全般

AWS シングルサインオン (AWS SSO) とは何ですか?

AWS SSO は、Microsoft Active Directory の既存の認証情報を使用して、クラウドベースのアプリケーション (AWS アカウントや Office 365、Salesforce、Box などのビジネスアプリケーション) にシングルサインオン (SSO) でアクセスできる AWS のサービスです。

AWS SSO の利点にはどのようなものがありますか?

AWS SSO を使用すると、複数の AWS アカウント、SAML 対応のクラウドアプリケーション (Salesforce、Office 365、Box など)、カスタム構築された社内開発アプリケーションへの従業員のアクセス権の割り当てと管理を、1 か所から迅速かつ簡単に実行できます。従業員は、パーソナライズされたユーザーポータルから既存の社内 Active Directory ユーザー名とパスワードを使用してサインインし、アプリケーションにアクセスすることで生産性を向上させることができます。これにより、従業員は、複数の認証情報を覚えたり、クラウドアプリケーションごとに URL にアクセスする必要がなくなります。新しい従業員も、初日から生産性のある仕事をすることができます。ユーザーを適切な Active Directory グループに追加すると、そのユーザーは、そのグループのメンバーに許可されているアカウントとアプリケーションに自動的にアクセスできるようになります。AWS CloudTrail から、サインインアクティビティのモニタリングと監査を一元的に実行できるため、クラウドアプリケーションの使用をより詳しく把握できるようになります。

AWS SSO によってどのような問題を解決できますか?

AWS SSO を使用することで、カスタム SSO ソリューションの煩雑な管理から解放されます。これまでのような AWS アカウントやビジネスアプリケーションの ID のプロビジョニングや管理は必要ありません。複数の AWS アカウントを使用する場合や定期的にアカウントを追加する場合、Active Directory フェデレーションサービス (AD FS) により SSO を設定してアカウントにアクセスするには、カスタム AD FS 要求プログラミング言語を理解する必要があります。また、これらのアカウントにアクセスするには、必要なアクセス権限が付与された AWS アカウントを準備する必要があります。AWS SSO は追加料金なしで利用できます。また、AWS と緊密に統合されているため、煩雑な設定の繰り返しや複雑な個別の管理からも解放されます。AWS SSO を使用すると、AWS アカウントやクラウドビジネスアプリケーションごとに個別のパスワードを使用する必要がなくなります。アクセスを簡素化し、セキュリティを向上させることができます。また、AWS SSO では、AWS CloudTrail との統合、および AWS アカウントや SAML 対応クラウドアプリケーション (Office 365、Salesforce、Box など) への SSO アクセスを監査する一元的な環境が提供されます。これにより、クラウドアプリケーションへのアクセスを限定的にしか把握できない問題を解決できます。

AWS SSO を使用する必要があるはなぜですか?

AWS SSO を使用すると、従業員の生産性をすぐに向上させることができます。AWS アカウントやビジネスクラウドアプリケーションへのアクセス権を従業員に付与することができ、カスタムスクリプトの記述や汎用 SSO ソリューションへの投資などは必要ありません。また、AWS SSO を使用すると、管理面の複雑さから解放され、SSO アクセスの設定や管理にかかるコストを削減できます。

AWS SSO によって、アプリケーションが構築されている場所やホストされている場所に関係なく、従業員は AWS SSO ユーザーポータルから一連の業務に必要な AWS アカウントやアプリケーションにアクセスできます。

AWS SSO を使用すると、どのようなことができますか?

AWS SSO を使用すると、AWS Organizations で管理されている AWS アカウント、ビジネスクラウドアプリケーション (Salesforce、Office 365、Box など)、Security Assertion Markup Language (SAML) 2.0 対応のカスタムアプリケーションへのアクセス権を従業員にすばやく簡単に割り当てることができます。従業員は、1 つのユーザーポータルから既存の社内のユーザー名とパスワードを使用してサインインし、ビジネスアプリケーションにアクセスできます。また、AWS SSO では、AWS CloudTrail を使用してクラウドサービスへのユーザーのアクセスを監査できます。

AWS SSO の使用対象となるのは、どんな人たちですか?

AWS SSO は、複数の AWS アカウントやビジネスアプリケーションを管理する管理者のためのサービスです。前述のようなクラウドサービスへのユーザーアクセス管理を一元化し、それらのアカウントへのアクセスを 1 つの場所で提供することにより、従業員に個別のパスワードを記憶させる負担を回避できます。

AWS SSO の使用を開始するにはどうすればよいですか?

AWS SSO を初めて使用する場合は、以下の手順を実行します。

  1. AWS アカウントのマスターアカウントの AWS マネジメントコンソールにサインインし、AWS SSO コンソールに移動します。
  2. AWS SSO コンソールで、ユーザーとグループの ID を保存するディレクトリを選択します。AWS SSO により、アカウント内で自動的に検出された Active Directory および Active Directory Connector のインスタンスのリストから、クリックして選択します。ディレクトリをまだ設定していない場合は、開始方法を参照してください。
  3. 企業の AWS アカウントへの SSO アクセスをユーザーに許可するには、AWS SSO によって入力されたリストから AWS アカウントを選択します。続いて、ユーザーまたはグループをディレクトリから選択し、付与するアクセス権限を選択します。 
  4. ビジネスクラウドアプリケーションへのアクセス権をユーザーに付与するには、以下の手順を実行します。
    1. AWS SSO でサポートされる事前統合済みのアプリケーションのリストから、アプリケーションを 1 つ選択します。
    2. 設定手順に従ってアプリケーションを設定します。
    3. 設定したアプリケーションにアクセスできるユーザーまたはグループを選択します。
  5. ディレクトリを接続した際に生成された AWS SSO サインインのウェブアドレスを従業員に提供します。これにより、従業員は自分の Active Directory ユーザー名とパスワードで AWS SSO にサインインし、アカウントとビジネスアプリケーションにアクセスできるようになります。

AWS SSO にかかる費用はどれくらいですか?

AWS SSO に追加料金は必要ありません。

AWS SSO を利用できるのは、どの AWS リージョンですか?

リージョンごとの AWS SSO の提供状況については、AWS リージョン表を参照してください。

ディレクトリとアプリケーションのサポート

AWS SSO で使用できるディレクトリには、どんなものがありますか?

AWS SSO は、オンプレミスまたは AWS クラウドで実行している Microsoft Active Directory に接続できます。AWS SSO では、AWS Directory Service for Microsoft Active Directory (AWS Managed Microsoft AD とも呼ばれる) と AD Connector をサポートしています。AWS SSO では、Simple AD をサポートしていません。詳細については、AWS Directory Service 開始方法を参照してください。

AWS SSO で Amazon Cognito ユーザープールを接続ディレクトリとして使用できますか?

現時点では使用できません。現在、AWS SSO では Microsoft Active Directory のみがユーザーディレクトリとしてサポートされています。その他のディレクトリタイプは、今後、お客様のフィードバックと需要に基づいて追加されます。

AWS SSO を使用して接続できるクラウドベースのアプリケーションには、どんなものがありますか?

AWS SSO に接続できるアプリケーションには、次のようなものがあります。

  1. AWS マネジメントコンソール: AWS マネジメントコンソールへの SSO アクセスを設定できます。
  2. サードパーティの SaaS アプリケーション: AWS SSO は一般に使用されているビジネスアプリケーションと事前に統合されています。包括的なリストについては、AWS SSO コンソールを参照してください。
  3. カスタム SAML アプリケーション: AWS SSO では、SAML 2.0 を使用して ID フェデレーションを実行できるアプリケーションをサポートしています。アプリケーションが AWS SSO と事前に統合されていない場合、AWS SSO のカスタムアプリケーションウィザードを使用して SSO を設定できます。

オンプレミスの Active Directory でユーザーとグループを管理しています。ディレクトリを AWS SSO に接続するにはどうすればよいですか? 

オンプレミスでホストされている Active Directory を AWS SSO に接続するには、(1) AWS Managed Microsoft AD 信頼関係、または (2) AD Connector のいずれかを使用します。

AWS Managed Microsoft AD により、AWS クラウドにフルマネージド型の Active Directory が作成されます。このディレクトリは、オンプレミスのディレクトリと AWS Managed Microsoft AD の間のフォレスト信頼関係の設定に使用できます。信頼関係を設定する方法については、信頼関係を作成する場合を参照してください。

AD Connector は、クラウド上の情報のキャッシュはまったく行わずにオンプレミスの Microsoft Active Directory にディレクトリリクエストをリダイレクトできるディレクトリゲートウェイです。AD Connector を使用してオンプレミスのディレクトリを接続する場合は、AD Connectorを参照してください。

AWS Identity and Access Management (IAM) でユーザーとグループを管理しています。ディレクトリを AWS SSO に接続できますか?

現在のところ、AWS SSO では AWS IAM のユーザーとグループをサポートしていません。

複数のディレクトリを AWS SSO に接続できますか?

AWS SSO に接続できるディレクトリは、常に 1 つのみです。ただし、接続先が異なるディレクトリを変更することは可能です。

AWS アカウントへの SSO アクセス

AWS SSO への接続にはどの AWS アカウントを使用できますか?

AWS Organizations を使用して管理されている AWS アカウントであれば、どのアカウントでも AWS SSO に追加できます。SSO を管理するには、組織内のすべての機能を有効にする必要があります。

組織内の組織単位 (OU) にある AWS アカウントに SSO を設定するにはどうすればよいですか?

組織内のアカウントを選択するか、OU でアカウントをフィルタリングできます。

ユーザーが SSO を使用してアカウントにアクセスする際に付与されるアクセス権限を制御するにはどうすればよいですか?

SSO アクセスを許可する際にアクセス権限の設定を選択することで、ユーザーのアクセス権限を制限できます。アクセス権限の設定は、AWS SSO で作成できるアクセス権限の集合です。職務機能の AWS 管理ポリシーや任意の AWS 管理ポリシーに基づいてモデリングされます。職務機能の AWS 管理ポリシーは、IT 業界の一般的な職務機能と密接に連携するように設計されています。必要に応じて、お客様のセキュリティ要件に合わせてアクセス権限の設定をカスタマイズできます。設定されたアクセス権限は、AWS SSO によって選択したアカウントに自動的に適用されます。アクセス権限の設定を変更すると、関連するアカウントへの変更内容の適用を AWS SSO によって簡単に実行できます。ユーザーが AWS SSO ユーザーポータルからアカウントにアクセスすると、設定されたアクセス権限によってユーザーがアカウント内で実行できる操作が制限されます。ユーザーに複数のアクセス権限の設定を割り当てることもできます。ユーザーポータルからアカウントにアクセスする際に、ユーザーはそのセッションで必要と考えられるアクセス権限の設定を選択できます。

どの AWS アカウントに対して AWS コマンドラインインターフェイス (CLI) 認証情報が得られますか?

ご自身の AWS SSO 管理者が割り当てたどのような AWSアカウントとユーザーアクセス権限に対しても AWS CLI が得られます。これらの CLI 認証情報は AWS アカウントへのプログラムでのアクセスに対しても使用できます。

AWS SSO ユーザーポータルからの AWS コマンドラインインターフェイスの認証情報はどれだけの期間有効ですか?

AWS SSO ユーザーポータルから得た AWS CLI 認証情報は 60 分間有効です。新しい認証情報は何度でも得られます。

ビジネスアプリケーションへの SSO アクセス

Salesforce などのビジネスアプリケーションに SSO を設定するにはどうすればよいですか?

AWS SSO コンソールでアプリケーションペインに移動して [Configure new application] を選択し、AWS SSO と事前に統合されているクラウドアプリケーションのリストからアプリケーションを選択します。画面上の指示に従ってアプリケーションを設定します。アプリケーションが設定され、アプリケーションへのアクセスを割り当てることができるようになります。アプリケーションへのアクセスを許可するグループまたはユーザーを選択し、[Assign Access] を選択してプロセスを完了します。

会社で使用しているビジネスアプリケーションは、AWS SSO と事前に統合されたアプリケーションではありません。それでも AWS SSO を使用できますか? 

はい。お使いのアプリケーションで SAML 2.0 がサポートされている場合、カスタム SAML 2.0 アプリケーションとして設定できます。AWS SSO コンソールでアプリケーションペインに移動して [Configure new application] を選択し、[Custom SAML 2.0 application] を選択します。指示に従ってアプリケーションを設定します。アプリケーションが設定され、アプリケーションへのアクセスを割り当てることができるようになります。アプリケーションへのアクセスを許可するグループまたはユーザーを選択し、[Assign Access] を選択してプロセスを完了します。

使用しているアプリケーションでは OpenID Connect (OIDC) のみがサポートされています。AWS SSO を使用して SSO を設定できますか?

AWS SSO では、SAML 2.0 ベースのアプリケーションのみをサポートしています。

AWS SSO はネイティブなモバイル、デスクトップアプリケーションへのシングルサインオンをサポートしていますか?

いいえ。AWS SSO はウェブブラウザを通したビジネスアプリケーションへのシングルサインオンのみをサポートしています。 

その他

AWS SSO で保存されるデータにはどんなものがありますか?

AWS SSO で保存されるデータには、どの AWS アカウントとクラウドアプリケーションがどのユーザーとグループに割り当てられているか、AWS アカウントへのアクセスにどのようなアクセス権限が付与されているかなどの情報があります。また、AWS SSO では、ユーザーにアクセスを許可する権限の設定ごとに各 AWS アカウントで IAM ロールを作成し、管理します。

AWS SSO では多要素認証 (MFA) をサポートしていますか? 

はい。AWS SSO へのサインイン時、ユーザーに追加の要素の提供を要求できます。実行するには、Remote Authentication Dial-In User Service (RADIUS) サーバーを運用し、Active Directory または AD Connector と連動するよう RADIUS サーバーを設定します。

従業員が AWS SSO の使用を開始するにはどうすればよいですか?

従業員が AWS SSO の使用を開始するには、AWS SSO ユーザーポータルにアクセスします。このポータルは、ディレクトリを AWS SSO に接続する際に生成されます。従業員が Active Directory のユーザー名とパスワードでサインインすると、その従業員に割り当てられたアカウントとアプリケーションが表示されます。アカウントまたはアプリケーションにアクセスするには、AWS SSO ユーザーポータルから関連付けられたアイコンを選択します。

AWS SSO で使用できる API はありますか?

いいえ。AWS SSO コンソールですべての必要な操作を行うことができます。

私のビジネスアプリケーションを組み込み統合として AWS SSO に追加したいと思っています。詳細を確認するにはどうすればよいですか?

詳しくは、当社に E メールを送信してください。

ご不明な点がおありですか?
お問い合わせ