ラボの概要
このラボでは、Active Directory ユーザーとグループに AWS マネジメントコンソールへのアクセスを許可する AWS ID およびアクセス管理 (IAM) を使用して Active Directory フェデレーションサービス (AD FS) を設定するプロセスを順を追って説明します。Security Assertion Markup Language (SAML) の AWS サポートを使用します。こちらは多くの ID プロバイダー (IdP) が使用するオープンスタンダードです。この機能により、フェデレーションシングルサインオン (SSO) が有効になり、ユーザーはコンソールにサインインしたり、AD FS などの SAML 対応 IdP からのアサーションを使用して AWS アプリケーションプログラミングインターフェイス (API) をプログラムで呼び出したりできます。ID フェデレーションを使えば、IAM ユーザーを作成しなくても、AWS アカウントのリソースに対する安全なアクセス権が外部のアイデンティティつまりフェデレーションユーザーに付与されます。
重要 このラボでは、AWS システムマネージャーの機能であるフリートマネージャーリモートデスクトップを使用して、Windows ベースの Amazon Elastic Compute Cloud (Amazon EC2) インスタンスに接続します。このラボの執筆時点では、Fleet Manager リモートデスクトップは、Google Chrome などの Chromium ベースのウェブブラウザでのみ、ローカルコンピュータとの双方向のコピーアンドペーストをサポートしています。
別の Web ブラウザを使用する場合でも、ラボを完了することはできますが、ラボの指示からテキストをコピーして RDP セッションに貼り付けることはできません。
目標
このラボを終了すると、次のことができるようになります。
- Windows サーバーに AD FS をインストールして構成します。
- 既存の Active Directory サーバーを使用して AWS マネジメントコンソールへのフェデレーションアクセスを有効にします。
- IAM で新しいロールを作成し、フェデレーテッドユーザーにマッピングする。
- フェデレーテッドユーザーに AWS マネジメントコンソールへのアクセスを許可する。
技術知識の前提条件
このラボを無事に修了するには、基本的な Windows Server 管理に精通しているだけでなく、フェデレーテッド ID と IdP 全般、SAML、ライトウェイトディレクトリアクセスプロトコル (LDAP)、Active Directory、IAM のテクニックに精通し、概念的にもしっかりしている必要があります。
所要時間
このラボの所要時間は約 60 分です。
注: Start Lab を選択すると、環境がデプロイされるまでに約 10 分かかります。
アイコンキー
このラボでは、さまざまな種類の手順と注記への注意を促すため、各種アイコンが使用されています。以下のリストは、各アイコンの目的を説明したものです。
- コマンド: 実行する必要があるコマンドを表す。
- 想定される出力: 出力のサンプルであり、コマンドまたは編集済みファイルの出力を確認するときに使用する。
- 注意: ヒントや重要なガイダンス。
- タスク完了: ラボのまとめや要点を示す。