Upgrade to Pro — share decks privately, control downloads, hide ads and more …

シングルサインオンを導入したら運用がこんなに楽になった!

Avatar for tockey tockey
March 01, 2025
Technology
0
200

 シングルサインオンを導入したら運用がこんなに楽になった!

2025-03-01
JAWS DAYS 2025

Avatar for tockey

tockey

March 01, 2025
Tweet

More Decks by tockey

See All by tockey
とってよかったAWS SAP
Avatar for tockey tockey
0
22
パスワードレス認証 パスキーのすべて
Avatar for tockey tockey
0
36
コミット履歴キレイですか / clean up commit logs
Avatar for tockey tockey
0
5.8k

Other Decks in Technology

See All in Technology
Node vs Deno vs Bun 〜推しランタイムを見つけよう〜
Avatar for すずとも kamekyame
1
330
旬のブリと旬の技術で楽しむ AI エージェント設計開発レシピ
Avatar for Akira Inoue chack411
1
130
Cloud WAN MCP Serverから考える新しいネットワーク運用 / 20251228 Masaki Okuda
Avatar for SHIFT EVOLVE shift_evolve
PRO
0
140
松尾研LLM講座2025 応用編Day3「軽量化」 講義資料
Avatar for Aratako aratako
15
4.9k
Oracle Database@Google Cloud:サービス概要のご紹介
Avatar for oracle4engineer oracle4engineer
PRO
1
840
Redshift認可、アップデートでどう変わった?
Avatar for daiki.handa handy
1
130
2025年 山梨の技術コミュニティを振り返る
Avatar for しみず ゆうき yuukis
0
150
2025年の医用画像AI/AI×medical_imaging_in_2025_generated_by_AI
Avatar for YoshihiroTodoroki tdys13
0
310
スクラムマスターが
スクラムチームに入って取り組む5つのこと
- スクラムガイドには書いてないけど入った当初から取り組んでおきたい大切なこと -
Avatar for scrummasudar scrummasudar
1
1.7k
チームで安全にClaude Codeを利用するためのプラクティス / team-claude-code-practices
Avatar for tomoki10 tomoki10
6
2.8k
AIと融ける人間の冒険
Avatar for pujisi pujisi
0
110
Bill One 開発エンジニア 紹介資料
Avatar for Sansan, Inc. sansan33
PRO
4
17k

Featured

See All Featured
Six Lessons from altMBA
Avatar for Skipper Chong Warson skipperchong
29
4.1k
Building the Perfect Custom Keyboard
Avatar for Naoto Takai takai
2
670
The MySQL Ecosystem @ GitHub 2015
Avatar for Sam Lambert samlambert
251
13k
It's Worth the Effort
Avatar for 3n 3n
187
29k
RailsConf 2023
Avatar for Aaron Patterson tenderlove
30
1.3k
16th Malabo Montpellier Forum Presentation
Avatar for AKADEMIYA2063 akademiya2063
PRO
0
37
Reality Check: Gamification 10 Years Later
Avatar for Sebastian Deterding codingconduct
0
2k
The State of eCommerce SEO: How to Win in Today's Products SERPs - #SEOweek
Avatar for Aleyda Solis aleyda
2
9.3k
Design of three-dimensional binary manipulators for pick-and-place task avoiding obstacles (IECON2024)
Avatar for konakalab konakalab
0
330
AI Search: Implications for SEO and How to Move Forward - #ShenzhenSEOConference
Avatar for Aleyda Solis aleyda
1
1.1k
Dealing with People You Can't Stand - Big Design 2015
Avatar for Cassini Nazir cassininazir
367
27k
Build The Right Thing And Hit Your Dates
Avatar for Maggie C. maggiecrowley
38
3k

Transcript

  1. シングルサインオンを導入したら運用がこんなに楽になった! ENECHANGE株式会社 CTO室 常盤匠 ハッシュタグ:#jawsdays2025 #jawsug #jawsdays2025_b

  2. ▪名前 常盤 匠(ときわ たくみ) ▪所属 ENECHANGE株式会社 - 2021/11~ バックエンドエンジニア -

    2024/10~ CTO室に異動 インフラ・SRE 開発事業部への技術支援を担当 ▪好きなもの インテリア 自己紹介 ハッシュタグ:#jawsdays2025 #jawsug #jawsdays2025_b

  3. 1. なぜシングルサインオンの導入を 2. 導入までの道のり 3. 導入して楽になったこと 4. 今後進めること こんな話をします ハッシュタグ:#jawsdays2025

    #jawsug #jawsdays2025_b

  4. なぜシングルサインオンの導入を? ハッシュタグ:#jawsdays2025 #jawsug #jawsdays2025_b

  5. ついにマルチアカウントに • 本番環境と非本番環境、そして様々な部署のプロダクトを1つのアカウントに 集約していた • AWS Well-Architected フレームワークに則り、部署や本番・非本番のアカウ ントを分けるプロジェクトが進行した •

    マルチアカウント環境でもAWS操作の体験を損なうことなく運用するためにシ ングルサインオンの導入も進めることに ハッシュタグ:#jawsdays2025 #jawsug #jawsdays2025_b ←本番 ←stg ←dev 別部署本番→ 別部署dev1→ 別部署dev2→

  6. AWS IAM Identity Center • ユーザーを一度作成すると、複数のAWSアカウントやアプリケーションへのア クセスを一元管理できる • ユーザーID を直接作成することも、Microsoft

    Entra ID などの既存の ID ソー スを接続することもできる • AWS Organizationとの統合でマルチアカウントへシングルサインオンを簡単 に実現できる ハッシュタグ:#jawsdays2025 #jawsug #jawsdays2025_b

  7. 導入までの道のり ハッシュタグ:#jawsdays2025 #jawsug #jawsdays2025_b

  8. IDソースの選定 Microsoft Entra IDを採用 ハッシュタグ:#jawsdays2025 #jawsug #jawsdays2025_b IAM Identity Center

    SAML連携 Entra ID ユーザー 部署や契約形態を問わず会社全体で統一的なIDとして運用されていて、CTO室にも 権限があったため

  9. SCIM(System for Cross-domain Identity Management) 自動プロビジョニングの有効化 ハッシュタグ:#jawsdays2025 #jawsug #jawsdays2025_b 自動で作成・同期

    Entra ID ユーザー Entra IDのユーザー情報からIAM Identity Centerのユーザーリソースを自動で作 成・同期 IAM Identity Center

  10. 許可セットの運用方法の策定 既存のIAMロールの権限を踏襲 ハッシュタグ:#jawsdays2025 #jawsug #jawsdays2025_b 今まで IAMユーザー プロダクトA 許可セット これから

    Identity Center ユーザー 本番アカウント 非本番アカウント admin プロダクトB プロダクトA プロダクトB プロダクトC IAMロール

  11. ABAC(属性ベースのアクセスコントロール) ABACは採用が難しかった ハッシュタグ:#jawsdays2025 #jawsug #jawsdays2025_b ABAC=ユーザーの属性値に基づいてアクセスをコントロールする Identity Center ユーザー 組織

    aaa 部署 bbb チーム ccc ユーザータイプ ddd 1. 設計が難しい 2. 運用に耐えるように属性情報を一から つけていくのは非常に大変 3. メンテナンスコストがそこそこ大きい

  12. 適用後のログインのフロー ハッシュタグ:#jawsdays2025 #jawsug #jawsdays2025_b 1. Entra IDの id/pass/MFAを求 められる 2.アクセスポー

    タルへログイン 3.ロールを選択し対 象アカウントへログ インできる

  13. 導入して楽になったこと ハッシュタグ:#jawsdays2025 #jawsug #jawsdays2025_b

  14. 得られたメリット ▪マルチアカウントでもログインが簡単に 開発者が異なるIAMユーザーを管理することなく、ログインが簡単に ▪IAMユーザーの管理から解き放たれた 過去経緯によりIAMユーザーの作成が特定のメンバーしかできない状況であった 外部IdPをIDソースにすることで複数アカウントのIAMユーザー作成の手間が大幅 に軽減された ▪IAMユーザー(開発者)のアクセスキー・シークレットキーが不要に AWS CLIの利用においても外部IdPの認証があるため、AWSでユーザーごとの秘匿

    キーが不要になった ロール引き受けのprofile設定は aws configure sso で可能 ハッシュタグ:#jawsdays2025 #jawsug #jawsdays2025_b

  15. 今後進めること ハッシュタグ:#jawsdays2025 #jawsug #jawsdays2025_b

  16. 今後進めること 開発事業部に運用してもらい適宜チューニングを 最適化 ハッシュタグ:#jawsdays2025 #jawsug #jawsdays2025_b 許可セット Identity Center ユーザー

    本番アカウント 非本番アカウント admin プロダクトB プロダクトA

  17. • 予防的統制・検知 ◦ Control Tower ◦ Organization SCP ◦ Config

    ◦ Security Hub ◦ etc... 今後進めること AWS Organization を最大限に活用 ハッシュタグ:#jawsdays2025 #jawsug #jawsdays2025_b やることはまだまだたくさんある!!!

  18. まとめ ハッシュタグ:#jawsdays2025 #jawsug #jawsdays2025_b

  19. シングルサインオンを導入したら運用がこんなに楽になった! • マルチアカウントでシングルサインオンの実現 ◦ IAM管理・ログインが簡単に • 導入に至るまでの判断ポイント ◦ IDソース ◦

    SCIM ◦ 許可セット ◦ ABAC • 今後進めること ◦ 運用最適化 ◦ AWS Organization をフル活用する まとめ ハッシュタグ:#jawsdays2025 #jawsug #jawsdays2025_b
  20. None