AWS、ShibbolethとIAMのシングルサインオンを実現するサンプルコード公開

AWS IAMとShibbolethの連携サンプルコードを公開。学術機関や政府機関で採用が多いSSO認証を容易に設定できるようになり、利便性が増す。

[鈴木聖子，＠IT]

　米Amazon Web Services（AWS）は9月23日、学術機関などに普及しているシングルサインオン（SSO）認証システムの「Shibboleth」とAWS Identity and Access Management（IAM）を連携させるための新しいサンプルコードを公開した。

　Shibbolethは異種システム間のSSO認証システムとして多くの学術機関や政府機関が採用しており、既存のShibbolethシステムを活用してAWS Management ConsoleへのSSOを実現する方法について、サンプルの提供を望む声が多く寄せられていたという。

　サンプルコードでは、ユーザー認証情報を自分たちの組織のローカルディレクトリで管理しながらAWSのサービスを活用できるよう、ShibbolethとIAMを設定できる。この連携によって、個々のIAMユーザーアカウントを作成しなくてもAWS Management Consoleにログインできるようになる。

　具体的な活用例として、例えば大学教授が学生にAWSを使った課題を出す場合、サンプルプロキシを使えば、個々の学生についてIAMユーザーアカウントを作成しなくても、大学のシステムへのアクセスに使っているShibbolethのログイン情報でAWSを利用できる。ユーザー名とパスワードを信頼できないシステムに共有する必要もない。

　ユーザーはプロキシURLにアクセスしてShibbolethのログイン情報を入力し、ドロップダウンボックスに表示されるIAMロールの一覧から使いたいものを選んで「Sign in to the AWS Console」のボタンをクリック。プロキシサーバではSAML（Security Assertion Markup Language）トークンから必要な情報を取得してAssumeRoleRequest APIを呼び出し、一時的なサインインURLを作成して、AWS Management Consoleにユーザーをリダイレクトする。