Upgrade to Pro — share decks privately, control downloads, hide ads and more …

シングルサインオンを導入したら運用がこんなに楽になった!

Avatar for tockey tockey
March 01, 2025
Technology
220
0

 シングルサインオンを導入したら運用がこんなに楽になった!

2025-03-01
JAWS DAYS 2025

Avatar for tockey

tockey

March 01, 2025

More Decks by tockey

See All by tockey
CloudWatchカスタムメトリクスで実現するコードカバレッジの継続的モニタリング
Avatar for tockey tockey
0
52
とってよかったAWS SAP
Avatar for tockey tockey
0
41
パスワードレス認証 パスキーのすべて
Avatar for tockey tockey
0
54
コミット履歴キレイですか / clean up commit logs
Avatar for tockey tockey
0
5.9k

Other Decks in Technology

See All in Technology
Kiro Meetup #7 Kiro アップデート (2025/12/15〜2026/3/20)
Avatar for Katz Ueno katzueno
2
270
Embeddings : Symfony AI en pratique
Avatar for Grégoire Pineau lyrixx
0
430
私がよく使うMCPサーバー3選と社内で安全に活用する方法
Avatar for KintoTech_Dev kintotechdev
0
150
AgentCoreとLINEを使った飲食店おすすめアプリを作ってみた
Avatar for やくも yakumo
2
270
AIにより大幅に強化された AWS Transform Customを触ってみる
Avatar for arap / 0air 0air
0
230
BFCacheを活用して無限スクロールのUX を改善した話
Avatar for Ryuya Yanagi apple_yagi
0
130
ThetaOS - A Mythical Machine comes Alive
Avatar for Martijn aslander
0
230
OCI技術資料 : ロード・バランサ 概要 - FLB・NLB共通
Avatar for Oracle Cloud Infrastructure ソリューション・エンジニア ocise
4
27k
パワポ作るマンをMCP Apps化してみた
Avatar for iwamot iwamot
PRO
0
250
昔話で振り返るAWSの歩み ~S3誕生から20年、クラウドはどう進化したのか~
Avatar for NRI Netcom nrinetcom
PRO
0
120
サイボウズ 開発本部採用ピッチ / Cybozu Engineer Recruit
Avatar for Cybozu cybozuinsideout
PRO
10
77k
Physical AI on AWS リファレンスアーキテクチャ / Physical AI on AWS Reference Architecture
Avatar for shota aws_shota
1
200

Featured

See All Featured
Design in an AI World
Avatar for tapps tapps
0
180
Noah Learner - AI + Me: how we built a GSC Bulk Export data pipeline
Avatar for Tech SEO Connect techseoconnect
PRO
0
150
Large-scale JavaScript Application Architecture
Avatar for Addy Osmani addyosmani
515
110k
Ten Tips & Tricks for a 🌱 transition
Avatar for Manu Carrasco Molina stuffmc
0
93
Deep Space Network (abreviated)
Avatar for Tony Rice tonyrice
0
97
Mozcon NYC 2025: Stop Losing SEO Traffic
Avatar for Sam Torres samtorres
0
190
The MySQL Ecosystem @ GitHub 2015
Avatar for Sam Lambert samlambert
251
13k
Agile Actions for Facilitating Distributed Teams - ADO2019
Avatar for Mark Kilby mkilby
0
160
How To Stay Up To Date on Web Technology
Avatar for Chris Coyier chriscoyier
790
250k
Distributed Sagas: A Protocol for Coordinating Microservices
Avatar for Caitie McCaffrey caitiem20
333
22k
Helping Users Find Their Own Way: Creating Modern Search Experiences
Avatar for Dan Newman danielanewman
31
3.1k
Paper Plane
Avatar for Katie Cordina Lindsey katiecoart
PRO
0
48k

Transcript

  1. シングルサインオンを導入したら運用がこんなに楽になった! ENECHANGE株式会社 CTO室 常盤匠 ハッシュタグ:#jawsdays2025 #jawsug #jawsdays2025_b

  2. ▪名前 常盤 匠(ときわ たくみ) ▪所属 ENECHANGE株式会社 - 2021/11~ バックエンドエンジニア -

    2024/10~ CTO室に異動 インフラ・SRE 開発事業部への技術支援を担当 ▪好きなもの インテリア 自己紹介 ハッシュタグ:#jawsdays2025 #jawsug #jawsdays2025_b

  3. 1. なぜシングルサインオンの導入を 2. 導入までの道のり 3. 導入して楽になったこと 4. 今後進めること こんな話をします ハッシュタグ:#jawsdays2025

    #jawsug #jawsdays2025_b

  4. なぜシングルサインオンの導入を? ハッシュタグ:#jawsdays2025 #jawsug #jawsdays2025_b

  5. ついにマルチアカウントに • 本番環境と非本番環境、そして様々な部署のプロダクトを1つのアカウントに 集約していた • AWS Well-Architected フレームワークに則り、部署や本番・非本番のアカウ ントを分けるプロジェクトが進行した •

    マルチアカウント環境でもAWS操作の体験を損なうことなく運用するためにシ ングルサインオンの導入も進めることに ハッシュタグ:#jawsdays2025 #jawsug #jawsdays2025_b ←本番 ←stg ←dev 別部署本番→ 別部署dev1→ 別部署dev2→

  6. AWS IAM Identity Center • ユーザーを一度作成すると、複数のAWSアカウントやアプリケーションへのア クセスを一元管理できる • ユーザーID を直接作成することも、Microsoft

    Entra ID などの既存の ID ソー スを接続することもできる • AWS Organizationとの統合でマルチアカウントへシングルサインオンを簡単 に実現できる ハッシュタグ:#jawsdays2025 #jawsug #jawsdays2025_b

  7. 導入までの道のり ハッシュタグ:#jawsdays2025 #jawsug #jawsdays2025_b

  8. IDソースの選定 Microsoft Entra IDを採用 ハッシュタグ:#jawsdays2025 #jawsug #jawsdays2025_b IAM Identity Center

    SAML連携 Entra ID ユーザー 部署や契約形態を問わず会社全体で統一的なIDとして運用されていて、CTO室にも 権限があったため

  9. SCIM(System for Cross-domain Identity Management) 自動プロビジョニングの有効化 ハッシュタグ:#jawsdays2025 #jawsug #jawsdays2025_b 自動で作成・同期

    Entra ID ユーザー Entra IDのユーザー情報からIAM Identity Centerのユーザーリソースを自動で作 成・同期 IAM Identity Center

  10. 許可セットの運用方法の策定 既存のIAMロールの権限を踏襲 ハッシュタグ:#jawsdays2025 #jawsug #jawsdays2025_b 今まで IAMユーザー プロダクトA 許可セット これから

    Identity Center ユーザー 本番アカウント 非本番アカウント admin プロダクトB プロダクトA プロダクトB プロダクトC IAMロール

  11. ABAC(属性ベースのアクセスコントロール) ABACは採用が難しかった ハッシュタグ:#jawsdays2025 #jawsug #jawsdays2025_b ABAC=ユーザーの属性値に基づいてアクセスをコントロールする Identity Center ユーザー 組織

    aaa 部署 bbb チーム ccc ユーザータイプ ddd 1. 設計が難しい 2. 運用に耐えるように属性情報を一から つけていくのは非常に大変 3. メンテナンスコストがそこそこ大きい

  12. 適用後のログインのフロー ハッシュタグ:#jawsdays2025 #jawsug #jawsdays2025_b 1. Entra IDの id/pass/MFAを求 められる 2.アクセスポー

    タルへログイン 3.ロールを選択し対 象アカウントへログ インできる

  13. 導入して楽になったこと ハッシュタグ:#jawsdays2025 #jawsug #jawsdays2025_b

  14. 得られたメリット ▪マルチアカウントでもログインが簡単に 開発者が異なるIAMユーザーを管理することなく、ログインが簡単に ▪IAMユーザーの管理から解き放たれた 過去経緯によりIAMユーザーの作成が特定のメンバーしかできない状況であった 外部IdPをIDソースにすることで複数アカウントのIAMユーザー作成の手間が大幅 に軽減された ▪IAMユーザー(開発者)のアクセスキー・シークレットキーが不要に AWS CLIの利用においても外部IdPの認証があるため、AWSでユーザーごとの秘匿

    キーが不要になった ロール引き受けのprofile設定は aws configure sso で可能 ハッシュタグ:#jawsdays2025 #jawsug #jawsdays2025_b

  15. 今後進めること ハッシュタグ:#jawsdays2025 #jawsug #jawsdays2025_b

  16. 今後進めること 開発事業部に運用してもらい適宜チューニングを 最適化 ハッシュタグ:#jawsdays2025 #jawsug #jawsdays2025_b 許可セット Identity Center ユーザー

    本番アカウント 非本番アカウント admin プロダクトB プロダクトA

  17. • 予防的統制・検知 ◦ Control Tower ◦ Organization SCP ◦ Config

    ◦ Security Hub ◦ etc... 今後進めること AWS Organization を最大限に活用 ハッシュタグ:#jawsdays2025 #jawsug #jawsdays2025_b やることはまだまだたくさんある!!!

  18. まとめ ハッシュタグ:#jawsdays2025 #jawsug #jawsdays2025_b

  19. シングルサインオンを導入したら運用がこんなに楽になった! • マルチアカウントでシングルサインオンの実現 ◦ IAM管理・ログインが簡単に • 導入に至るまでの判断ポイント ◦ IDソース ◦

    SCIM ◦ 許可セット ◦ ABAC • 今後進めること ◦ 運用最適化 ◦ AWS Organization をフル活用する まとめ ハッシュタグ:#jawsdays2025 #jawsug #jawsdays2025_b
  20. None