詳細

AWS シングルサインオン (AWS SSO) は、複数の AWS アカウントやビジネスアプリケーションへの SSO アクセスを簡単に一元管理できるクラウド SSO サービスです。このサービスを使用すると、ユーザーは既存の社内認証情報を使用してユーザーポータルにサインインできるようになり、割り当てられたすべてのアカウントとアプリケーションに 1 つの場所からアクセスできます。AWS SSO により、AWS Organizations 内のすべてのアカウントへの SSO アクセスとユーザーアクセス権限を簡単に一元管理できます。また、AWS SSO アプリケーション設定ウィザードを使用することで、Security Assertion Markup Language (SAML) 2.0 の統合を作成し、SSO アクセスを任意の SAML 対応アプリケーションに拡張できます。AWS SSO には、Salesforce、Box、Office 365 など多くのビジネスアプリケーションに対する組み込みの SAML 統合が含まれています。クリック数回だけの操作により、独自のインフラストラクチャを運用するための先行投資や継続的なメンテナンス費用なしで、可用性の高い SSO サービスを有効にできます。

主な特徴

ユーザーポータル

AWS SSO を使用すると、ユーザーは割り当てられているすべてのアカウントとアプリケーションを 1 つの場所で確認し、アクセスできるようになります。ユーザーは、パーソナライズされたユーザーポータルに既存の社内認証情報を使用して簡単にサインインでき、割り当てられているアカウントとアプリケーションにワンクリックでアクセスできます。また、ユーザーポータルでは、ユーザーが新しいアプリケーションを簡単に見つけることができるため、新しいアプリケーションへのアクセスをさらに簡単に展開できます。

AWS Organizations との統合

AWS SSO は AWS Organizations と統合されているため、組織内のアカウントを 1 つ以上選択し、ユーザーに選択したアカウントへのアクセス権を付与できます。個別のアカウントに追加で設定を行う必要はありません。わずか数回のクリックで、アプリケーションやチームで使用されているすべての AWS アカウントへのアクセス権をユーザーに付与できます。

ユーザーアクセス権限の一元管理

また、AWS SSO では、ユーザーがユーザーポータルから AWS マネジメントコンソールにアクセスする際に、AWS アカウント内の AWS リソースへのアクセス権限を一元的に管理できます。一般的な職務機能に基づいてユーザーにさまざまなアクセス権限の設定を割り当て、特定のセキュリティ要件に合わせてアクセス権限をカスタマイズできます。例えば、テストアカウントでは開発者に完全な管理アクセス権限を割り当て、本番稼働用アカウントでは、データベース管理者やネットワーク管理者など職務に固有のアクセス権限のみを割り当てることができます。

AWS マネジメントコンソールへの SSO アクセスの管理

AWS シングルサインオン (SSO) を使用して、複数の AWS アカウントによる AWS マネジメントコンソールへの SSO アクセスを管理できます。ユーザーがパーソナライズされたユーザーポータルにサインインすると、自分に割り当てられたすべての AWS アカウントを 1 つの場所で確認できます。

Microsoft Active Directory との統合

AWS SSO では、社内の既存の Microsoft Active Directory (AD) の ID を使用して、アカウントとアプリケーションへの SSO アクセスを管理できます。AWS SSO は AWS Directory Service を通じて AD と統合されるため、ユーザーを該当する AD グループに追加するだけでアカウントとアプリケーションへの SSO アクセスをユーザーに許可できます。例えば、あるアプリケーションを開発中の開発者チーム用に 1 つの AD グループを作成し、その AD グループに開発中のアプリケーションの AWS アカウントへのアクセスを許可することができます。新しい開発者がチームに加わる場合は、その開発者を AD グループに追加します。これにより、新しい開発者にも開発中のアプリケーションのすべての AWS アカウントへのアクセスが自動的に許可されます。

SAML 対応アプリケーションの設定ウィザード

AWS SSO アプリケーション設定ウィザードを使用して、Security Assertion Markup Language (SAML) 2.0 対応アプリケーションとシングルサインオン (SSO) を統合できます。アプリケーション設定ウィザードでは、アプリケーションを送信するための情報を選択して形式を指定し、SSO アクセスを有効にすることができます。例えば、ユーザー名の SAML 属性を作成し、AD プロファイルから取得したユーザーの電子メールアドレスに基づいて属性の形式を指定できます。

ビジネスアプリケーションとの組み込み SSO 統合

AWS SSO では、Salesforce、Box、Office 365 をはじめ、多数のビジネスアプリケーションとの組み込み SSO 統合が用意されています。各アプリケーションへの SSO アクセスは、手順に従って簡単に設定できます。AWS SSO のガイドに従って、必要な URL、証明書、メタデータを入力できます。

可用性の高いマネージドインフラストラクチャ

AWS SSO は、可用性の高い AWS マネージド型の SSO インフラストラクチャを基盤としています。スケールアップや新しい SSO 統合の追加が必要な場合でも、追加のプロキシ、ウェブサーバー、フェデレーションサーバーをデプロイして管理する必要はありません。AWS SSO コンソールを使用して、ビジネスアプリケーションとの新しい SSO 統合を簡単に作成できます。

SSO アクティビティの監査

すべての管理アクティビティと SSO アクティビティは AWS CloudTrail に記録されます。これにより、SSO アクティビティを一元的に把握して監査することができます。CloudTrail から、サインインの試行、アプリケーションの割り当て、ディレクトリ統合の変更などのアクティビティを確認できます。例えば、一定の期間にユーザーがアクセスしたアプリケーションや、特定のアプリケーションへの SSO アクセスがユーザーに許可された日時を確認できます。

AWS シングルサインオンの使用を開始する

開始方法のページにアクセスする
始める準備はできましたか?
サインアップ
ご不明な点がおありですか?
お問い合わせ