ブラウザーのプラグインを使用して SAML Trace を実行し、SAML Trace の JSON ファイルを生成する方法について説明します。アドビのカスタマーサポートスタッフは、このファイルを使用して、ID プロバイダーとアドビの間で発生する SAML アサーションを追跡し、ログインの問題のトラブルシューティングを行います。
ブラウザーのプラグインを使用して SAML Trace を実行し、SAML Trace の JSON ファイルを生成する方法について説明します。アドビのカスタマーサポートスタッフは、このファイルを使用して、ID プロバイダーとアドビの間で発生する SAML アサーションを追跡し、ログインの問題のトラブルシューティングを行います。
Azure AD のエンタープライズアプリケーションに AWS SSO と連携するためのギャラリーが追加されていたため、Azure AD のユーザ情報を用いて AWS マネジメントコンソールにサインインする環境の構築を試してみました。 Azure AD のユーザ情報を用いて AWS マネジメントコンソールにサインインする方法はいくつかありますが、本ブログでは AWS SSO を用いて AWS アカウントへのアクセス権を管理している環境において、AWS SSO と Azure AD を SAML により連携する方法を紹介します。 2023.3.21 追記 AWS IAM Identity Center 版を新しく書きました。 構成と全体の流れ 設定する構成と作業の流れを示します。 ユーザ/グループの属性情報の同期は SCIM による自動同期を採用しています。 構成図 全体の流れ SAML の
この記事の内容 AWS SSO と Google Workspace を連携する方法の記事です。 なんで書いたか 個人的な思いとして AWS SSO がとても便利で有益だったので利用への障壁を少しでも低くできたらと思い書きました。 AWS SSO と G Suite との連携記事はよく見かけるが Google Workspace との連携の記事をあまり見かけなかったので残そうと思いました。 AWS SSO はかなり便利なサービスで、AWS アカウントを Organizations で複数管理している場合かなり運用が容易になる可能性があります。 今回は Google Workspace との連携に関する事のみを記載しています。 外部 Idp で会社のメンバーアカウントを管理していて AWS アカウントを Organizations で複数管理している場合、かなり運用が容易になる可能性がありま
はいさい!ちゅらデータぬオースティンやいびーん! 概要 AWSのFederated Userシステム、SAML認証でログインした時に、aws cliにもその認証情報を反映させる方法を紹介します。 参考にした情報 SAMLResponseを取得する まず、読者さんのAWS・SAMLログイン画面を開いてください。 筆者の場合、Googleアカウントを使用しておりますので、以下のような画面になります。 そこで以下の順番を踏まえてログインします。 Chrome Dev Toolsを開く Networkのタブを開く Preserve Logにチェックを入れる AWSアカウントを選択する 「サインイン」をクリック Chrome Dev ToolsのNetworkタブの履歴の「Name」縦列に、samlのリクエストをクリックする METHODがPOSTであること、Statusが302であることを確認。
AWS マネジメントコンソールを SAML フェデレーションによる SSO で利用している場合、その権限で AWS CLI を利用するのは簡単ではない。 そもそも Role が一時的に割り当てられているだけであって IAM User を作成しているわけではないので Credentials を作成することができない。AWS CLI を利用するためには AssumeRoleWithSAML という API を使って一時的な Credentials を都度要求しなければならない。 詳しいことは以下に書いた。 SAML 認証による一時的な認証情報で boto3 を利用する - Qiita 上記は Python でやる場合の話だったが、今回は同じことを Bash でやれるようにスクリプトを書いたのでそれについてメモしておく。 #!/bin/bash -eu if !(type "aws" > /de
西澤です。ADFSサーバを利用したAWSマネージメントコンソールへのSSOについて以前に書きましたが、APIを利用する方法が整理できていないことが課題となっていました。SAMLを利用したAPI認証の方法については藤本さんが詳しく書いてくれています。 Active Directory資産を活用したAWS API認証 | Developers.IO この方法は理解の為には良いのですが、そのまま運用で使うにはやや手順が複雑な印象を受けたので、これをもう少し簡単に利用する方法がないかとさらに情報を漁ってみたところ、公式ブログでツールとその利用手順が紹介されていました。今回はこちらを試してみたいと思います。 How to Implement Federated API and CLI Access Using SAML 2.0 and AD FS - AWS Security Blog How to
こんにちは。技術部の池田です。 この記事では、Github Actions上に「強い」AWSの権限を渡すために以下のことを行います。 App Runnerでお手軽にGoogle ID Token 取得するためのWeb Applicationを動かす。 Web Applicationから取得できるGoogle ID Tokenを信頼するIAM RoleにAssumeRoleする。 AssumeRoleによって得られた一時的な強い権限で、強い権限を要求する作業(Deploy, Terraform Apply)をGithub Actionsで行う。 これにより、Github Actions上にAWSのアクセスキーを置かずに、ある程度安全な方法でAWS上での強い権限を要求する操作を実行できます。 そのため、例えばGithub Repositoryに不正アクセスされてしまったとしても、AWSの本番環
西澤です。ついにAWS Management Consoleでスイッチロールしたときのセッション時間を12時間まで伸ばせるようになりました。このアップデートを通じてスイッチロールの有効期限について改めて整理してみようと思いました。 Now gain longer access to your AWS resources when switching roles in the AWS Management Console スイッチロールとはなんなのか? スイッチロールという表現はAWS公式ページでも数多く登場しますし、CloudTrailのイベント名にも出てきますが、原則としてはAWS Management Console上でのGUI操作により特定のIAMロール権限に遷移する操作のことを指していると理解しています。ちなみにSwitchRoleというAPIは存在しません。ただ今回の記事では、I
昨年のAdvent Calendarで書きました「KeycloakのToken Exchangeを活用した一時的なAWSアクセスキーの発行 」の続編ネタです。この中で紹介した aws-cli-oidc というCLIツールの便利な使い方を紹介します。 aws-cli-oidcとは AWS管理コンソールへのログインを、Keycloakなどの外部IdPとSAMLまたはOIDCで連携させている場合に、aws-cli などのAWS向け各種CLIツールで利用可能な一時的なアクセスキーを取得してくれるちょっとしたCLIツールです。このツールの目的や説明は昨年の記事を読んでいただければと思いますが、この手の他のツールと異なり、利用者のクレデンシャルを本ツールに渡さずにアクセスキーを発行できるところがポイントです。AWSと外部IdP間のフェデレーションには、OIDCまたはSAML 2.0が利用できますがその
AWS コマンドラインインターフェイス (AWS CLI) を使用して、AssumeRoleWithSAML、AssumeRole、および AssumeRoleWithWebIdentity オペレーションから認証情報を取得したいと考えています。 解決方法 AssumeRoleWithSAML、AssumeRole、AssumeRoleWithWebIdentity から認証情報を取得するには、次の手順を実行して API を呼び出し、出力をテキストファイルに保存します。次に、その出力を使用して AWS CLI で API コマンドを呼び出します。 重要: AWS CLI コマンドの実行時にエラーが発生した場合は、AWS CLI の最新バージョンを使用していることを確認してください。 role-arn および role-session-name のパラメータは必須です。 AssumeRole
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く