Upgrade to Pro — share decks privately, control downloads, hide ads and more …

シングルサインオンを導入したら運用がこんなに楽になった!

Avatar for tockey tockey
March 01, 2025
Technology
0
160

 シングルサインオンを導入したら運用がこんなに楽になった!

2025-03-01
JAWS DAYS 2025

Avatar for tockey

tockey

March 01, 2025
Tweet

More Decks by tockey

See All by tockey
パスワードレス認証 パスキーのすべて
Avatar for tockey tockey
0
20
コミット履歴キレイですか / clean up commit logs
Avatar for tockey tockey
0
5.7k

Other Decks in Technology

See All in Technology
なぜSaaSがMCPサーバーをサービス提供するのか?
Avatar for SansanTech sansantech
PRO
8
2.8k
250905 大吉祥寺.pm 2025 前夜祭 「プログラミングに出会って20年、『今』が1番楽しい」
Avatar for Masaya Kudo msykd
PRO
1
820
KotlinConf 2025_イベントレポート
Avatar for ソニー株式会社 sony
1
130
「全員プロダクトマネージャー」を実現する、Cursorによる仕様検討の自動運転
Avatar for Michiru Kato applism118
21
10k
自作JSエンジンに推しプロポーザルを実装したい!
Avatar for Saji sajikix
1
170
オブザーバビリティが広げる AIOps の世界 / The World of AIOps Expanded by Observability
Avatar for Kento Kimura aoto
PRO
0
370
Terraformで構築する セルフサービス型データプラットフォーム / terraform-self-service-data-platform
Avatar for pei0804 pei0804
1
170
5分でカオスエンジニアリングを分かった気になろう
Avatar for Aja9tochin pandayumi
0
240
Generative AI Japan 第一回生成AI実践研究会「AI駆動開発の現在地──ブレイクスルーの鍵を握るのはデータ領域」
Avatar for KoheiOgawa shisyu_gaku
0
160
開発者を支える Internal Developer Portal のイマとコレカラ / To-day and To-morrow of Internal Developer Portals: Supporting Developers
Avatar for Kento Kimura aoto
PRO
1
460
「Linux」という言葉が指すもの
Avatar for Satoru Takeuchi sat
PRO
4
130
要件定義・デザインフェーズでもAIを活用して、コミュニケーションの密度を高める
Avatar for KazukiHayase kazukihayase
0
110

Featured

See All Featured
How STYLIGHT went responsive
Avatar for nonsquared nonsquared
100
5.8k
Helping Users Find Their Own Way: Creating Modern Search Experiences
Avatar for Dan Newman danielanewman
29
2.9k
Fireside Chat
Avatar for paigeccino paigeccino
39
3.6k
Making Projects Easy
Avatar for Brett Harned brettharned
117
6.4k
The MySQL Ecosystem @ GitHub 2015
Avatar for Sam Lambert samlambert
251
13k
jQuery: Nuts, Bolts and Bling
Avatar for Doug Neiner dougneiner
64
7.9k
No one is an island. Learnings from fostering a developers community.
Avatar for Antonio thoeni
21
3.4k
Build The Right Thing And Hit Your Dates
Avatar for Maggie C. maggiecrowley
37
2.9k
Rebuilding a faster, lazier Slack
Avatar for samanthasiow samanthasiow
83
9.2k
RailsConf & Balkan Ruby 2019: The Past, Present, and Future of Rails at GitHub
Avatar for Eileen M. Uchitelle eileencodes
139
34k
VelocityConf: Rendering Performance Case Studies
Avatar for Addy Osmani addyosmani
332
24k
CoffeeScript is Beautiful & I Never Want to Write Plain JavaScript Again
Avatar for Sam Stephenson sstephenson
162
15k

Transcript

  1. シングルサインオンを導入したら運用がこんなに楽になった! ENECHANGE株式会社 CTO室 常盤匠 ハッシュタグ:#jawsdays2025 #jawsug #jawsdays2025_b

  2. ▪名前 常盤 匠(ときわ たくみ) ▪所属 ENECHANGE株式会社 - 2021/11~ バックエンドエンジニア -

    2024/10~ CTO室に異動 インフラ・SRE 開発事業部への技術支援を担当 ▪好きなもの インテリア 自己紹介 ハッシュタグ:#jawsdays2025 #jawsug #jawsdays2025_b

  3. 1. なぜシングルサインオンの導入を 2. 導入までの道のり 3. 導入して楽になったこと 4. 今後進めること こんな話をします ハッシュタグ:#jawsdays2025

    #jawsug #jawsdays2025_b

  4. なぜシングルサインオンの導入を? ハッシュタグ:#jawsdays2025 #jawsug #jawsdays2025_b

  5. ついにマルチアカウントに • 本番環境と非本番環境、そして様々な部署のプロダクトを1つのアカウントに 集約していた • AWS Well-Architected フレームワークに則り、部署や本番・非本番のアカウ ントを分けるプロジェクトが進行した •

    マルチアカウント環境でもAWS操作の体験を損なうことなく運用するためにシ ングルサインオンの導入も進めることに ハッシュタグ:#jawsdays2025 #jawsug #jawsdays2025_b ←本番 ←stg ←dev 別部署本番→ 別部署dev1→ 別部署dev2→

  6. AWS IAM Identity Center • ユーザーを一度作成すると、複数のAWSアカウントやアプリケーションへのア クセスを一元管理できる • ユーザーID を直接作成することも、Microsoft

    Entra ID などの既存の ID ソー スを接続することもできる • AWS Organizationとの統合でマルチアカウントへシングルサインオンを簡単 に実現できる ハッシュタグ:#jawsdays2025 #jawsug #jawsdays2025_b

  7. 導入までの道のり ハッシュタグ:#jawsdays2025 #jawsug #jawsdays2025_b

  8. IDソースの選定 Microsoft Entra IDを採用 ハッシュタグ:#jawsdays2025 #jawsug #jawsdays2025_b IAM Identity Center

    SAML連携 Entra ID ユーザー 部署や契約形態を問わず会社全体で統一的なIDとして運用されていて、CTO室にも 権限があったため

  9. SCIM(System for Cross-domain Identity Management) 自動プロビジョニングの有効化 ハッシュタグ:#jawsdays2025 #jawsug #jawsdays2025_b 自動で作成・同期

    Entra ID ユーザー Entra IDのユーザー情報からIAM Identity Centerのユーザーリソースを自動で作 成・同期 IAM Identity Center

  10. 許可セットの運用方法の策定 既存のIAMロールの権限を踏襲 ハッシュタグ:#jawsdays2025 #jawsug #jawsdays2025_b 今まで IAMユーザー プロダクトA 許可セット これから

    Identity Center ユーザー 本番アカウント 非本番アカウント admin プロダクトB プロダクトA プロダクトB プロダクトC IAMロール

  11. ABAC(属性ベースのアクセスコントロール) ABACは採用が難しかった ハッシュタグ:#jawsdays2025 #jawsug #jawsdays2025_b ABAC=ユーザーの属性値に基づいてアクセスをコントロールする Identity Center ユーザー 組織

    aaa 部署 bbb チーム ccc ユーザータイプ ddd 1. 設計が難しい 2. 運用に耐えるように属性情報を一から つけていくのは非常に大変 3. メンテナンスコストがそこそこ大きい

  12. 適用後のログインのフロー ハッシュタグ:#jawsdays2025 #jawsug #jawsdays2025_b 1. Entra IDの id/pass/MFAを求 められる 2.アクセスポー

    タルへログイン 3.ロールを選択し対 象アカウントへログ インできる

  13. 導入して楽になったこと ハッシュタグ:#jawsdays2025 #jawsug #jawsdays2025_b

  14. 得られたメリット ▪マルチアカウントでもログインが簡単に 開発者が異なるIAMユーザーを管理することなく、ログインが簡単に ▪IAMユーザーの管理から解き放たれた 過去経緯によりIAMユーザーの作成が特定のメンバーしかできない状況であった 外部IdPをIDソースにすることで複数アカウントのIAMユーザー作成の手間が大幅 に軽減された ▪IAMユーザー(開発者)のアクセスキー・シークレットキーが不要に AWS CLIの利用においても外部IdPの認証があるため、AWSでユーザーごとの秘匿

    キーが不要になった ロール引き受けのprofile設定は aws configure sso で可能 ハッシュタグ:#jawsdays2025 #jawsug #jawsdays2025_b

  15. 今後進めること ハッシュタグ:#jawsdays2025 #jawsug #jawsdays2025_b

  16. 今後進めること 開発事業部に運用してもらい適宜チューニングを 最適化 ハッシュタグ:#jawsdays2025 #jawsug #jawsdays2025_b 許可セット Identity Center ユーザー

    本番アカウント 非本番アカウント admin プロダクトB プロダクトA

  17. • 予防的統制・検知 ◦ Control Tower ◦ Organization SCP ◦ Config

    ◦ Security Hub ◦ etc... 今後進めること AWS Organization を最大限に活用 ハッシュタグ:#jawsdays2025 #jawsug #jawsdays2025_b やることはまだまだたくさんある!!!

  18. まとめ ハッシュタグ:#jawsdays2025 #jawsug #jawsdays2025_b

  19. シングルサインオンを導入したら運用がこんなに楽になった! • マルチアカウントでシングルサインオンの実現 ◦ IAM管理・ログインが簡単に • 導入に至るまでの判断ポイント ◦ IDソース ◦

    SCIM ◦ 許可セット ◦ ABAC • 今後進めること ◦ 運用最適化 ◦ AWS Organization をフル活用する まとめ ハッシュタグ:#jawsdays2025 #jawsug #jawsdays2025_b
  20. None