネスアプリケーションへのアクセス管理に役立ちます。AWS SSO に統合済みのビジネスアプリケーションの詳細な一覧については、AWS SSO クラウドアプリケーションを参照してください。

AWS-600x400
600x400_atlassian
600x400_Box_Logo
Dropbox-600x400
Github
GSuite_600x400
O365_600x400
600x400_salesforce
600x400_servicenow
600x400_Slack_Logo

ブログ投稿と記事

1

AWS Single Sign-On の主要機能の詳細

特徴ページをご覧ください
始める準備はできましたか?
サインアップ
ご不明な点がおありですか?
お問い合わせ