シングルサインオンを導入したら運用がこんなに楽になった！

シングルサインオンを導入したら運用がこんなに楽になった！ ENECHANGE株式会社 CTO室常盤匠ハッシュタグ：#jawsdays2025 #jawsug #jawsdays2025_b

▪名前常盤匠（ときわたくみ） ▪所属 ENECHANGE株式会社 - 2021/11~ バックエンドエンジニア -
2024/10~ CTO室に異動インフラ・SRE 開発事業部への技術支援を担当 ▪好きなものインテリア自己紹介ハッシュタグ：#jawsdays2025 #jawsug #jawsdays2025_b

1. なぜシングルサインオンの導入を 2. 導入までの道のり 3. 導入して楽になったこと 4. 今後進めることこんな話をしますハッシュタグ：#jawsdays2025
#jawsug #jawsdays2025_b

なぜシングルサインオンの導入を？ハッシュタグ：#jawsdays2025 #jawsug #jawsdays2025_b

ついにマルチアカウントに • 本番環境と非本番環境、そして様々な部署のプロダクトを1つのアカウントに集約していた • AWS Well-Architected フレームワークに則り、部署や本番・非本番のアカウントを分けるプロジェクトが進行した •
マルチアカウント環境でもAWS操作の体験を損なうことなく運用するためにシングルサインオンの導入も進めることにハッシュタグ：#jawsdays2025 #jawsug #jawsdays2025_b ←本番 ←stg ←dev 別部署本番→ 別部署dev1→ 別部署dev2→

AWS IAM Identity Center • ユーザーを一度作成すると、複数のAWSアカウントやアプリケーションへのアクセスを一元管理できる • ユーザーID を直接作成することも、Microsoft
Entra ID などの既存の ID ソースを接続することもできる • AWS Organizationとの統合でマルチアカウントへシングルサインオンを簡単に実現できるハッシュタグ：#jawsdays2025 #jawsug #jawsdays2025_b

導入までの道のりハッシュタグ：#jawsdays2025 #jawsug #jawsdays2025_b

IDソースの選定 Microsoft Entra IDを採用ハッシュタグ：#jawsdays2025 #jawsug #jawsdays2025_b IAM Identity Center
SAML連携 Entra ID ユーザー部署や契約形態を問わず会社全体で統一的なIDとして運用されていて、CTO室にも権限があったため

SCIM(System for Cross-domain Identity Management) 自動プロビジョニングの有効化ハッシュタグ：#jawsdays2025 #jawsug #jawsdays2025_b 自動で作成・同期
Entra ID ユーザー Entra IDのユーザー情報からIAM Identity Centerのユーザーリソースを自動で作成・同期 IAM Identity Center

許可セットの運用方法の策定既存のIAMロールの権限を踏襲ハッシュタグ：#jawsdays2025 #jawsug #jawsdays2025_b 今まで IAMユーザープロダクトA 許可セットこれから
Identity Center ユーザー本番アカウント非本番アカウント admin プロダクトB プロダクトA プロダクトB プロダクトC IAMロール

ABAC(属性ベースのアクセスコントロール) ABACは採用が難しかったハッシュタグ：#jawsdays2025 #jawsug #jawsdays2025_b ABAC=ユーザーの属性値に基づいてアクセスをコントロールする Identity Center ユーザー組織
aaa 部署 bbb チーム ccc ユーザータイプ ddd 1. 設計が難しい 2. 運用に耐えるように属性情報を一からつけていくのは非常に大変 3. メンテナンスコストがそこそこ大きい

適用後のログインのフローハッシュタグ：#jawsdays2025 #jawsug #jawsdays2025_b 1. Entra IDの id/pass/MFAを求められる 2.アクセスポー
タルへログイン 3.ロールを選択し対象アカウントへログインできる

導入して楽になったことハッシュタグ：#jawsdays2025 #jawsug #jawsdays2025_b

得られたメリット ▪マルチアカウントでもログインが簡単に開発者が異なるIAMユーザーを管理することなく、ログインが簡単に ▪IAMユーザーの管理から解き放たれた過去経緯によりIAMユーザーの作成が特定のメンバーしかできない状況であった外部IdPをIDソースにすることで複数アカウントのIAMユーザー作成の手間が大幅に軽減された ▪IAMユーザー(開発者)のアクセスキー・シークレットキーが不要に AWS CLIの利用においても外部IdPの認証があるため、AWSでユーザーごとの秘匿
キーが不要になったロール引き受けのproﬁle設定は aws conﬁgure sso で可能ハッシュタグ：#jawsdays2025 #jawsug #jawsdays2025_b

今後進めることハッシュタグ：#jawsdays2025 #jawsug #jawsdays2025_b

今後進めること開発事業部に運用してもらい適宜チューニングを最適化ハッシュタグ：#jawsdays2025 #jawsug #jawsdays2025_b 許可セット Identity Center ユーザー
本番アカウント非本番アカウント admin プロダクトB プロダクトA

• 予防的統制・検知 ◦ Control Tower ◦ Organization SCP ◦ Conﬁg
◦ Security Hub ◦ etc... 今後進めること AWS Organization を最大限に活用ハッシュタグ：#jawsdays2025 #jawsug #jawsdays2025_b やることはまだまだたくさんある！！！

まとめハッシュタグ：#jawsdays2025 #jawsug #jawsdays2025_b

シングルサインオンを導入したら運用がこんなに楽になった！ • マルチアカウントでシングルサインオンの実現 ◦ IAM管理・ログインが簡単に • 導入に至るまでの判断ポイント ◦ IDソース ◦
SCIM ◦ 許可セット ◦ ABAC • 今後進めること ◦ 運用最適化 ◦ AWS Organization をフル活用するまとめハッシュタグ：#jawsdays2025 #jawsug #jawsdays2025_b

シングルサインオンを導入したら運用がこんなに楽になった！

シングルサインオンを導入したら運用がこんなに楽になった！

tockey

More Decks by tockey

Other Decks in Technology

Featured

Transcript