概要
このラボでは、Active Directory フェデレーションサービス (AD FS) に AWS Identity and Access Management (IAM) を設定するプロセスを説明します。これにより、Active Directory のユーザーとグループが AWS マネジメントコンソールにアクセスできるようにします。Security Assertion Markup Language (SAML) の AWS サポートを使用します。こちらは多くの ID プロバイダー (IdP) が使用するオープンスタンダードです。この機能では、フェデレーテッド Single Sign-On (SSO) が有効になります。AD FS のような SAML 互換 IdP からのアサーションを使用して、コンソールへのサインインや、プログラムによる AWS Application Program Interface (API) コールを行うことができます。ID フェデレーションを使えば、IAM ユーザーを作成しなくても、AWS アカウントのリソースに対する安全なアクセス権が外部のアイデンティティつまりフェデレーションユーザーに付与されます。
目標
このラボを修了すると、以下のことができるようになります。
- Windows サーバーに AD FS をインストールしてセットアップする。
- 既存の Active Directory サーバーを使用して AWS マネジメントコンソールへのフェデレーションアクセスを有効にする。
- IAM で新しいロールを作成し、フェデレーテッドユーザーにマッピングする。
- フェデレーテッドユーザーに AWS マネジメントコンソールへのアクセスを許可する。
技術知識の前提条件
このラボを完了するには、Windows Server の基本的な管理に精通している必要があります。また、フェデレーテッドアイデンティティや IdP の一般的な各種技術、特に SAML、Lightweight Directory Access Protocol (LDAP)、Active Directory、IAM を熟知し、概念をよく理解していることも欠かせません。
所要時間
このラボは、完了までに約 60 分を要します。
注意: [Start Lab] を選択した後に環境がデプロイされるまで、約 10 分かかります。
アイコンキー
このラボでは、さまざまな種類の手順と注記への注意を促すため、各種アイコンが使用されています。以下のリストは、各アイコンの目的を説明したものです。
- コマンド: 実行する必要があるコマンドです。
- 想定される出力: 出力のサンプルであり、コマンドまたは編集済みファイルの出力を確認するときに使用します。
- 注意: ヒントや重要なガイダンスです。
AD FS のフェデレーション認証プロセス
Active Directory と AD FS を使用して、ユーザーが AWS に対する認証を行う方法について、以下のプロセスで詳しく説明します。
ステップ 1.このフローは、ユーザーがドメイン内の AD FS サンプルサイト (https://Fully.Qualified.Domain.Name.Here/adfs/ls/IdpInitiatedSignOn.aspx) をブラウジングすると開始します。AD FS をインストールすると、デフォルトのウェブサイト用の AD FS という新しい仮想ディレクトリを受け取ります(ディレクトリには、このページが含まれています)。
ステップ 2.サインオンページでは、Active Directory に対してユーザーを認証します。ユーザーのブラウザによっては、Active Directory のユーザー名とパスワードを入力するように指示される場合があります。
ステップ 3.ユーザーのブラウザで、認証応答の形で AD FS から SAML アサーションを受け取ります。
ステップ 4.ユーザーのブラウザから、SAML 用の AWS サインインエンドポイント (https://signin.aws.amazon.com/saml) に SAML アサーションが送信されます。この裏側のサインイン処理では、AssumeRoleWithSAML API を介して一時的なセキュリティ認証情報がリクエストされ、AWS マネジメントコンソールへのサインイン URL が構築されます。
ステップ 5.ユーザーのブラウザはサインイン URL を受け取り、コンソールにリダイレクトされます。
プロビジョンドインフラストラクチャ
このラボのトピックに集中できるように、自動生成された環境が用意されています。この環境には、事前インストール済みの Active Directory ドメインコントローラーと、mydomain.local というドメインが含まれます。
ドメインコントローラーインスタンスは、プライベートサブネットにあります。また、ネットワークアドレス変換 (NAT) インスタンスとリモートデスクトップゲートウェイ (RD ゲートウェイ) インスタンスが配置されたパブリックサブネットもあります。パブリックサブネットは、DMZ としても参照されます。ルーティングテーブル、サブネット、およびインターネットゲートウェイは、必要に応じて Active Directory によってプロビジョニングされます。下図に、このセットアップを示します。これには、ラボにおいてプライベートサブネットで起動する AD FS インスタンスを含まれています。
NAT インスタンスにより、プライベートサブネットのインスタンスからのアウトバウンドインターネットアクセス (例: Windows Update の実行や、IAM との通信のため) が許可されます。RD ゲートウェイインスタンスにより、プライベートサブネットのインスタンスに対する、リモートデスクトッププロトコル (RDP) を介したインバウンドの管理アクセスのみが許可されます。
注意: プライベートサブネットのインスタンスにログインするには、まず、RDP クライアントを使用してパブリック側の RD ゲートウェイインスタンスに接続する必要があります。その後にプライベート IP アドレスを使用することで、RD ゲートウェイインスタンスから、プライベートサブネット内のドメインコントローラーインスタンスまたは AD FS インスタンスへの RDP 接続を開くことが可能です。この場合、RD ゲートウェイインスタンスは踏み台 (ジャンプ) ホストとして機能します。