AWS IAMとShibbolethの連携サンプルコードを公開。学術機関や政府機関で採用が多いSSO認証を容易に設定できるようになり、利便性が増す。
米Amazon Web Services(AWS)は9月23日、学術機関などに普及しているシングルサインオン(SSO)認証システムの「Shibboleth」とAWS Identity and Access Management(IAM)を連携させるための新しいサンプルコードを公開した。
Shibbolethは異種システム間のSSO認証システムとして多くの学術機関や政府機関が採用しており、既存のShibbolethシステムを活用してAWS Management ConsoleへのSSOを実現する方法について、サンプルの提供を望む声が多く寄せられていたという。
サンプルコードでは、ユーザー認証情報を自分たちの組織のローカルディレクトリで管理しながらAWSのサービスを活用できるよう、ShibbolethとIAMを設定できる。この連携によって、個々のIAMユーザーアカウントを作成しなくてもAWS Management Consoleにログインできるようになる。
具体的な活用例として、例えば大学教授が学生にAWSを使った課題を出す場合、サンプルプロキシを使えば、個々の学生についてIAMユーザーアカウントを作成しなくても、大学のシステムへのアクセスに使っているShibbolethのログイン情報でAWSを利用できる。ユーザー名とパスワードを信頼できないシステムに共有する必要もない。
ユーザーはプロキシURLにアクセスしてShibbolethのログイン情報を入力し、ドロップダウンボックスに表示されるIAMロールの一覧から使いたいものを選んで「Sign in to the AWS Console」のボタンをクリック。プロキシサーバではSAML(Security Assertion Markup Language)トークンから必要な情報を取得してAssumeRoleRequest APIを呼び出し、一時的なサインインURLを作成して、AWS Management Consoleにユーザーをリダイレクトする。
Copyright © ITmedia, Inc. All Rights Reserved.