詳細

AWS Single Sign-On (SSO) は、複数の AWS アカウントとビジネスアプリケーションへのアクセスの一元的な管理を容易にし、割り当てられたアカウントとアプリケーションのすべてに対する 1 か所からのシングルサインオンアクセスをユーザーに提供できるようにする AWS のサービスです。AWS SSO を使用すると、AWS Organizations にあるすべてのアカウントに対するアクセスとユーザーアクセス許可を簡単に一元管理できます。SSO は個々のアカウントで追加セットアップをすることなく、アカウントに必要なアクセス許可を自動的に構成および保持します。ユーザーのアクセス許可は一般的な職務に基づいて割り当てることができ、特定のセキュリティ要件を満たすためにこれらのアクセス許可をカスタマイズすることも可能です。AWS SSO には、Salesforce、Box、および Microsoft 365 などの多数のビジネスアプリケーションとの統合機能も組み込まれています。

AWS SSO では、AWS SSO の ID ストアでユーザー ID を作成して管理する、または簡単に Microsoft Active Directory、Okta Universal Directory、Azure Active Directory (Azure AD) などの既存の ID ソースに接続することができます。AWS SSO により、ID ソースからコストセンター、タイトル、ロケールなどのユーザー属性を選択してから、それらを AWS での属性ベースのアクセス制御に利用できます。

AWS SSO の利用を開始するのは簡単です。AWS SSO の管理コンソールで数回クリックするだけで、AWS SSO と既存の ID ソースを接続し、割り当てられた AWS Organizations アカウントや事前構成された多数のクラウドアプリケーションにユーザーのアクセス権を、すべて 1 つのユーザーポータルから付与するようアクセス許可を構成できます。

管理機能

AWS Organizations との統合

AWS SSO は AWS Organizations と統合されているため、組織内のアカウントを 1 つ以上選択し、選択したアカウントへのアクセス権をユーザーに付与できます。 AWS SSO は、AWS Identity and Access Management (IAM) のロールとポリシーに基づいて構築されており、AWS 組織内のすべての AWS アカウント全体でアクセスを一元管理するのに役立ちます。個別のアカウントに追加で設定を行う必要はありません。わずか数回のクリックで、アプリケーションやチームで使用されているすべての AWS アカウントへのアクセス権をユーザーに付与できます。

複数の AWS アカウントに対する SSO アクセスの管理

AWS Single Sign-On (SSO) を使用すると、複数の AWS アカウントへの SSO アクセスを一元的に管理できます。ユーザーがパーソナライズされたユーザーポータルにサインインすると、自分に割り当てられたすべての AWS アカウントのロールを 1 つの場所で確認できます。

Amazon EC2 Windows インスタンスへの SSO アクセスを有効にする

AWS SSO を使用することで、AWS Systems Manager Fleet Manager コンソール内から Amazon EC2 Windows インスタンスへのワンクリックログインアクセスを提供することができます。これにより、認証情報を何度も入力したり、リモートアクセスクライアントソフトウェアを構成したりすることなく、どこからでもインスタンスデスクトップに簡単にアクセスできます。

属性ベースのアクセス制御

AWS SSO を使用すると、AWS SSO ID ソースで定義されたユーザー属性に基づいて、ワークフォースのきめ細かい権限を簡単に作成して使用できます。AWS SSO により、コストセンター、タイトル、ロケールなどの複数の属性を選択してから、それらを属性ベースのアクセス制御 (ABAC) に利用して、アクセス管理を簡素化および一元化できます。AWS 組織全体に対して一度アクセス許可を定義し、ID ソースの属性を変更するだけで、AWS アクセスを許可、取り消し、または変更できます。

AWS SSO でユーザーを作成し管理する

AWS SSO がデフォルトで、AWS SSO 内でユーザーを作成してグループに分類するために使用できるディレクトリの提供を開始しました。メールアドレスと名前を構成することで、AWS SSO にてユーザーを作成できます。ユーザーを作成する際、AWS SSO はデフォルトでユーザーにメールを送信し、そのユーザーが独自のパスワードを設定できるようにします。数分で、すべての AWS アカウントの AWS リソースや多くのビジネスアプリケーションへのアクセス許可を、ユーザーやグループに与えることができます。ユーザーは、AWS SSO で設定した認証情報セットでユーザーポータルにサインインし、自身が割り当てられているアカウントやアプリケーションのすべてに単一の場所からアクセスします。

Microsoft Active Directory に接続する

AWS SSO では、Microsoft Active Directory Domain Services (AD DS) からの既存のコーポレート ID を使って、アカウントおよびアプリケーションへの SSO アクセスを管理できます。AWS SSO は AWS Directory Service を通じて AD DS に接続するので、ユーザーを該当する AD グループに追加するだけで、それらのユーザーにアカウントとアプリケーションへのアクセス権を付与できます。たとえば、アプリケーションに対する作業を行う開発者チーム用にグループを作成し、そのグループにアプリケーションの AWS アカウントへのアクセス権を付与することができます。新しいデベロッパーがチームに加わる場合は、そのデベロッパーを AD グループに追加します。これにより、新しい開発者にも開発中のアプリケーションのすべての AWS アカウントへのアクセスが自動的に許可されます。 AWS SSO では、AD からコストセンター、タイトル、ロケールなどの複数のユーザー属性を選択し、それらを ABAC に使用して、アクセス管理を簡素化および一元化することもできます。

標準ベースのアイデンティティプロバイダーに接続し、ユーザーを自動的にプロビジョニングする

Security Assertion Markup Language (SAML) 2.0 を通じて AWS SSO を Okta Universal Directory または サポートされている他のアイデンティティプロバイダー (IdP) に接続できるので、ユーザーは既存の認証情報でサインインできます。AWS SSO はユーザープロビジョニングの自動化のための System for Cross-domain Identity Management (SCIM) もサポートしています。お使いの IdP でユーザーを管理し、ユーザーを素早く AWS に取り込み、全 AWS アカウントとビジネスアプリケーションへのアクセスを一元管理できます。 AWS SSO では、コストセンター、タイトル、ロケールなどの複数のユーザー属性を Okta Universal Directory から選択し、それらを ABAC に使用して、アクセス管理を簡素化および一元化することもできます。

アプリケーションおよび AWS アカウント全体で SSO アクティビティを監査

すべての管理アクティビティと SSO アクティビティは AWS CloudTrail に記録されます。これにより、SSO アクティビティを一元的に把握して監査することができます。CloudTrail から、サインインの試行、アプリケーションの割り当て、ディレクトリ統合の変更などのアクティビティを確認できます。たとえば、一定の期間にユーザーがアクセスしたアプリケーションや、特定のアプリケーションへの SSO アクセスがユーザーに許可された日時を確認できます。

多要素認証

AWS SSO により、すべての ID ソースのすべてのユーザーに対して標準ベースの強力な認証機能を使用できます。サポート対象の SAML 2.0 IdP を ID ソースとして使用する場合は、プロバイダーの多要素認証 (MFA) 機能を有効にできます。Active Directory または AWS SSO を ID ソースとして使用する場合、AWS SSO はウェブ認証仕様をサポートします。これにより、YubiKey などの FIDO 対応のセキュリティキーと、Apple MacBook の Touch ID や PC の顔認識などの組み込み生体認証機能を使用して AWS アカウントとビジネスアプリケーションへのユーザーアクセスを保護するのに役立ちます。Google Authenticator や Twilio Authy などの認証アプリを使用してワンタイムパスワード (TOTP) を有効にすることもできます。AWS SSO を使用すると、ユーザーがサインイン中に MFA デバイスをセットアップする要件を含め、すべてのユーザーに MFA を適用できます。

可用性の高いマネージドインフラストラクチャ

AWS SSO は、可用性に優れた AWS 管理のインフラストラクチャ上に構築されています。スケールアップして新しいビジネスアプリケーション統合を追加しても、デプロイして維持する追加のプロキシ、ウェブサーバー、またはフェデレーションサーバーはありません。その代わりに、AWS SSO コンソールを使用して、ビジネスアプリケーションへの新しい統合を簡単に作成できます。

エンドユーザーエクスペリエンス機能

ユーザーポータル

AWS SSO を使用すると、ユーザーは割り当てられているすべてのアカウントとアプリケーションを 1 つの場所で確認し、アクセスできるようになります。ユーザーは、既存のコーポレート認証情報を使用してそれぞれのパーソナライズされたユーザーポータルにサインインでき、割り当てられたアカウントとアプリケーションにはワンクリックでアクセスできます。ユーザーポータルは、ユーザーがそれぞれのユーザーポータルで新しいアプリケーション見つけることができるようにすることで、新しいアプリケーションへのアクセスをより簡単にロールアウトするためにも役立ちます。

ブラウザ、コマンドライン、およびモバイルのインターフェイスのサポート

ユーザーが AWS Command Line Interface (CLI) を使ってサインインすると、既存のコーポレート認証情報を使って一貫的な認証エクスペリエンスを得ながら、自動化された短期的な認証情報管理のメリットを得ることができます。一度サインインすると、開発者は AWS SSO によって割り当てられたアカウントとロールを表示できるようになると共に、単一のコマンドでロールとアカウントを切り替えられるプロファイルも作成できます。AWS Mobile Console アプリケーションも AWS SSO をサポートしているため、ブラウザ、モバイル、およびコマンドラインのインターフェイス全体で一貫的なサインインエクスペリエンスを実現できます。

ビジネスアプリケーションに対する組み込み型の SSO 統合

AWS SSO では、Salesforce、Box、Microsoft 365 をはじめ、多数のビジネスアプリケーションとの組み込み SSO 統合が用意されています。各アプリケーションへの SSO アクセスは、手順に従って簡単に設定できます。AWS SSO のガイドに従って、必要な URL、証明書、メタデータを入力できます。AWS SSO に統合済みのビジネスアプリケーションの詳細な一覧については、AWS SSO クラウドアプリケーションを参照してください。

SAML 対応アプリケーションの設定ウィザード

AWS SSO アプリケーション設定ウィザードを使用して、Security Assertion Markup Language (SAML) 2.0 が有効化されたアプリケーションへのシングルサインオン (SSO) 統合を作成できます。アプリケーション設定ウィザードは、アプリケーションを送信して SSO アクセスを有効化するための情報を選択してフォーマットするために役立ちます。例えば、ユーザー名の SAML 属性を作成し、AD プロファイルから取得したユーザーの電子メールアドレスに基づいて属性の形式を指定できます。

AWS Single Sign-On の利用を開始する

開始方法のページにアクセスする
始める準備はできましたか?
サインアップ
ご不明な点がおありですか?
お問い合わせ