Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
シングルサインオンを導入したら運用がこんなに楽になった!
Search
tockey
March 01, 2025
Technology
0
170
シングルサインオンを導入したら運用がこんなに楽になった!
2025-03-01
JAWS DAYS 2025
tockey
March 01, 2025
Tweet
Share
More Decks by tockey
See All by tockey
パスワードレス認証 パスキーのすべて
tockey
0
23
コミット履歴キレイですか / clean up commit logs
tockey
0
5.7k
Other Decks in Technology
See All in Technology
Codexとも仲良く。CodeRabbit CLIの紹介
moongift
PRO
0
180
AWS Top Engineer、浮いてませんか? / As an AWS Top Engineer, Are You Out of Place?
yuj1osm
2
210
Adminaで実現するISMS/SOC2運用の効率化 〜 アカウント管理編 〜
shonansurvivors
4
440
許しとアジャイル
jnuank
1
150
AWS Control Tower に学ぶ! IAM Identity Center 権限設計の第一歩 / IAM Identity Center with Control Tower
y___u
0
150
How to achieve interoperable digital identity across Asian countries
fujie
0
150
なぜAWSを活かしきれないのか?技術と組織への処方箋
nrinetcom
PRO
4
790
エンタメとAIのための3Dパラレルワールド構築(GPU UNITE 2025 特別講演)
pfn
PRO
0
250
E2Eテスト設計_自動化のリアル___Playwrightでの実践とMCPの試み__AIによるテスト観点作成_.pdf
findy_eventslides
2
600
Modern_Data_Stack最新動向クイズ_買収_AI_激動の2025年_.pdf
sagara
0
240
Developer Advocate / Community Managerなるには?
tsho
0
140
セキュアな認可付きリモートMCPサーバーをAWSマネージドサービスでつくろう! / Let's build an OAuth protected remote MCP server based on AWS managed services
kaminashi
3
310
Featured
See All Featured
Speed Design
sergeychernyshev
32
1.2k
The Invisible Side of Design
smashingmag
302
51k
Code Review Best Practice
trishagee
72
19k
Improving Core Web Vitals using Speculation Rules API
sergeychernyshev
19
1.2k
Designing for humans not robots
tammielis
254
26k
Building an army of robots
kneath
306
46k
Creating an realtime collaboration tool: Agile Flush - .NET Oxford
marcduiker
32
2.3k
4 Signs Your Business is Dying
shpigford
185
22k
Done Done
chrislema
185
16k
Why Our Code Smells
bkeepers
PRO
339
57k
YesSQL, Process and Tooling at Scale
rocio
173
14k
Scaling GitHub
holman
463
140k
Transcript
シングルサインオンを導入したら運用がこんなに楽になった! ENECHANGE株式会社 CTO室 常盤匠 ハッシュタグ:#jawsdays2025 #jawsug #jawsdays2025_b
▪名前 常盤 匠(ときわ たくみ) ▪所属 ENECHANGE株式会社 - 2021/11~ バックエンドエンジニア -
2024/10~ CTO室に異動 インフラ・SRE 開発事業部への技術支援を担当 ▪好きなもの インテリア 自己紹介 ハッシュタグ:#jawsdays2025 #jawsug #jawsdays2025_b
1. なぜシングルサインオンの導入を 2. 導入までの道のり 3. 導入して楽になったこと 4. 今後進めること こんな話をします ハッシュタグ:#jawsdays2025
#jawsug #jawsdays2025_b
なぜシングルサインオンの導入を? ハッシュタグ:#jawsdays2025 #jawsug #jawsdays2025_b
ついにマルチアカウントに • 本番環境と非本番環境、そして様々な部署のプロダクトを1つのアカウントに 集約していた • AWS Well-Architected フレームワークに則り、部署や本番・非本番のアカウ ントを分けるプロジェクトが進行した •
マルチアカウント環境でもAWS操作の体験を損なうことなく運用するためにシ ングルサインオンの導入も進めることに ハッシュタグ:#jawsdays2025 #jawsug #jawsdays2025_b ←本番 ←stg ←dev 別部署本番→ 別部署dev1→ 別部署dev2→
AWS IAM Identity Center • ユーザーを一度作成すると、複数のAWSアカウントやアプリケーションへのア クセスを一元管理できる • ユーザーID を直接作成することも、Microsoft
Entra ID などの既存の ID ソー スを接続することもできる • AWS Organizationとの統合でマルチアカウントへシングルサインオンを簡単 に実現できる ハッシュタグ:#jawsdays2025 #jawsug #jawsdays2025_b
導入までの道のり ハッシュタグ:#jawsdays2025 #jawsug #jawsdays2025_b
IDソースの選定 Microsoft Entra IDを採用 ハッシュタグ:#jawsdays2025 #jawsug #jawsdays2025_b IAM Identity Center
SAML連携 Entra ID ユーザー 部署や契約形態を問わず会社全体で統一的なIDとして運用されていて、CTO室にも 権限があったため
SCIM(System for Cross-domain Identity Management) 自動プロビジョニングの有効化 ハッシュタグ:#jawsdays2025 #jawsug #jawsdays2025_b 自動で作成・同期
Entra ID ユーザー Entra IDのユーザー情報からIAM Identity Centerのユーザーリソースを自動で作 成・同期 IAM Identity Center
許可セットの運用方法の策定 既存のIAMロールの権限を踏襲 ハッシュタグ:#jawsdays2025 #jawsug #jawsdays2025_b 今まで IAMユーザー プロダクトA 許可セット これから
Identity Center ユーザー 本番アカウント 非本番アカウント admin プロダクトB プロダクトA プロダクトB プロダクトC IAMロール
ABAC(属性ベースのアクセスコントロール) ABACは採用が難しかった ハッシュタグ:#jawsdays2025 #jawsug #jawsdays2025_b ABAC=ユーザーの属性値に基づいてアクセスをコントロールする Identity Center ユーザー 組織
aaa 部署 bbb チーム ccc ユーザータイプ ddd 1. 設計が難しい 2. 運用に耐えるように属性情報を一から つけていくのは非常に大変 3. メンテナンスコストがそこそこ大きい
適用後のログインのフロー ハッシュタグ:#jawsdays2025 #jawsug #jawsdays2025_b 1. Entra IDの id/pass/MFAを求 められる 2.アクセスポー
タルへログイン 3.ロールを選択し対 象アカウントへログ インできる
導入して楽になったこと ハッシュタグ:#jawsdays2025 #jawsug #jawsdays2025_b
得られたメリット ▪マルチアカウントでもログインが簡単に 開発者が異なるIAMユーザーを管理することなく、ログインが簡単に ▪IAMユーザーの管理から解き放たれた 過去経緯によりIAMユーザーの作成が特定のメンバーしかできない状況であった 外部IdPをIDソースにすることで複数アカウントのIAMユーザー作成の手間が大幅 に軽減された ▪IAMユーザー(開発者)のアクセスキー・シークレットキーが不要に AWS CLIの利用においても外部IdPの認証があるため、AWSでユーザーごとの秘匿
キーが不要になった ロール引き受けのprofile設定は aws configure sso で可能 ハッシュタグ:#jawsdays2025 #jawsug #jawsdays2025_b
今後進めること ハッシュタグ:#jawsdays2025 #jawsug #jawsdays2025_b
今後進めること 開発事業部に運用してもらい適宜チューニングを 最適化 ハッシュタグ:#jawsdays2025 #jawsug #jawsdays2025_b 許可セット Identity Center ユーザー
本番アカウント 非本番アカウント admin プロダクトB プロダクトA
• 予防的統制・検知 ◦ Control Tower ◦ Organization SCP ◦ Config
◦ Security Hub ◦ etc... 今後進めること AWS Organization を最大限に活用 ハッシュタグ:#jawsdays2025 #jawsug #jawsdays2025_b やることはまだまだたくさんある!!!
まとめ ハッシュタグ:#jawsdays2025 #jawsug #jawsdays2025_b
シングルサインオンを導入したら運用がこんなに楽になった! • マルチアカウントでシングルサインオンの実現 ◦ IAM管理・ログインが簡単に • 導入に至るまでの判断ポイント ◦ IDソース ◦
SCIM ◦ 許可セット ◦ ABAC • 今後進めること ◦ 運用最適化 ◦ AWS Organization をフル活用する まとめ ハッシュタグ:#jawsdays2025 #jawsug #jawsdays2025_b
None
tockey
moongift
yuj1osm
shonansurvivors
jnuank
y___u
fujie
nrinetcom
pfn
findy_eventslides
sagara
tsho
kaminashi
sergeychernyshev
smashingmag
trishagee
tammielis
kneath
marcduiker
shpigford
chrislema
bkeepers
rocio
holman
