全般

AWS Single Sign-On (AWS SSO) とは何ですか?

AWS SSO は、複数の AWS アカウントとビジネスアプリケーションへのアクセスの一元的な管理を容易にし、割り当てられたアカウントとアプリケーションのすべてに対する 1 か所からのシングルサインオンアクセスをユーザーに提供できるようにする AWS のサービスです。AWS SSO を使用すると、AWS Organizations にあるすべてのアカウントに対する SSO アクセスとユーザーアクセス許可を簡単に一元管理できます。AWS SSO では、AWS SSO の ID ストアでユーザー ID を作成して管理する、または簡単に Microsoft Active Directory、Okta Universal Directory、および Azure Active Directory (Azure AD) などの既存のアイデンティティソースに接続することが可能になります。

AWS SSO のメリットは何ですか?

AWS SSO を使用すると、複数の AWS アカウント、SAML 対応のクラウドアプリケーション (Salesforce、Office 365、Box など)、カスタム構築された社内開発アプリケーションへの従業員のアクセス権の割り当てと管理を、1 か所から迅速かつ簡単に実行できます。従業員は、パーソナライズされたユーザーポータルから既存の社内 Active Directory 認証情報、もしくは AWS SSO で設定した認証情報を使用してサインインし、アプリケーションにアクセスすることで生産性を向上させることができます。これにより、従業員は、複数の認証情報を覚えたり、クラウドアプリケーションごとに URL にアクセスする必要がなくなります。新しい従業員も、初日から生産性のある仕事をすることができます。ユーザーをお使いのディレクトリ内の適切なグループに追加すると、そのユーザーは、そのグループのメンバーに許可されているアカウントとアプリケーションに自動的にアクセスできるようになります。AWS CloudTrail から、サインインアクティビティのモニタリングと監査を一元的に実行できるため、クラウドアプリケーションの使用をより詳しく把握できるようになります。

AWS SSO によってどのような問題を解決できますか?

AWS SSO を使用することで、カスタム SSO ソリューションの煩雑な管理から解放されます。これまでのような AWS アカウントやビジネスアプリケーションの ID のプロビジョニングや管理は必要ありません。複数の AWS アカウントを使用する場合や定期的にアカウントを追加する場合、Active Directory フェデレーションサービス (AD FS) により SSO を設定してアカウントにアクセスするには、カスタム AD FS 要求プログラミング言語を理解する必要があります。また、これらのアカウントにアクセスするには、必要なアクセス権限が付与された AWS アカウントを準備する必要があります。AWS SSO は追加料金なしで利用できます。また、AWS と緊密に統合されているため、煩雑な設定の繰り返しや複雑な個別の管理からも解放されます。AWS SSO を使用すると、AWS アカウントやクラウドビジネスアプリケーションごとに個別のパスワードを使用する必要がなくなります。アクセスを簡素化し、セキュリティを向上させることができます。また、AWS SSO では、AWS CloudTrail との統合、および AWS アカウントや SAML 対応クラウドアプリケーション (Office 365、Salesforce、Box など) への SSO アクセスを監査する一元的な環境が提供されます。これにより、クラウドアプリケーションへのアクセスを限定的にしか把握できない問題を解決できます。

AWS SSO を使用する必要があるはなぜですか?

AWS SSO を使用すると、従業員の生産性をすぐに向上させることができます。AWS アカウントやビジネスクラウドアプリケーションへのアクセス権を従業員に付与することができ、カスタムスクリプトの記述や汎用 SSO ソリューションへの投資などは必要ありません。また、AWS SSO を使用すると、管理面の複雑さから解放され、SSO アクセスの設定や管理にかかるコストを削減できます。

AWS SSO によって、アプリケーションが構築されている場所やホストされている場所に関係なく、従業員は AWS SSO ユーザーポータルから一連の業務に必要な AWS アカウントやアプリケーションにアクセスできます。

AWS SSO を使用すると、どのようなことができますか?

AWS SSO を使用すると、AWS Organizations で管理されている AWS アカウント、ビジネスクラウドアプリケーション (Salesforce、Office 365、Box など)、Security Assertion Markup Language (SAML) 2.0 対応のカスタムアプリケーションへのアクセス権を従業員にすばやく簡単に割り当てることができます。従業員は、1 つのユーザーポータルから既存の社内の認証情報、もしくは AWS SSO で設定した認証情報を使用してサインインし、ビジネスアプリケーションにアクセスできます。また、AWS SSO では、AWS CloudTrail を使用してクラウドサービスへのユーザーのアクセスを監査できます。

AWS SSO の使用対象となるのは、どんな人たちですか?

AWS SSO は、複数の AWS アカウントやビジネスアプリケーションを管理する管理者のためのサービスです。前述のようなクラウドサービスへのユーザーアクセス管理を一元化し、それらのアカウントへのアクセスを 1 つの場所で提供することにより、従業員に個別のパスワードを記憶させる負担を回避できます。

AWS SSO の使用を開始するにはどうすればよいですか?

AWS SSO を初めて使用する場合は、以下の手順を実行します。

  1. AWS アカウントのマスターアカウントの AWS マネジメントコンソールにサインインし、AWS SSO コンソールに移動します。
  2. AWS SSO コンソールから、ユーザーとグループのアイデンティティの保存に使用するディレクトリを選択します。AWS SSO はデフォルトで、AWS SSO 内でユーザーとグループの管理に使用できるディレクトリを提供しています。AWS SSO がお使いのアカウントで自動的に検出する Managed Microsoft AD および AD Connector インスタンスのリストをクリックしてディレクトリを変更し、Microsoft AD ディレクトリに接続することもできます。Microsoft AD ディレクトリに接続する場合は、AWS Directory Service の開始方法を参照してください。
  3. 企業の AWS アカウントへの SSO アクセスをユーザーに許可するには、AWS SSO によって入力されたリストから AWS アカウントを選択します。続いて、ユーザーまたはグループをディレクトリから選択し、付与するアクセス権限を選択します。 
  4. ビジネスクラウドアプリケーションへのアクセス権をユーザーに付与するには、以下の手順を実行します。
    1. AWS SSO でサポートされる事前統合済みのアプリケーションのリストから、アプリケーションを 1 つ選択します。
    2. 設定手順に従ってアプリケーションを設定します。
    3. 設定したアプリケーションにアクセスできるユーザーまたはグループを選択します。
  5. ディレクトリを設定した際に生成された AWS SSO サインインのウェブアドレスを提供することで、ユーザーは AWS SSO にサインインしアカウントとビジネスアプリケーションにアクセスできるようになります。

AWS SSO にかかる費用はどれくらいですか?

AWS SSO に追加料金は必要ありません。

AWS SSO を利用できるのは、どの AWS リージョンですか?

リージョンごとの AWS SSO の提供状況については、AWS リージョン表を参照してください。

アイデンティティソースとアプリケーションのサポート

AWS SSO ではどのようなアイデンティティソースを使用できますか?

AWS SSO では、AWS SSO の ID ストアでユーザー ID を作成して管理する、または簡単に Microsoft Active Directory、Okta Universal Directory、Azure Active Directory (Azure AD)、または他のサポートされている IdP などの既存のアイデンティティソースに接続することができます。詳細については、AWS SSO ユーザーガイドを参照してください。

複数のアイデンティティソースを AWS SSO に接続することは可能ですか?

いいえ。どのような場合も、AWS SSO に接続できるのは単一のディレクトリ、または単一の SAML 2.0 アイデンティティプロバイダーのみです。ただし、接続されているアイデンティティソースを別のソースに変更することは可能です。

AWS SSO で使用できる SAML 2.0 IdP には、どんなものがありますか?

AWS SSO は、Okta Universal Directory または Azure Active などのほとんどの SAML 2.0 IdP に接続できます。詳細については、AWS SSO ユーザーガイドを参照してください。

どのように既存の IdP からのアイデンティティを AWS SSO にプロビジョニングできますか?

既存の IdP からのアイデンティティは、AWS SSO にプロビジョニングしてからアクセス許可を割り当てる必要があります。Okta Universal Directory、Azure AD、OneLogin からのユーザーおよびグループの情報は、System for Cross-domain Identity Management (SCIM) 標準を使用して自動的に同期化できます。他の IdP については、AWS SSO コンソールを使用して、IdP からのユーザーをプロビジョニングできます。詳細については、AWS SSO ユーザーガイドを参照してください。

IdP から AWS SSO にアイデンティティ同期を自動化できますか?

はい。Okta Universal Directory、Azure AD もしくは OneLogin を使用している場合、SCIM を使用してユーザーおよびグループの情報を IdP から AWS SSO に自動的に同期できます。詳細については、AWS SSO ユーザーガイドを参照してください。

AWS SSO を Microsoft Active Directory に接続するにはどうすればよいですか?

AWS SSO は、AWS Directory Service を使ってオンプレミスの Active Directory (AD) または AWS Managed Microsoft AD ディレクトリに接続できます。詳細については、AWS SSO ユーザーガイドを参照してください。

オンプレミスの Active Directory でユーザーとグループを管理しています。。AWS SSO でこれらのユーザーとグループを利用するにはどうすればよいですか?

オンプレミスでホストされている Active Directory を AWS SSO に接続するためのオプションには、(1) AD Connector を使用する、または (2) AWS Managed Microsoft AD の信頼関係を使用する 2 つのオプションがあります。

AD Connector は単に、既存のオンプレミス Active Directory を AWS に接続します。AD Connector はディレクトリゲートウェイで、クラウドに情報をキャッシュすることなく、ディレクトリリクエストをオンプレミスの Microsoft Active Directory にリダイレクトすることができます。AD Connector を使ったオンプレミスディレクトリの接続については、AWS Directory Service 管理ガイドを参照してください。

AWS Managed Microsoft AD は AWS での Microsoft Active Directory のセットアップと実行を容易にします。これは、オンプレミスディレクトリと AWS Managed Microsoft AD 間のフォレスト信頼関係をセットアップするために使用できます。信頼関係のセットアップについては、AWS Directory Service 管理ガイドを参照してください。

AWS Identity and Access Management (IAM) でユーザーとグループを管理しています。IAM のユーザーとグループを AWS SSO で使用することはできますか?

現在、AWS SSO は AWS IAM のユーザーとグループをサポートしていません。

AWS SSO では、Amazon Cognito ユーザープールをアイデンティティソースとして使用することはできますか?

Amazon Cognito は、お客様向けアプリケーションのアイデンティティの管理に役立つサービスであり、AWS SSO でサポートされるアイデンティティソースではありません。ワークフォースアイデンティティは、AWS SSO、または Microsoft Active Directory、Okta Universal Directory、Azure Active Directory (Azure AD)、その他のサポートされている IdP などの外部アイデンティティソースで作成、管理できます。

AWS SSO は、ブラウザ、コマンドライン、およびモバイルのインターフェイスをサポートしますか?

はい。AWS SSO を使って AWS マネジメントコンソールと CLI v2 へのアクセスを制御できます。AWS SSO は、ユーザーがシングルサインオンエクスペリエンスを通じて CLI および AWS マネジメントコンソールにアクセスできるようにします。AWS Mobile Console アプリケーションも AWS SSO をサポートしているため、ブラウザ、モバイル、およびコマンドラインのインターフェイス全体で一貫的なサインインエクスペリエンスを実現できます。

AWS SSO にはどのクラウドアプリケーションを接続できますか?

AWS SSO には以下のアプリケーションを接続できます。

  1. AWS SSO 統合アプリケーション: SageMaker Studio および IoT SiteWise などの AWS SSO 統合アプリケーションは、認証に AWS SSO を使用し、AWS SSO にあるアイデンティティで機能します。これらのアプリケーションにアイデンティティを同期化する、または個別にフェデレーションをセットアップするための追加設定は必要ありません。
  2. 事前統合された SAML アプリケーション: AWS SSO には、一般的に使用されるビジネスアプリケーションが事前統合されています。包括的なリストについては、AWS SSO コンソールを参照してください。
  3. カスタム SAML アプリケーション: AWS SSO は、SAML 2.0 を使用した ID フェデレーションを許可するアプリケーションをサポートします。カスタムアプリケーションウィザードを使用して、AWS SSO のこれらのアプリケーションに対するサポートを有効化できます。

AWS アカウントへの Single Sign-On アクセス

AWS SSO への接続にはどの AWS アカウントを使用できますか?

AWS Organizations を使用して管理されている AWS アカウントであれば、どのアカウントでも AWS SSO に追加できます。SSO を管理するには、組織内のすべての機能を有効にする必要があります。

組織内の組織単位 (OU) にある AWS アカウントに SSO を設定するにはどうすればよいですか?

組織内のアカウントを選択するか、OU でアカウントをフィルタリングできます。

ユーザーが AWS SSO を使用してアカウントにアクセスする際に付与されるアクセス権限を制御するにはどうすればよいですか?

アクセスを許可する際にアクセス権限の設定を選択することで、ユーザーのアクセス権限を制限できます。アクセス権限の設定は、AWS SSO で作成できるアクセス権限の集合です。職務機能の AWS 管理ポリシーや任意の AWS 管理ポリシーに基づいてモデリングされます。職務機能の AWS 管理ポリシーは、IT 業界の一般的な職務機能と密接に連携するように設計されています。必要に応じて、お客様のセキュリティ要件に合わせてアクセス権限の設定をカスタマイズできます。設定されたアクセス権限は、AWS SSO によって選択したアカウントに自動的に適用されます。アクセス権限の設定を変更すると、関連するアカウントへの変更内容の適用を AWS SSO によって簡単に実行できます。ユーザーが AWS SSO ユーザーポータルからアカウントにアクセスすると、設定されたアクセス権限によってユーザーがアカウント内で実行できる操作が制限されます。ユーザーに複数のアクセス権限の設定を割り当てることもできます。ユーザーポータルからアカウントにアクセスする際に、ユーザーはそのセッションで必要と考えられるアクセス権限の設定を選択できます。

複数のアカウント間でアクセス権限の管理を自動化するにはどうしたらよいですか?

AWS SSO は、複数アカウント環境で権限管理を自動化し、監査とガバナンスのためにプログラムによってアクセス権限を取得することをサポートする API と AWS CloudFormation を提供しています。

どの AWS アカウントに対して AWS コマンドラインインターフェイス (CLI) 認証情報が得られますか?

ご自身の AWS SSO 管理者が割り当てたどのような AWS アカウントとユーザーアクセス権限に対しても AWS CLI 認証情報が得られます。これらの CLI 認証情報は AWS アカウントへのプログラムでのアクセスに対しても使用できます。

AWS SSO ユーザーポータルからの AWS コマンドラインインターフェイスの認証情報はどれだけの期間有効ですか?

AWS SSO ユーザーポータルから得た AWS CLI 認証情報は 60 分間有効です。新しい認証情報は何度でも得られます。

ビジネスアプリケーションへの SSO アクセス

Salesforce などのビジネスアプリケーションに SSO を設定するにはどうすればよいですか?

AWS SSO コンソールでアプリケーションペインに移動して [Configure new application] を選択し、AWS SSO と事前に統合されているクラウドアプリケーションのリストからアプリケーションを選択します。画面上の指示に従ってアプリケーションを設定します。アプリケーションが設定され、アプリケーションへのアクセスを割り当てることができるようになります。アプリケーションへのアクセスを許可するグループまたはユーザーを選択し、[Assign Access] を選択してプロセスを完了します。

会社で使用しているビジネスアプリケーションは、AWS SSO と事前に統合されたアプリケーションではありません。それでも AWS SSO を使用できますか? 

はい。お使いのアプリケーションで SAML 2.0 がサポートされている場合、カスタム SAML 2.0 アプリケーションとして設定できます。AWS SSO コンソールでアプリケーションペインに移動して [Configure new application] を選択し、[Custom SAML 2.0 application] を選択します。指示に従ってアプリケーションを設定します。アプリケーションが設定され、アプリケーションへのアクセスを割り当てることができるようになります。アプリケーションへのアクセスを許可するグループまたはユーザーを選択し、[Assign Access] を選択してプロセスを完了します。

使用しているアプリケーションでは OpenID Connect (OIDC) のみがサポートされています。同時に AWS SSO を使用できますか?

いいえ。AWS SSO では、SAML 2.0 ベースのアプリケーションのみをサポートしています。

AWS SSO はネイティブなモバイル、デスクトップアプリケーションへのシングルサインオンをサポートしていますか?

いいえ。AWS SSO はウェブブラウザを通したビジネスアプリケーションへのシングルサインオンのみをサポートしています。

その他

AWS SSO で保存されるデータにはどんなものがありますか?

AWS SSO で保存されるデータには、どの AWS アカウントとクラウドアプリケーションがどのユーザーとグループに割り当てられているか、AWS アカウントへのアクセスにどのようなアクセス権限が付与されているかなどの情報があります。また、AWS SSO では、ユーザーにアクセスを許可する権限の設定ごとに各 AWS アカウントで IAM ロールを作成し、管理します。

AWS SSO では多要素認証 (MFA) をサポートしていますか?

はい。携帯電話で多要素アプリケーションを設定できるようにユーザーを有効化するまたはユーザーに要求するか、AWS SSO へのサインイン時、ユーザーに追加の要素の提供を要求できます。実行するには、Remote Authentication Dial-In User Service (RADIUS) サーバーを運用し、Active Directory または AD Connector と連動するよう RADIUS サーバーを設定します。

従業員が AWS SSO の使用を開始する方法を教えてください。

従業員は、AWS SSO でアイデンティティソースを設定する時に生成される AWS SSO ユーザーポータルにアクセスすることで AWS SSO の使用を開始できます。AWS SSO でユーザーを管理する場合、従業員は AWS SSO で設定した E メールアドレスとパスワードを使用してユーザーポータルにサインインできます。AWS SSO を Microsoft Active Directory または SAML 2.0 アイデンティティプロバイダーに接続する場合、従業員は既存のコーポレート認証情報を使ってユーザーポータルにサインインし、それぞれに割り当てられているアカウントとアプリケーションを表示することができます。従業員がアカウントまたはアプリケーションにアクセスするには、AWS SSO ユーザーポータルから関連するアイコンを選択します。

AWS SSO で使用できる API はありますか?

はい。AWS SSO は、複数アカウント環境でアクセス許可の管理を自動化し、監査とガバナンスのためにプログラムによってアクセス許可を取得することをサポートするアカウント割り当て API を提供しています。

ご不明な点がおありですか?
お問い合わせ