AWSは、クラウドSSOサービス「AWS Single Sign-On(SSO)」を米国東部リージョンで提供開始した。
Amazon Web Services(AWS)は2017年12月7日(米国時間)、複数のAWSアカウントやビジネスアプリケーションへのシングルサインオン(SSO)アクセスを、集中管理できるクラウドSSOサービス「AWS Single Sign-On」(AWS SSO)を提供開始したと発表した。
AWS SSOによりユーザーは、既存の企業システム資格情報でユーザーポータルにサインインし、自分に割り当てられた全てのアカウントとアプリケーションに1箇所からアクセスできる。
AWS SSOの主な機能は以下の通り。
ユーザーはユーザーポータルで、管理者からアクセス権を与えられた全てのアプリケーションとAWSアカウントにアクセスできる。ユーザーはオンプレミスのActive Directoryユーザーアカウントでユーザーポータルにアクセスすることも可能だ。アクセス権を与えられたアプリケーションにアクセスする場合、ユーザー名とパスワードを再入力する必要はない。
AWS SSOは、アカウント管理サービス「AWS Organizations」と統合されているので、管理者は組織内のAWSアカウントの一元管理できる。組織のマスターアカウントでAWS SSOを有効にすると、組織で管理されているAWSアカウントを一覧表示し、それらに対して、ユーザーポータルへのSSOアクセスを有効化することができる。
AWS SSOは、「AWS Directory Service」を使ってActive Directoryと統合できる。ユーザーは自分のActive DirectoryユーザーアカウントでAWSアカウントとビジネスアプリケーションにアクセスが可能だ。管理者は、Active Directory内のユーザーやグループが、どのAWSアカウントにアクセスできるかを管理できる。
管理者は、ユーザーがAWSアカウントにアクセスする際の権限を「AWSマネジメントコンソール」で集中管理できる。ユーザーの権限は、「権限セット」として定義する。権限セットは、「AWSマネージドポリシー」の組み合わせや、「ジョブ機能のAWSマネージドポリシー」に基づく権限の集合体だ。AWSマネージドポリシーは、多くの一般的なユースケース用の権限を提供し、ジョブ機能のAWSマネージドポリシーは、IT業務の一般的な各種ジョブ機能に対応した権限を提供する。
AWS SSOでは、AWSアカウントに権限セットを適用することで、AWSアカウントにおけるAWSリソースに対する必要な全てのユーザー権限を構成できる。例えば、権限セットを変更すると、関連する全てのAWSアカウントの権限に変更が反映され、最新の構成に保たれるようAWS SSOが支援し、権限の集中管理を実現するという。
AWS SSOは、「Security Assertion Markup Language」(SAML)2.0をサポートしている。そのためアプリケーション構成ウィザードを使って、SAML対応ビジネスアプリケーションへのSSOアクセスを構成できる。
Office 365、Salesforce、Boxなど、広く普及したビジネスアプリケーションの多くとのSSO連携機能を備えており、ステップバイステップで連携を構成できる。
全てのサインインおよび管理操作のログをCloudTrailで記録する。それらのログを「Splunk」などのSIEM(セキュリティ情報イベント管理)ソリューションに送信し、分析できる。
AWS SSOは、高い可用性を提供するAWSのマネージドSSOインフラ上に構築されている。また、マルチテナントアーキテクチャによって、ハードウェアの調達やソフトウェアのインストールなどを行うことなく、サービスを迅速に利用し始めることができる。
AWS SSOは、AWSアカウントを持っていれば追加料金なしで利用できる。現在は米国東部(バージニア北部)リージョンでのみの提供となっている。
AWSは、「数回クリックするだけで、可用性の高いSSOサービスを導入できる。自前のSSOインフラを構築、運用するための初期投資や継続的な保守コストは不要だ」と述べている。
Copyright © ITmedia, Inc. All Rights Reserved.