本記事では、OneLoginからAWSへのSAML シングルサインオン(SSO)の設定手順をご案内します。
目次
前提条件
- OneLoginのライセンスが Starter, Enterprise, Unlimited または SSO, Advanced, Professional(新料金体系)のいずれかであること
- OneLoginの Super User または Account Owner 権限を持つアカウントを所有していること
- Amazon Web Servicesにおけるルートユーザー 権限をお持ちであること
SAML連携の設定
1. OneLogin側の操作
- OneLoginに管理者でログインし、[管理]をクリックします
-
Applications メニューから[Applications]を選択します
- [Add App]をクリックします
-
Amazon Web Services と検索し、SAML2.0 のコネクタを選択します
- [Save]をクリックします
-
More Actions > SAML Metadata を選択します
2. AWS側の設定
- Amazon Web Servicesにルートユーザーとしてログインします
-
IAM と検索し、該当サービスを選択します
-
IDプロバイダ を選択します
- [プロバイダを追加]をクリックします
- プロバイダのタイプで SAML が選択されていることを確認します
- 任意の プロバイダ名 を入力します
-
メタデータドキュメント に OneLogin側の操作 手順6 で取得した
onelogin_metadata_xxxxxxx.xml
をアップロードします
- [プロバイダを追加]をクリックします
- [ロールの割り当て]をクリックします
-
新しいロールを作成 を選択し、[次へ]をクリックします
- 信頼されたエンティティタイプで SAML 2.0 フェデレーション が選択されていることを確認します
-
SAML 2.0 ベースのプロバイダー に、2. AWS側の設定 手順8 で作成したプロバイダが選択されていることを確認します
- [次へ]をクリックします
- 任意の ポリシー を適宜設定し、[次へ]をクリックします
- 任意の ロール名 を入力します
- [ロールを作成]をクリックします
- 作成したロール名を検索して選択します
-
ARN をクリップボードへコピーします
- アクセス管理 > ID プロバイダ を選択します
-
2. AWS側の設定 手順8 で作成したプロバイダを選択します
-
ARN をクリップボードへコピーします
3. OneLogin側の設定
-
Parameters タブに移動し、Role フィールドを選択します
-
Value から - Macro - を選択し、
2. AWS側の設定 手順18で取得した ロールARN,2. AWS側の設定 手順21で取得した 信頼されたエンティティを入力します例) arn:aws:iam::111111111111:role/OneLogin_Admin_SSO,arn:aws:iam::111111111111:saml-provider/OneLoginSingleRole - [Save]をクリックします
-
Access タブに移動し、割り当てたいユーザーが属するロールを選択後、[Save]をクリックします
SAML連携の設定は以上です。
SAML SSOの動作確認
- OneLoginに対象ユーザーでログインし、設定した Amazon Web Services (AWS) を選択します
- SAML認証が完了し、AWSにSSOされることを確認します
SAML SSOの動作確認は以上です。
SAML SSOの無効化
- Amazon Web Servicesにルートユーザーとしてログインします
- 検索欄から IAM と検索し、IAM を選択します
-
IDプロバイダ を選択します
-
2. AWS側の設定 手順8 で作成したプロバイダを選択します
- [削除]をクリックします
-
確認 と入力し、[削除]をクリックします
-
ID プロバイダが削除されました と表示されることを確認します
SAML SSOの無効化は以上です。