こんにちは、2019年7月よりトレタにJOINした @aibou です。 本記事はトレタ Advent Calendar 2019の16日目の記事です。 趣味はNFL観戦とボルダリングです。NFLは今年11月にマイナス気温の屋外で現地観戦してきました。 最近リードクライミングの講習を受けまして、ガシガシと岩を登っております。 さて、今回はAWSアカウントとAWS SSOのお話をしようと思います。 既に社内エンジニアへの共有や社内WikiにAWS SSOの利用マニュアルを残していますが、経緯や変遷について記載していないので、トレタ社員の方にも読み物として読んでいただければなと思っています。 免責事項 本記事を参考に実施したことで発生した金銭・セキュリティ等あらゆる問題について責任を負いかねますので、自己責任のもと実施していただくよう、よろしくお願いいたします。 また、誤り等あればはてブ等でご
なぜWebサービスの選定においてSAML/SSOが重要なのか
TL;DRクラウドネイティブな時代のビジネスではWebサービス活用は必須Webサービスをセキュアに利用していくには管理やセキュリティ面での工数・コストが増えるこの工数・コストを下げることこそがWebサービス活用推進ひいてはビジネスの加速に繋がる工数・コストを下げる為に導入するWebサービスにSAML/SSOは必須ログインをSAML/SSOに限定出来ることまでがマストWebサービス利用におけるセキュリティ面で一番重要なのがID周り個々のWebサービスのセキュリティ対策よりもID管理に特化したシステムに任せた方がよっぽどセキュア(餅は餅屋)Webサービス導入時には値が張ってもSAML/SSO出来るプランで契約するSAML/SSOが出来ないことによるデメリット(工数・コスト)の方が、SAML/SSOを有効にできるプランにアップグレードする費用に勝るB2BのWebサービスを提供する企業は全プランに
AWS SSOのコンソール画面を触ってると、「んん??どういうこっちゃ??♂️」みたいに混乱することありませんか?画面に沿ってなんとなく設定はできたけど、どういう仕組みになっているかわからないというか… すみません、うまく言語化できていない自覚があるんですが、以下のような点がモヤモヤしています。 ユーザー&グループ、アカウント、アクセス権限セット各概念の関係性がわからない いや、俺はそもそもアクセス権限セットがどういうものなのか理解していないのでは?(モヤモヤ?) 今回はこのモヤモヤを解消するために、SSOの概念を図解していきたいと思います。SSOコンソール上での以下各操作によってどういうリソースが作成され、それぞれがどう動作するのかまとめます。 初期状態(SSO有効化前) SSOを有効化する ユーザーやグループを作成する アクセス権限セットを作成する アカウントにユーザー・グループを割
IAM Identity Center のロールで発行される一時認証情報をaws-sso-go 経由で 1Password に入れて利用する - 継続は力なり
タダです. 以前の記事で 1Passowrd Shell Plugin を使って IAM アクセスキーとシークレットアクセスキーを保存して AWS CLI を使うのをやってみました.この記事では IAM Identicy Center(旧 AWS SSO) のロールで発行される一時認証情報を 1Password に入れたり更新ができたらローカルにクレデンシャルを残さずに使えてセキュアになるため,その検証を行ったのをまとめていきます. sadayoshi-tada.hatenablog.com IAM Identity Center のロールで発行される一時認証情報を保管する 保管したクレデンシャルを使って AWS CLI を実行する まとめ IAM Identity Center のロールで発行される一時認証情報を保管する IAM Identity Center と 1Password の
AWS Client VPNでSAML認証がサポートされたのでAWS SSOで認証してみた - SMARTCAMP Engineer Blog
ボクシルのプロダクトマネージャーをしている笹原です。 今年頭からエンジニアではなくプロダクトマネージャーに業務内容をシフトしています。 しかし、エンジニアブログは技術ネタを書こうかと思い、表題の件をサクッと試してみました。 AWS Client VPNとは AWS Client VPNのクライアント認証とユーザー管理 AWS SSOとは AWS SSOでのカスタムSAML2.0アプリケーションの追加 SAML2.0認証を利用したAWS Client VPNエンドポイントの作成 実際に使ってみる まとめ AWS Client VPNとは AWS Client VPNとは、AWSが提供しているクライアントベースのマネージドVPNサービスです。 マネージドなVPNサービスということでリモートワークが増えた今年から利用も増えているのではないかと思います。 詳しく知りたい方は、以下の記事を御覧くださ
本記事は わた推し~AWSアワードエンジニア編~ 1日目の記事です。 💻 イベント告知 ▶▶ 本記事 ▶▶ 2日目 💻 こんにちは、上野です。 NRIネットコム、2022 Japan APN Ambassadors / Top Engineers / ALL Certificate Engineers による推しテクシリーズです。 私が紹介するのはAWS Single Sign-On (AWS SSO)です。最高のサービスです。 AWS SSOの概要 AWS SSOを有効にすると、一元管理された(一つの)ユーザー名/パスワードでログインすることにより、複数のAWSアカウントへログインできるようになります。 ↓はログイン画面です。 ログインすると・・権限があるAWSアカウントが一覧で表示され、各AWSアカウントへログインできます。 便利ですね。 AWS SSOの仕組み AWS SSOで重
150超のAWSマルチアカウント環境における「AWS SSO」の設定をTerraform管理に移行した話 - Money Forward Developers Blog
こんにちは。マネーフォワードのgotoken(@kennygt51)です。 突然ですが、マルチアカウントAWS環境の管理業務をおこなっている皆さん、AWS SSOやってますか?? 当社のAWS環境の改善活動に取り組む中で、AWS SSOの便利さにすっかり虜になってしまいました。 今回の記事では僕が業務で取り組んだ『150超のAWSマルチアカウント環境における「AWS SSO」の設定をTerraform管理に移行した話』について紹介します AWSアカウントへのアクセスコントロールの歴史 AWS SSOやTerraform管理の話をする前に、当社のAWSアカウントへのアクセスコントロールの歴史を紐解いてみましょう。 はじめてのAWS SSO 2020年の初め頃、当社のAWS環境にAWS SSOがはじめて導入されました。それ以前は、踏み台用のAWSアカウントにのみIAMユーザを作成し、アクセスし
AWSを活用する複数社が集まり、事例を共有する祭典「AWSマルチアカウント事例祭り」。教育現場を支援するクラウドサービス「Classi」を提供するClassi株式会社から大南氏が、「セキュリティインシデントを乗り越えるために行ったマルチアカウントでの取り組みについて」をテーマに話しました。 自己紹介とClassiについて 大南賢亮氏(以下、大南):Classi株式会社の大南です。本日は「セキュリティインシデントを乗り越えるために行ったマルチアカウントでの取り組みについて」というタイトルで発表します。 大南賢亮です。直近10年くらいはBtoCサービスを中心に、DBA、サーバーサイドエンジニア、SREを経験しています。Classiには、2019年5月にSREとしてジョインしました。ここ数年はインフラとセキュリティ領域を中心に業務を行っています。 まずClassiについて説明します。Classi
FAQs This doesn’t scale linearly for number of seats! Correct. Since we don’t know who’s reading the page, it’s easiest to just assume a team with no volume discount. How is base pricing determined? We disregard free tier pricing, as we can assume these aren’t intended for long term business customer use. We also disregard “single person” pricing, under the assumption that we’re looking on behalf
SSO(スクラム知らないおじさん)がスクラムチームにやって来た - ぐるなびをちょっと良くするエンジニアブログ
はじめまして、ぐるなび仕入モールでバックエンド開発を担当している中村です。2020年度に中途入社し、それまでは主にウォーターフォールモデルでの開発に携わっておりました。 今回はそんな スクラム知らないおじさん(以降、SSO)から見たぐるなび仕入モールチームのスクラム開発をご紹介できたらと思います。 この記事で書いていること この記事で書いていないこと 何を作っているか 現在のチーム構成 プロダクトオーナー スクラムマスター 開発メンバー 開発のサイクル プランニングからリリースに至るまで スクラムイベントのスケジュール ウォーターフォールとのフロー対比 何やらカタカナが多い 工数算出をどう行なっているか プランニングポーカー 数値の一律設定型 Tシャツサイジング(今ココ) 最後に この記事で書いていること スクラムを用いてチームで開発にどう取り組んでいるかをご紹介しています。主に、 スクラ
TerraformがAWS SSO(Single Sign-On)に対応してました | DevelopersIO
上記エントリを書いた際(2020/10/29時点)には、TerraformでAWS SSO(Single Sign-On)のリソースをプロビジョニングすることはできませんでした。が、その後terraform-provider-awsのv3.23.0、v3.24.0で一部リソースのプロビジョニングができるようになりましたので、使ってみたいと思います。 Support for Managing AWS SSO Permission Sets · Issue #15108 · hashicorp/terraform-provider-aws 追加された Resource / Data Source Resource aws_ssoadmin_account_assignment aws_ssoadmin_managed_policy_attachment aws_ssoadmin_permiss
AWS Organizationsあり、外部認証基盤なしでSingle Sign-On(SSO)を使うべきか | DevelopersIO
現在参画中のプロジェクトでAWS Single Sign-On(以下SSO)を利用するべきかどうか検討しました。 要件 Organizationsを使って、複数アカウントを管理する AD等の外部認証基盤は無い コードで構成管理したい (Infrastructure as Code) ManagementAccount(旧名MasterAccount)はできる限りいじりたくない できるだけ簡単に設定・管理したい できるだけ簡単に各アカウントにアクセスしたい ユーザーあるいはグループごとに細かな権限設定をしたい MFA(多要素認証)必須 (にするかも) AWSアカウントへのアクセスのみが目的。SAML 対応のクラウドアプリケーション (Salesforce、Office 365、Dropbox など)や他アプリケーションで認証基盤を共用することは考えていない ※ SSOで実現できる機能です 選
長らく利用者に負担を強いてきたパスワード。ついに「個々のサービスごとに推測されにくい文字列を覚えておく」といった負担から解放されそうだ。 米Microsoft(マイクロソフト)は2021年3月に開催されたIT管理者向け会議「Ignite 2021」で、「Azure Active Directory(AAD)」におけるパスワードレス認証の正式対応を発表。同月には米Cisco Systems(シスコシステムズ)の子会社で認証プラットフォームを手掛ける米Duo Security(デュオセキュリティー)がパスワードレス認証への対応を発表した。 「日本マイクロソフト社内でもパスワードレスの運用を始めている。もう大半の社員がパスワードを覚えていないのではないか」。同社クラウド&ソリューション事業本部モダンワーク統括本部第4技術営業本部本部長の山野 学氏がこう指摘するように、パスワードレス認証は安全性の
AWS SSO を用いた Amazon EKS への迅速なシングルサインオン | Amazon Web Services
Amazon Web Services ブログ AWS SSO を用いた Amazon EKS への迅速なシングルサインオン 訳注:2022年7月に、AWS Single Sign-On は AWS IAM Identity Center に変更されました。 この記事は A quick path to Amazon EKS single sign-on using AWS SSO (記事公開日: 2022 年 6 月 14 日) を翻訳したものです。 Software as a Service (SaaS) とクラウドの導入が急速に進む中、アイデンティティは新しいセキュリティの境界になっています。AWS Identity and Access Management (IAM) と Kubernetes role-based access control (RBAC) は、強力な最小権限のセ
オンプレミス想定のActive DirectoryにVPN接続して、AD Connectorを作成、AWS SSOのIDソースにしました。 関連ブログ AWSクイックスタートのActive Directory Domain Services on AWS オンプレミスに見立てたオハイオリージョンにVyOSインスタンスを起動して東京リージョンからVPN接続 AD Connectorを作成してシームレスにドメイン参加する AD Connector作成が初回失敗して再実行 オンプレミス想定のActive Directory側のEC2のセキュリティグループで、AD Connectorを設置するサブネットのIPアドレスに53,88, 389 TCP/UDPポートを許可していなかったため、作成失敗しました。 オンプレミス想定のActive Directory側のEC2のセキュリティグループに上記を追加
AWS SSOで各AWSアカウントのManage Consoleを開く場合、AWSアクセスポータルURL(d-xxxxxxxxxx.awsapps.com/start)から遷移するが、赤枠のリンクは固定値のようなので、そのリンクから個別のアカウントのManage Console開くことができる。 リンクのURLは下のようになっていて https://d-12345abcde.awsapps.com/start/#/saml/custom/123456789012%20%28my-account%29/MTIzNDU2Nzg5MDEyX2lucy0xMjM0NTY3ODkwYWJjZWRmX3AtMTIzNDU2Nzg5MGFi%3D%3D /custom/の下は123456789012 (my-account)=アカウントID (アカウント名)をURLエンコードしたもの。 その下のMTIz
IAM Identity Center(AWS SSO)のグループとユーザーをTerraformでDRYに書く
こんにちは、株式会社スマートラウンドSREの@shonansurvivorsです。 Terraform AWS Provider v4.33.0より、IAM Identity Center(AWS SSO)のグループとユーザーが作成できるようになりました! 当社は以前からIAM Identity Centerを利用しており、これまではマネジメントコンソールによる管理だったのですが、今回早速Terraform化しましたので、そこで得られた知見を元にしたサンプルコードを紹介します。 なお、Identity Centerの許可セット(IAMポリシー情報)などは以前からAWS Providerで対応済みですが、それらリソースは本記事のスコープ外となります。ご承知おきください。 環境 Terraform 1.1.7 AWS Provider 4.33.0 工夫したポイント 各ユーザーがどのグループに
OAuth vs SAML vs OpenID Connect vs SSO それぞれの違い。 2020.06.16 社内勉強会 はじめに この記事は株式会社digglueの新卒を含む社員向けの勉強会で利用した内容です。今回のテーマ「OAuth, SAML, OpenID Connect, SSOの違い」です。内容や表現の間違いなどがあるかもしれませんがご了承ください。 学習の目的 OAuthやActive Directoryなどのシングルサインオンの認証について理解を深めようとすると、SAML, OAuth, OpenID Connect, SSOなどの関連性のある用語が多く出てきて混乱します。今回はこれらの用語を比較し、認証についての理解を整理します。 SSO(シングルサインオンとは) 1度のログインにより複数のサービスはアクセスするための仕組みがSSOです。SAML, OAuth,
AWS CLI v2 プレビューのインストーラが公開&AWS SSOに対応しました! | DevelopersIO
AWS CLI v2 プレビューのインストーラが公開されました!そして、AWS SSOに対応しました!AWS Developer Blogで、バーンと2つのニュースが入ってきたので、さっそく試してみます! ひさびさにAWS CLI v2のニュースが入ってきて興奮しています! 昨年のre:InventでAWS CLI v2の話題が出てきましたが、あまり大きな動きがありませんでした。 [レポート] DEV322: What’s New with the AWS CLI #reinvent | Developers.IO Amazon Linux 2でaws cli v2を試してみた #reinvent | Developers.IO そんなときにAWS Developer Blogに、バーンと2つのニュースが入ってきました! AWS CLI v2 Preview Installers Now
[アップデート]AWS SSOのMFAでMacbookのTouchID(指紋センサー)が使えるようになりました! | DevelopersIO
AWS SSOのMFAとして、MacbookのTouchID(指紋センサー)を使えるようになりました! 新機能 — AWS SSO 用の WebAuthn を使用した多要素認証 | Amazon Web Services ブログ AWS SSOのMFAがWebAuthNという仕様に対応し、MacbookのTouchIDがこの仕様に準拠していることで利用できるようになっているようですね。ですので、TouchIDに限らず、WebAuthNに対応する認証システムが色々利用できるようになりました。 やってみた(マネジメントコンソール) 今回は内部IDストアを利用したSSOにてやってみます。 MFAの設定 まずAdmin権限を持つユーザーで、Organizationのマネジメントアカウントにログインします。SSOのコンソールの左列メニューの一番下、「設定」をクリック。さらに「多要素認証」欄の設定ボタ
米Amazon Web Servicesは、属性ベースのアクセス制御(ABAC)戦略を使用する利点と、OktaをIDプロバイダ(IdP)として用いる際にAWS Single Sign-On(AWS SSO)でABACを使用する方法について、7月6日(現地時間)付の公式ブログ投稿にて解説している。 同投稿では、ABACを使用する理由として、属性条件の一致に基づいてアクセスを提供する、より動的なポリシーの構築が可能になる点を挙げており、AWSでは共存戦略としてRBACとABACの両方をサポートしているため、既存のRBAC戦略と一緒にABACを使用できると、その利点を強調する。 ABACを使用する利点としては、AWS Secrets Managerのシークレットへのアクセスを必要とする2つのチームが存在する状況で、ABACの使用によってIdPのDepartment属性に基づいた条件で、単一のロー
AWS Single Sign-On (AWS SSO) adds support for AWS Identity and Access Management (IAM) customer managed policies (CMPs)
AWS Single Sign-On (AWS SSO) now supports AWS Identity and Access Management (IAM) customer managed policies (CMPs) and permission boundary policies within AWS SSO permission sets. The new capability helps AWS SSO customers to improve their security posture by creating larger and finer-grained policies for least privilege access and by tailoring policies to reference the resources of the account t
AWS SSOに待望の機能が実装されました!MFAアプリ(Authy, Google Authenticator等)を使用した多要素認証です! Increase AWS Single Sign-On security with multi-factor authentication using authenticator apps 今までも多要素認証に対応してはいましたが、メールを利用した多要素認証だったり、自前でRadiusサーバーを構築してActiveDirectoryと連携する方式が必要でした。 [AWS SSO]ログイン時に2段階認証を有効化する | DevelopersIO これがAWS SSOの機能として、MFAアプリを使用した多要素認証が提供されたので早速試してみたいと思います! AWS SSOを使ってみる(多要素認証無し) AWS SSOを使うと、こんな風に一つのユーザーで
TwitterのSSOログインはもう使わない方が良い
あまり見かけることが無くなりましたが、TwitterのログインにTwitterアプリを使うSSOというログイン方法があります。 ログインボタンを押すと、Twitterアプリが立ち上がりアカウントを選んで認証しアプリに戻ってくるという挙動をします。 このSSOは、元々TwitterのSDKであるtwitter-kitで実装されていました。 しかし、twitter-kitは2018年時点で非推奨になっておりそれと同時にドキュメントからもSSO方式のログイン方法が案内されることは無くなりました。 つまり、twitter-kitのSSOは利用者が一定いるからなのかtwitterの裁量で今も使えるだけで気まぐれに急に使えなくなることが起きうるわけです。 SSOを利用しているサービスは早急にTwitterのWeb経由のログインに対応した方が良いでしょう。 と、ここまで読んで「うちはtwitter-ki
こんにちは。仕事でAWSの構築し、プライベートでAWSの研究と技術書の執筆をし、Amazonで本を売っているAmazon依存症の佐々木です。 今日は、みんな気になるけど、なかなか手が出しにくいAWS SSOについて解説します。一口にSSOと言っても多岐に渡るので、SSOの中の権限セットを中心に説明します。 AWS SSOとは? AWS Single Sign-On(SSO)は、その名のとおりシングルサインオンのためのサービスです。そもそもシングルサインオン(SSO)とは何かという話は割愛して、まずAWSにおけるSSOの必要性について説明します。AWSにおいて何故SSOが必要になるのか?それは、今やAWSではマルチアカウントで運用するのが定石だからです。そして、マルチアカウント運用時に、SSOの仕組みを導入していないと、すぐにIAMユーザーのアカウントがいっぱいになるという問題に直面します。
Announcing new AWS IAM Identity Center (successor to AWS SSO) APIs to manage users and groups at scale
AWS is launching additional APIs to create, read, update and delete users and groups in AWS IAM Identity Center (successor to AWS Single Sign-On). The new APIs expand existing capabilities to help reduce administrative effort and save time, and provide greater visibility into the users and groups that are available in IAM Identity Center. You can use the APIs for provisioning, de-provisioning or u
何が嬉しいのか AWS SSO で委任された管理者として組織のメンバーアカウントを設定できるようになりました 🎉🎉🎉 AWS SSO は組織の管理アカウントに作成されます。そのためこれまではユーザーやグループの割り当てを操作する担当者に管理アカウントへのアクセス権限を与える必要がありました。このアップデートによりそれらの管理作業を組織のメンバーアカウントで実施できるようになります。管理アカウントへのアクセス権限を与える人数を最小限に抑えることが可能になり、最小特権の原則のベストプラクティスを実践しやすくなります。 留意点 委任された管理者アカウントでは以下のタスクを実行できません。 管理アカウントのユーザーアクセスの管理 管理アカウントでプロビジョニングされたアクセス許可セットの管理 AWS SSO の有効化、設定の削除 委任された管理者アカウントの登録、解除 特に組織の管理アカウン
こんにちは、永続的なクレデンシャルを使いたくない上野です。 自分のPCでAWS関連の開発をしたい場合、みなさんどうしていますでしょうか? AWS SSOを使用すると、次のように簡単に一時的なクレデンシャルを発行できます。 (デフォルトでは1時間で有効期限切れとなります。) 私もこの機能がめちゃくちゃ好きでよく使うのですが、AWS SSOを使う場合はAWS Organizationsの使用が前提となります。AWS Organizationsが使用できない場合や、Organizations経由で発行されたアカウントのみを使用する場合、AWS SSOは使用できません。 ということで、AWS SSOを使用しないで、一時的なクレデンシャルを使用する1つの方法を紹介します。 ※もっと良いやり方を知っている方がいれば教えていただきたいです! 実装する構成 IAMユーザーとIAMロールを使用します。IAM
20世紀、すでにログイン認証はIDとパスワードによって行われてました。 しかし、実態としての認証はカタチだけのモノでした。 当時、わたしは大きな製造業の社内SEでした。社員が使っているパソコンのメンテナンスを多くやってきました。利用者のノートパソコンのカバーを空けると、パスワードが書かれた付箋紙がキーボードの隅っこに張り付けられていることの多いこと多いこと・・・。 そこに書かれているパスワードも、氏名のローマ字だったり、誕生日だったり、123456 だったりと・・・誰でも推測できそうなパスワードのオンパレードでした。 すでにバブルは崩壊してました。バブル崩壊でリストラされた社員が、会社の個人情報を名簿業者に転売する事件があいついでました。それは、一種の社会問題でした。 しかし、会社は認証を強化する必要性をあまり感じてませんでした。 根本的な問題として、当時の中高年はパソコンを使うことが出来
AWS CLIをAWS IAM Identity Center(SSO)で認証させるには? | DevelopersIO
AWS OrganizationsのAWS IAM Identity Center(旧AWS Single Sign-On;AWS SSO)を利用すると、Organizations配下のAWSアカウントにSSOできます。 本記事では、同機能をAWS CLIから利用する方法を紹介します。 AWS IAM Identity Centerの詳細は次のブログを参照ください。 なお、本記事ではAWS Identity Center directoryでユーザー管理しているものとします。 ポイント IAM Identity CenterにはAWS CLI v2が対応。v1は未対応 設定ファイルはAWS CLIだけでなくAWS SDK全般で流用可能 IAM Identity Centerはリージョナル・サービス IAM ユーザーのように永続的なアクセスキーは存在せず一時的な認証情報を利用 各アカウントへ
IAM Identity Center(AWS SSO)に移行して1年たったので使い方などまとめる | 株式会社PLAN-B
AWS SSOは現在「IAM Identity Center」に引き継がれています。本記事は2020年10月に公開されたもので、名称や機能などは当時の記載のままにしていますご了承ください。 AWSアカウントが複数ある時、みなさんは認証・認可の管理をどうしていますか? PLAN-Bでは2019年に全面的にAWS SSOを使い始め、1年以上が経ちました。以下の点で特にメリットを感じており、利用を継続しています。 アカウントごとにIAMを管理する必要がなくなるクレデンシャルが長期に渡ってローカルマシンに保持されることがない基本的には無料いずれも運用次第なので例外がありますが、マルチアカウントの管理に辟易していてゆるく始めるのであれば上記の認識で良いかと思います。きっちりかっちり管理が必要な場合もそれはそれで対応できるので、AWS SSOを導入した上で組織のポリシーと相談して合わせれば良いです。
AWS SSO(Single Sign-On)のユーザー(厳密にいうと、そのユーザーが引き受ける各アカウント上のロール)の権限でTerraformを使いたい場合どうやるのか、調べた結果をまとめます。 方法1. 環境変数にアクセスキーをセットする まずは、SSOポータルに表示されるこれを使う方法です。コピーしてターミナルに貼り付けて実行するだけです。 今回は、S3バケットを一つ作るだけのコードを用意しています。 terraform { required_version = "= 0.14.7" required_providers { aws = { source = "hashicorp/aws" version = "3.29.1" } } } provider "aws" { region = "ap-northeast-1" } resource "aws_s3_bucket" "t
1Password for ChromeやFirefoxが「Sign in with Apple/Google」などでサインインに利用したSSOアカウントの記録に対応。
プライベートや学校、会社などで複数のAppleやGoogleアカウントを取得していたり、AppleやGoogle以外にもMicrosoftやFacebook、GitHub、PlayStation、Nintendo、SteamなどのSSOが可能なアカウントが増えてくると、どのアカウントを、どのサービスへ連携(紐付け)したかが分からなくなることがあります。 この様な問題に対し、カナダAgileBitsは現地時間2022年12月01日、Beta版を公開し開発を進めていたとおり、同社のパスワード管理サービス1Passwordのブラウザ拡張機能が、サービスへのサインインに利用したSSOアカウントの記録に対応したと発表しています。 Luckily, I can avoid the guesswork simply by using 1Password in my browser to log in,
AWS CLI を使いこなそう ! ~ 2 種類の補完機能 / aws sso / yaml-stream の紹介 - 変化を求めるデベロッパーを応援するウェブマガジン | AWS
こんにちは!テクニカルトレーナーの杉本圭太です! 最近読んで面白かった漫画は「思えば遠くにオブスクラ」と「一級建築士矩子の設計思考」です。 いきなりですがみなさん、AWS コマンドラインインターフェース (AWS CLI) を使用していますか ? ブラウザで操作できる AWS マネジメントコンソールはもちろん便利ですが、ちょっとした操作を自動化したい時やリソースの情報をテキスト形式で取得したいような場合に AWS CLI はとても役に立ちます ! しかし AWS CLI を使ったことはあるけれど「いつも決まったコマンドを実行するだけ」や「必要最低限の作業のみ」で、使いこなせているとは言えないなと感じる方も多いのではないでしょうか ? そこで今回はそういった「AWS CLI をなんとなく使っている」状態を打破して「AWS CLI を活用してます !」と自信を持って言えるようにしていくため、私
tl; dr aws-sso-util を使うとコマンド一発で ~/.aws/config が生成できたりして便利なので使うべし。 AWS SSO とは 皆さん、AWS Single Sign-On (AWS SSO) というサービスを利用されていますか。 AWS SSO は 公式ページ によると下記のような記載がありますが、もっぱら前者の複数の AWS アカウントのアクセスに利用している方が多いでしょう。 複数の AWS アカウントとビジネスアプリケーションへのアクセスの一元的な管理を容易にし、割り当てられたアカウントとアプリケーションのすべてに対する 1 か所からのシングルサインオンアクセスをユーザーに提供できるようにする AWS のサービスです。 また、AWS CLI v2 からは ~/.aws/config に下記のような設定することで、CLI 作業でも AWS SSO による認証
組織で利用するアプリケーションやシステムが増えるとともに、シングルサインオン(SSO)の需要も増えています。このページでは、対象システムに合わせて最適なSSOを選べるよう、方式の種類とその違い、仕組みについて解説します。 シングルサインオン(SSO)とは、1回の本人認証で、複数の異なるアプリケーションやシステムを利用できる認証の仕組みのことです。 システム毎のログインの手間やパスワード忘れに伴う負荷を最小限に減らせるので、利便性を求めるエンドユーザーからの実装要望が多いだけでなく、管理者にとっても、複数パスワードを覚えきれないユーザーへの対応負荷や、パスワードのメモ書きによる流出といったリスクを低減する効果が期待できます。 SSOの仕組みはSaaS版、オンプレミス版どちらでも実装できます。実装方式は複数あり、自社のSSO対象システムの対応環境によって選ぶことができます(下の表を参照)。 例
Terraformを使ってAWS SSOのユーザにEKSクラスターのフルアクセス権限を与える | DevelopersIO
やりたいこと AWS SSOのユーザーに、特定のEKSクラスターのフルアクセス権限を付与する設定を、Terraformで行ないたいと思います。 詳細 厳密に言うと、SSOのユーザーは、アクセス権限セットで作成されるIAM Roleにスイッチロールして当該アカウントにログインしますので、フルアクセス権限を与えるエンティティもIAM Roleになります。このあたりの仕組みをよくご存じない方は以下のエントリを御覧ください。 AWS SSOを図解してみた | DevelopersIO また、「フルアクセス権限を付与する」というのも、厳密には当該IAM Roleをk8sクラスター内のsystem:mastersグループに追加するだけです。system:mastersグループがフルアクセス権限を持っているcluster-adminClusterRoleと紐付いています。 `$ kubectl get
AWS SSOを利用してAzure ADのユーザ情報でAWSアカウントへのサインインを試してみる | DevelopersIO
Azure AD のエンタープライズアプリケーションに AWS SSO と連携するためのギャラリーが追加されていたため、Azure AD のユーザ情報を用いて AWS マネジメントコンソールにサインインする環境の構築を試してみました。 Azure AD のユーザ情報を用いて AWS マネジメントコンソールにサインインする方法はいくつかありますが、本ブログでは AWS SSO を用いて AWS アカウントへのアクセス権を管理している環境において、AWS SSO と Azure AD を SAML により連携する方法を紹介します。 2023.3.21 追記 AWS IAM Identity Center 版を新しく書きました。 構成と全体の流れ 設定する構成と作業の流れを示します。 ユーザ/グループの属性情報の同期は SCIM による自動同期を採用しています。 構成図 全体の流れ SAML の
AWS SSO を設定し AWS Organizations 管理のメンバーアカウントへサインインするまでの全体の流れを把握してみる | DevelopersIO
AWS SSO を設定し AWS Organizations 管理のメンバーアカウントへサインインするまでの全体の流れを把握してみる AWS SSO の設定を有効化し AWS Organizations 管理しているメンバーアカウントへサインインまでの流れを整理しました。 本記事で学べること 以下の設定手順を画面キャプチャをベースに設定の流れを把握できるように紹介します。 AWS SSO の標準の ID ストアでサインインするユーザーの管理 サインインするユーザーには MFA デバイスの登録を強制 ユーザー、グループの作成 アクセス許可セットの概要 AWS Organizations の管理下のメンバーアカウントへのサインイン・アクセス権限設定 基本設定 AWS SSO を有効化します。AWS SSO 標準の ID ストアを使ってユーザー管理を行い、合わせてユーザーが初回ログイン時に MF
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
入社後にAWSアカウントの整理とAWS SSOを導入した話 - トレタ開発者ブログ
AWS SSOを図解してみた | DevelopersIO
AWS SSOを活用して安全かつ効率的にAWSへアクセスする - NRIネットコムBlog
AWS SSOでセキュアな管理とコスト削減 不正アクセス・サービス停止乗り越えたマルチアカウント対策
The SSO Wall of Shame
「パスワード」を複雑にしても無意味、多要素認証とSSOが課題を解決
AWS SSOのIDソースをAD Connectorにしました - ヤマムギ
AWS SSOで直接AWSアカウントのManagement Consoleを開く - so what
OAuth vs SAML vs OpenID Connect vs SSO それぞれの違い。
AWS、AWS SSOとOktaによるエンドツーエンドのABAC構築の利点およびその方法を解説
AWS SSOがMFAアプリを使用した多要素認証に対応しました! | DevelopersIO
AWS SSOの利用と権限セットの設計の考え方 - NRIネットコムBlog
AWS SSO で委任された管理者アカウントを設定しよう - Qiita
IAMロールを使用して一時クレデンシャルを使用する(AWS SSOは使用しない) - NRIネットコムBlog
ログイン認証の混乱(1) ~パスワード認証とSSO~ - 叡智の三猿
【図解】初心者にも分かるKerberos認証とspnegoの仕組み ~SSOのシーケンス,統合windows認証について~
TerraformをAWS SSOのユーザーの権限で実行する | DevelopersIO
AWS SSO を活用しているなら aws-sso-util を使おう
シングルサインオン(SSO)の選び方と仕組みの解説 | アシスト