Upgrade to Pro — share decks privately, control downloads, hide ads and more …

シングルサインオンを導入したら運用がこんなに楽になった!

Avatar for tockey tockey
March 01, 2025
Technology
230
0

 シングルサインオンを導入したら運用がこんなに楽になった!

2025-03-01
JAWS DAYS 2025

Avatar for tockey

tockey

March 01, 2025

More Decks by tockey

See All by tockey
CloudWatchカスタムメトリクスで実現するコードカバレッジの継続的モニタリング
Avatar for tockey tockey
0
61
とってよかったAWS SAP
Avatar for tockey tockey
0
50
パスワードレス認証 パスキーのすべて
Avatar for tockey tockey
0
67
コミット履歴キレイですか / clean up commit logs
Avatar for tockey tockey
0
6k

Other Decks in Technology

See All in Technology
新卒エンジニア研修、ハンズオンの設計における課題と実践知/ #tachikawaany
Avatar for Ichiro Nishiuma nishiuma
2
140
世界の中心でApp Runnerを叫ぶ FINAL
Avatar for つくぼし tsukuboshi
0
260
ボトムアップの改善の火を灯し続けろ!〜支援現場で学んだ、消えないための3つの打ち手〜 / 20260509 Kazuki Mori
Avatar for SHIFT EVOLVE shift_evolve
PRO
2
640
自動テストだけで
リリース判断できるチームへ - 鍵はテストの量ではなくリリース判断基準の再設計にあった / Redesigning Release Criteria for Lightweight Releases
Avatar for えわ ewa
7
3.6k
Oracle Exadata Database Service on Cloud@Customer X11M (ExaDB-C@C) サービス概要
Avatar for oracle4engineer oracle4engineer
PRO
2
8k
エージェント時代の UIとAPI、CLI戦略
Avatar for coincheck coincheck_recruit
0
170
AI対話分析の夢と、汚いデータの現実 Looker / Dataplex / Dataform で実現する品質ファーストな基盤設計
Avatar for Yuta Ozaki waiwai2111
0
410
Digital Independence: Why, When and How
Avatar for Wannes Rams wannesrams
0
310
"うちにはまだ早い"は本当? ─ 小さく始めるPlatform Engineering入門
Avatar for Haruka Sakihara harukasakihara
5
490
AIが自律的に働く時代へ Amazon Quick で実現するAIエージェント紹介
Avatar for こーへい koheiyoshikawa
0
200
エンタープライズの厳格な制約を開発者に意識させない:クラウドネイティブ開発基盤設計/cloudnative-kaigi-golden-path
Avatar for みずほリサーチ&テクノロジーズ株式会社 先端技術研究部 mhrtech
0
390
知ってた?JavaScriptの"正しさ"を検証するテストが5万以上もあること(Test262)
Avatar for Riya Amemiya riyaamemiya
1
180

Featured

See All Featured
Automating Front-end Workflow
Avatar for Addy Osmani addyosmani
1370
200k
A Soul's Torment
Avatar for Nat Ma seathinner
6
2.8k
Believing is Seeing
Avatar for Spiro Bolos oripsolob
1
120
Taking LLMs out of the black box: A practical guide to human-in-the-loop distillation
Avatar for Ines Montani inesmontani
PRO
3
2.2k
Applied NLP in the Age of Generative AI
Avatar for Ines Montani inesmontani
PRO
4
2.2k
Speed Design
Avatar for Sergey Chernyshev sergeychernyshev
33
1.6k
Highjacked: Video Game Concept Design
Avatar for Ryan Kendrick rkendrick25
PRO
1
350
The Illustrated Children's Guide to Kubernetes
Avatar for Chris Short chrisshort
51
52k
The Cost Of JavaScript in 2023
Avatar for Addy Osmani addyosmani
55
9.9k
GraphQLとの向き合い方2022年版
Avatar for Yosuke Kurami quramy
50
15k
Neural Spatial Audio Processing for Sound Field Analysis and Control
Avatar for NII S. Koyama's Lab skoyamalab
0
290
Ethics towards AI in product and experience design
Avatar for Skipper Chong Warson skipperchong
2
270

Transcript

  1. シングルサインオンを導入したら運用がこんなに楽になった! ENECHANGE株式会社 CTO室 常盤匠 ハッシュタグ:#jawsdays2025 #jawsug #jawsdays2025_b

  2. ▪名前 常盤 匠(ときわ たくみ) ▪所属 ENECHANGE株式会社 - 2021/11~ バックエンドエンジニア -

    2024/10~ CTO室に異動 インフラ・SRE 開発事業部への技術支援を担当 ▪好きなもの インテリア 自己紹介 ハッシュタグ:#jawsdays2025 #jawsug #jawsdays2025_b

  3. 1. なぜシングルサインオンの導入を 2. 導入までの道のり 3. 導入して楽になったこと 4. 今後進めること こんな話をします ハッシュタグ:#jawsdays2025

    #jawsug #jawsdays2025_b

  4. なぜシングルサインオンの導入を? ハッシュタグ:#jawsdays2025 #jawsug #jawsdays2025_b

  5. ついにマルチアカウントに • 本番環境と非本番環境、そして様々な部署のプロダクトを1つのアカウントに 集約していた • AWS Well-Architected フレームワークに則り、部署や本番・非本番のアカウ ントを分けるプロジェクトが進行した •

    マルチアカウント環境でもAWS操作の体験を損なうことなく運用するためにシ ングルサインオンの導入も進めることに ハッシュタグ:#jawsdays2025 #jawsug #jawsdays2025_b ←本番 ←stg ←dev 別部署本番→ 別部署dev1→ 別部署dev2→

  6. AWS IAM Identity Center • ユーザーを一度作成すると、複数のAWSアカウントやアプリケーションへのア クセスを一元管理できる • ユーザーID を直接作成することも、Microsoft

    Entra ID などの既存の ID ソー スを接続することもできる • AWS Organizationとの統合でマルチアカウントへシングルサインオンを簡単 に実現できる ハッシュタグ:#jawsdays2025 #jawsug #jawsdays2025_b

  7. 導入までの道のり ハッシュタグ:#jawsdays2025 #jawsug #jawsdays2025_b

  8. IDソースの選定 Microsoft Entra IDを採用 ハッシュタグ:#jawsdays2025 #jawsug #jawsdays2025_b IAM Identity Center

    SAML連携 Entra ID ユーザー 部署や契約形態を問わず会社全体で統一的なIDとして運用されていて、CTO室にも 権限があったため

  9. SCIM(System for Cross-domain Identity Management) 自動プロビジョニングの有効化 ハッシュタグ:#jawsdays2025 #jawsug #jawsdays2025_b 自動で作成・同期

    Entra ID ユーザー Entra IDのユーザー情報からIAM Identity Centerのユーザーリソースを自動で作 成・同期 IAM Identity Center

  10. 許可セットの運用方法の策定 既存のIAMロールの権限を踏襲 ハッシュタグ:#jawsdays2025 #jawsug #jawsdays2025_b 今まで IAMユーザー プロダクトA 許可セット これから

    Identity Center ユーザー 本番アカウント 非本番アカウント admin プロダクトB プロダクトA プロダクトB プロダクトC IAMロール

  11. ABAC(属性ベースのアクセスコントロール) ABACは採用が難しかった ハッシュタグ:#jawsdays2025 #jawsug #jawsdays2025_b ABAC=ユーザーの属性値に基づいてアクセスをコントロールする Identity Center ユーザー 組織

    aaa 部署 bbb チーム ccc ユーザータイプ ddd 1. 設計が難しい 2. 運用に耐えるように属性情報を一から つけていくのは非常に大変 3. メンテナンスコストがそこそこ大きい

  12. 適用後のログインのフロー ハッシュタグ:#jawsdays2025 #jawsug #jawsdays2025_b 1. Entra IDの id/pass/MFAを求 められる 2.アクセスポー

    タルへログイン 3.ロールを選択し対 象アカウントへログ インできる

  13. 導入して楽になったこと ハッシュタグ:#jawsdays2025 #jawsug #jawsdays2025_b

  14. 得られたメリット ▪マルチアカウントでもログインが簡単に 開発者が異なるIAMユーザーを管理することなく、ログインが簡単に ▪IAMユーザーの管理から解き放たれた 過去経緯によりIAMユーザーの作成が特定のメンバーしかできない状況であった 外部IdPをIDソースにすることで複数アカウントのIAMユーザー作成の手間が大幅 に軽減された ▪IAMユーザー(開発者)のアクセスキー・シークレットキーが不要に AWS CLIの利用においても外部IdPの認証があるため、AWSでユーザーごとの秘匿

    キーが不要になった ロール引き受けのprofile設定は aws configure sso で可能 ハッシュタグ:#jawsdays2025 #jawsug #jawsdays2025_b

  15. 今後進めること ハッシュタグ:#jawsdays2025 #jawsug #jawsdays2025_b

  16. 今後進めること 開発事業部に運用してもらい適宜チューニングを 最適化 ハッシュタグ:#jawsdays2025 #jawsug #jawsdays2025_b 許可セット Identity Center ユーザー

    本番アカウント 非本番アカウント admin プロダクトB プロダクトA

  17. • 予防的統制・検知 ◦ Control Tower ◦ Organization SCP ◦ Config

    ◦ Security Hub ◦ etc... 今後進めること AWS Organization を最大限に活用 ハッシュタグ:#jawsdays2025 #jawsug #jawsdays2025_b やることはまだまだたくさんある!!!

  18. まとめ ハッシュタグ:#jawsdays2025 #jawsug #jawsdays2025_b

  19. シングルサインオンを導入したら運用がこんなに楽になった! • マルチアカウントでシングルサインオンの実現 ◦ IAM管理・ログインが簡単に • 導入に至るまでの判断ポイント ◦ IDソース ◦

    SCIM ◦ 許可セット ◦ ABAC • 今後進めること ◦ 運用最適化 ◦ AWS Organization をフル活用する まとめ ハッシュタグ:#jawsdays2025 #jawsug #jawsdays2025_b
  20. None