詳細

AWS Single Sign-On (SSO) により複数の AWS アカウントとビジネスアプリケーションへのアクセスを簡単に一元管理できるようになり、ユーザーはすべての割り当て済みアカウントとアプリケーションに 1 か所から 1 度のサインオンでアクセスできるようにします。AWS SSO では、AWS Organizations のすべてのアカウントへの SSO アクセスとユーザーアクセス権限の一元管理が簡単になります。SSO は個々のアカウントで追加セットアップをすることなく、アカウントに必要なアクセス許可を自動的に構成および保持します。一般的なジョブ機能に基づいてユーザーにアクセス権を割り当てたり、特定のセキュリティ要件を満たすようにこれらのアクセス許可をカスタマイズしたりできます。AWS SSO には、Salesforce、Box、および Office 365 などの多数のビジネスアプリケーションとの統合機能も組み込まれています。

AWS SSO では、AWS SSO の ID ストアでユーザー ID を作成して管理する、または簡単に Microsoft Active Directory、Okta Universal Directory、または Azure Active Directory (Azure AD) などの既存のアイデンティティソースに接続することができます。

AWS SSO の使用開始は簡単です。AWS SSO の管理コンソールで数回クリックするだけで、AWS SSO と既存の ID ソースを接続し、割り当てられた AWS Organizations アカウントや事前構成された多数のクラウドアプリケーションにユーザーのアクセス権を、すべて 1 つのユーザーポータルから付与するようアクセス許可を構成できます。

管理機能

AWS Organizations との統合

AWS SSO は AWS Organizations と統合されているため、組織内のアカウントを 1 つ以上選択し、選択したアカウントへのアクセス権をユーザーに付与できます。個別のアカウントに追加で設定を行う必要はありません。わずか数回のクリックで、アプリケーションやチームで使用されているすべての AWS アカウントへのアクセス権をユーザーに付与できます。

Integrated with AWS Organizations

複数の AWS アカウントに対する SSO アクセスの管理

AWS Single Sign-On (SSO) を使用すると、複数の AWS アカウントへの SSO アクセスを一元的に管理できます。ユーザーがパーソナライズされたユーザーポータルにサインインすると、自分に割り当てられたすべての AWS アカウントのロールを 1 つの場所で確認できます。

Manage SSO access for multiple AWS accounts

ユーザーアクセス権限の一元管理

また、AWS SSO では、ユーザーがユーザーポータルから AWS マネジメントコンソールにアクセスする際に、AWS アカウント内の AWS リソースへのアクセス権限を一元的に管理できます。一般的な職務機能に基づいてユーザーにさまざまなアクセス権限の設定を割り当て、特定のセキュリティ要件に合わせてアクセス権限をカスタマイズできます。例えば、テストアカウントでは開発者に完全な管理アクセス権限を割り当て、本番稼働用アカウントでは、データベース管理者やネットワーク管理者など職務に固有のアクセス権限のみを割り当てることができます。AWS SSO が API および AWS CloudFormation サポートを提供することで、マルチアカウント環境でのアクセス権限の管理を自動化し、監査とガバナンスの目的でプログラムによってアクセス権限を取得することができます。

aws_sso_permission_sets

AWS SSO でユーザーを作成し管理する

AWS SSO がデフォルトで、AWS SSO 内でユーザーを作成してグループに分類するために使用できるディレクトリの提供を開始しました。メールアドレスと名前を構成することで、AWS SSO にてユーザーを作成できます。ユーザーを作成する際、AWS SSO はデフォルトでユーザーにメールを送信し、そのユーザーが独自のパスワードを設定できるようにします。数分で、すべての AWS アカウントの AWS リソースや多くのビジネスアプリケーションへのアクセス許可を、ユーザーやグループに与えることができます。ユーザーは、AWS SSO で設定した認証情報セットでユーザーポータルにサインインし、自身が割り当てられているアカウントやアプリケーションのすべてに単一の場所からアクセスします。

create and manage users in AWS SSO

Microsoft Active Directory に接続する

AWS SSO では、Microsoft Active Directory Domain Services (AD DS) からの既存のコーポレート ID を使って、アカウントおよびアプリケーションへの SSO アクセスを管理できます。AWS SSO は AWS Directory Service を通じて AD DS に接続するので、ユーザーを該当する AD グループに追加するだけで、それらのユーザーにアカウントとアプリケーションへのアクセス権を付与できます。たとえば、アプリケーションに対する作業を行う開発者チーム用にグループを作成し、そのグループにアプリケーションの AWS アカウントへのアクセス権を付与することができます。新しい開発者がチームに加わる場合は、その開発者を AD グループに追加します。これにより、新しい開発者にも開発中のアプリケーションのすべての AWS アカウントへのアクセスが自動的に許可されます。

Microsoft Active Directory integration

標準ベースのアイデンティティプロバイダーに接続し、ユーザーを自動的にプロビジョニングする

Security Assertion Markup Language (SAML) 2.0 を通じて AWS SSO を Okta Universal Directory または サポートされている他のアイデンティティプロバイダー (IdP) に接続できるので、ユーザーは既存の認証情報でサインインできます。AWS SSO はユーザープロビジョニングの自動化のための System for Cross-domain Identity Management (SCIM) もサポートしています。お使いの IdP でユーザーを管理し、ユーザーを素早く AWS に取り込み、全 AWS アカウントとビジネスアプリケーションへのアクセスを一元管理できます。

support for SAML 2.0 and SCIM1

アプリケーションおよび AWS アカウント全体で SSO アクティビティを監査

すべての管理アクティビティと SSO アクティビティは AWS CloudTrail に記録されます。これにより、SSO アクティビティを一元的に把握して監査することができます。CloudTrail から、サインインの試行、アプリケーションの割り当て、ディレクトリ統合の変更などのアクティビティを確認できます。たとえば、一定の期間にユーザーがアクセスしたアプリケーションや、特定のアプリケーションへの SSO アクセスがユーザーに許可された日時を確認できます。

高可用性のマネージドインフラストラクチャ

AWS SSO は、可用性に優れた AWS 管理のインフラストラクチャ上に構築されています。スケールアップして新しいビジネスアプリケーション統合を追加しても、デプロイして維持する追加のプロキシ、ウェブサーバー、またはフェデレーションサーバーはありません。その代わりに、AWS SSO コンソールを使用して、ビジネスアプリケーションへの新しい統合を簡単に作成できます。

エンドユーザーエクスペリエンス機能

ユーザーポータル

AWS SSO を使用すると、ユーザーは割り当てられているすべてのアカウントとアプリケーションを 1 つの場所で確認し、アクセスできるようになります。ユーザーは、既存のコーポレート認証情報を使用してそれぞれのパーソナライズされたユーザーポータルにサインインでき、割り当てられたアカウントとアプリケーションにはワンクリックでアクセスできます。ユーザーポータルは、ユーザーがそれぞれのユーザーポータルで新しいアプリケーション見つけることができるようにすることで、新しいアプリケーションへのアクセスをより簡単にロールアウトするためにも役立ちます。

aws_sso_user_portal

ブラウザ、コマンドライン、およびモバイルのインターフェイスのサポート

ユーザーが AWS Command Line Interface (CLI) を使ってサインインすると、既存のコーポレート認証情報を使って一貫的な認証エクスペリエンスを得ながら、自動化された短期的な認証情報管理のメリットを得ることができます。一度サインインすると、開発者は AWS SSO によって割り当てられたアカウントとロールを表示できるようになると共に、単一のコマンドでロールとアカウントを切り替えられるプロファイルも作成できます。AWS Mobile Console アプリケーションも AWS SSO をサポートしているため、ブラウザ、モバイル、およびコマンドラインのインターフェイス全体で一貫的なサインインエクスペリエンスを実現できます。

ビジネスアプリケーションに対する組み込み型の SSO 統合

AWS SSO では、Salesforce、Box、Office 365 をはじめ、多数のビジネスアプリケーションとの組み込み SSO 統合が用意されています。各アプリケーションへの SSO アクセスは、手順に従って簡単に設定できます。AWS SSO のガイドに従って、必要な URL、証明書、メタデータを入力できます。AWS SSO に統合済みのビジネスアプリケーションの詳細な一覧については、AWS SSO クラウドアプリケーションを参照してください。

aws_sso_3p_apps

SAML 対応アプリケーションの設定ウィザード

AWS SSO アプリケーション設定ウィザードを使用して、Security Assertion Markup Language (SAML) 2.0 が有効化されたアプリケーションへのシングルサインオン (SSO) 統合を作成できます。アプリケーション設定ウィザードは、アプリケーションを送信して SSO アクセスを有効化するための情報を選択してフォーマットするために役立ちます。例えば、ユーザー名の SAML 属性を作成し、AD プロファイルから取得したユーザーの電子メールアドレスに基づいて属性の形式を指定できます。

aws_sso_custom_saml_app

AWS Single Sign-On の利用を開始する

開始方法のページにアクセスする
始める準備はできましたか?
サインアップ
ご不明な点がおありですか?
お問い合わせ