Slide 1

Slide 1 text

AWS SSO でログインを簡単に 〜IAMユーザ管理をしたくない〜 生活協同組合コープさっぽろ デジタル推進本部 システム部 若松 剛志

Slide 2

Slide 2 text

Who am I ? 生活協同組合コープさっぽろ 
 デジタル推進本部 
 インフラチームリーダー 
 若松 剛志
 インフラエンジニア/マネージャー AWS Certified 12冠 SES会社→アイレット(cloudpack)→コープさっぽろ 秋田→新潟→東京→北海道 好きなサービス:Transit Gateway 好きな日本酒:喜久酔 @t_wkm2

Slide 3

Slide 3 text

ノリで北海道に移住しちゃいました! Who am I ?


Slide 4

Slide 4 text

@t_wkm2

Slide 5

Slide 5 text

コープさっぽろって何?

Slide 6

Slide 6 text

コープさっぽろって何? 生活共同組合の北海道版(札幌だけじゃない!)

Slide 7

Slide 7 text

コープさっぽろって何? 生活共同組合の北海道版(札幌だけじゃない!)

Slide 8

Slide 8 text

コープさっぽろって何? 生活共同組合の北海道版(札幌だけじゃない!)

Slide 9

Slide 9 text

コープさっぽろって何? 生活共同組合の北海道版(札幌だけじゃない!) 生活に関わることを いろいろやってます!!

Slide 10

Slide 10 text

ユーザがユーザの体験を作る ● ユーザ企業の中のユーザが作る側に回るのは価値がある ● デジタルの民主化、DXの種がここにある ● そんなコープのDXが紹介されている コープさっぽろDX(note)はこちら↓

Slide 11

Slide 11 text

Single Sign-On

Slide 12

Slide 12 text

Single Sign-On Wikipedia より シングルサインオン(英語:Single Sign-On、略称:SSO)は、一度 のユーザ認証処理によって独立した複数のソフトウェアシステム 上のリソースが利用可能になる特性である。 この特性によって、ユーザはシステムごとにユーザIDとパスワード の組を入力する必要がなくなる。

Slide 13

Slide 13 text

Single Sign-On Wikipedia より シングルサインオン(英語:Single Sign-On、略称:SSO)は、一度 のユーザ認証処理によって独立した複数のソフトウェアシステム 上のリソースが利用可能になる特性である。 この特性によって、ユーザはシステムごとにユーザIDとパスワード の組を入力する必要がなくなる。 つまり、1つのアカウント認証で いろんなサービス使えますよと

Slide 14

Slide 14 text

AWS Single Sign-On (SSO)

Slide 15

Slide 15 text

AWS Single Sign-On (SSO) AWSサービスの1つで、ユーザを一元管理し、AWSアカウントや 各種SaaSへのアクセスが可能 Client AWS SSO

Slide 16

Slide 16 text

コープさっぽろが AWS SSOを導入した理由

Slide 17

Slide 17 text

コープさっぽろがAWS SSOを導入した理由 ● とにかくAWSアカウントが多い ● いつも使ってるGoogleアカウントでログインしたい ● 多くの非システム部ユーザーがQuickSightを使いたい

Slide 18

Slide 18 text

コープさっぽろがAWS SSOを導入した理由 ● とにかくAWSアカウントが多い 今何アカウントあるっけ? とある メンバーY

Slide 19

Slide 19 text

コープさっぽろがAWS SSOを導入した理由 ● とにかくAWSアカウントが多い 今何アカウントあるっけ? 193 ひえっ とある メンバーY ※2022/2現在

Slide 20

Slide 20 text

コープさっぽろがAWS SSOを導入した理由 ● とにかくAWSアカウントが多い ○ AWSアカウントを以下のように切っている。 ■ システム単位 ■ 環境単位(本番、ステージング、開発) ○ 当然のようにアカウント数がめっちゃ増える

Slide 21

Slide 21 text

コープさっぽろがAWS SSOを導入した理由 ● いつも使ってるGoogleアカウントでログインしたい ○ コープさっぽろはGoogle Workspaceを中心に仕事をして いる ○ 当然IdpもGoogle Idpを利用したい ○ Google Idpを直接AWSアカウントにSAML連携すると管 理が煩雑すぎて頭がおかしくなる

Slide 22

Slide 22 text

コープさっぽろがAWS SSOを導入した理由 ● 多くの非システム部ユーザーがQuickSightを使いたい ○ QuickSightを店長に公開して売上の速報などを見せたい ○ 異動も多いのでアカウント管理が面倒 ○ 先の理由によりGoogle Idpを利用したい ○ 先の理由により頭がおry(

Slide 23

Slide 23 text

コープさっぽろの AWS SSO利用例

Slide 24

Slide 24 text

コープさっぽろのAWS SSO利用例 Google Idpと連携して以下のような構成としている Client AWS SSO Amazon QuickSight Google Idp AWS Management Console

Slide 25

Slide 25 text

コープさっぽろのAWS SSO利用例 AWSマネコンへのログイン手順 1. AWS SSOのポータルっぽい画面へGoogleアカウントでログ イン

Slide 26

Slide 26 text

コープさっぽろのAWS SSO利用例 AWSマネコンへのログイン手順 2. AWS SSOのポータル画面へログイン

Slide 27

Slide 27 text

コープさっぽろのAWS SSO利用例 AWSマネコンへのログイン手順 2. AWS SSOのポータル画面へログイン

Slide 28

Slide 28 text

コープさっぽろのAWS SSO利用例 AWSマネコンへのログイン手順 2. AWS SSOのポータル画面へログイン

Slide 29

Slide 29 text

コープさっぽろのAWS SSO利用例 AWSマネコンへのログイン手順 3. ロールを選んでログイン

Slide 30

Slide 30 text

コープさっぽろのAWS SSO利用例 AWSマネコンへのログイン手順 4. おなじみAWSマネージメントコンソールへ

Slide 31

Slide 31 text

コープさっぽろのAWS SSO利用例 QuickSightへのログイン手順 1. AWS SSOのポータルっぽい画面へGoogleアカウントでログ イン

Slide 32

Slide 32 text

コープさっぽろのAWS SSO利用例 QuickSightへのログイン手順 2. AWS SSOのポータル画面へログイン

Slide 33

Slide 33 text

コープさっぽろのAWS SSO利用例 AWSマネコンへのログイン手順 3. おなじみAWSマネージメントコンソールへ

Slide 34

Slide 34 text

めっちゃ楽

Slide 35

Slide 35 text

コープさっぽろのAWS SSO利用例 ここが便利だAWS SSO ● AWSログイン用スプシからの解放 ● IAMユーザー/QuickSightアカウント管理からの解放

Slide 36

Slide 36 text

コープさっぽろのAWS SSO利用例 ここが辛いよAWS SSO ● Google連携が正式にサポートされていない ● IAMロールの細かい機能が使えない ● OUが扱いづらい

Slide 37

Slide 37 text

Google連携が正式にサポートされていない ● awslabs/ssosync ○ AWS謹製GoogleSCIMツール ○ GitHubで公開されている (https://github.com/awslabs/ssosync) ○ Lambdaを定期実行してGoogle↔AWS SSOのユーザ同 期を行う ○ SAMテンプレートを含んでおり、簡単に展開可能

Slide 38

Slide 38 text

Google連携が正式にサポートされていない ● 定期実行 ● ログイン Client AWS SSO Amazon QuickSight Google Idp AWS SSO Google Idp AWS Lambda IDをコピー IDを取得 AWS Management Console

Slide 39

Slide 39 text

IAMロールの細かい機能が使えない AWS SSOだとIAMの Permission Boundaryとかカ スタマー管理ポリシーは使え なかったよ マジかよ ※2022/2現在 とある メンバーY

Slide 40

Slide 40 text

IAMロールの細かい機能が使えない ● IAMロールはAWS SSOから自動生成するしかない ● 自動生成されてIAMロールはイジれない ● カスタマー管理ポリシーは使えない ● Permission Boundaryは使えない

Slide 41

Slide 41 text

OUが扱いづらい ● AWSアカウントを扱うときはOU単位にしたい ● がしかし、権限付けがOU単位でできない ● それってどういうことか

Slide 42

Slide 42 text

OUが扱いづらい ● とにかくAWSアカウントが多い 何アカウントに権限必要? 193 ひえっ とある メンバーY ※2022/2現在

Slide 43

Slide 43 text

アップデート期待してます!

Slide 44

Slide 44 text

まとめ ● GoogleアカウントでAWSにログインしている ● ログインするだけならめっちゃ楽 ● IAM周りはもう少しこなれてほしい ● Google連携正式対応待ってます!

Slide 45

Slide 45 text

We are hiring !! コープさっぽろではエンジニアを募集しています!! 転職ついでに北海道移住最高ですよ!!