AWS SSOとGoogle Idpのおいしい関係 ~ QuickSightに楽してログインしたい ~

Transcript

1. AWS SSOとGoogle Idpの おいしい関係 ~ QuickSightに楽してログインしたい ~ 生活協同組合コープさっぽろ デジタル推進本部 システム部

   若松 剛志

2. Who am I ? 生活協同組合コープさっぽろ 
 デジタル推進本部 
 インフラチームリーダー 


   若松 剛志
 インフラエンジニア/マネージャー AWS Certified 12冠 SES会社→アイレット(cloudpack)→コープさっぽろ 秋田→新潟→東京→北海道 好きなサービス：Transit Gateway 好きな日本酒：喜久酔 @t_wkm2

3. @t_wkm2

4. あんまり QuickSight の話しません！ （というかほぼAWS SSOの話）

5. ところで

6. さっきのセッションすごくないですか？ （手前みそ感）

7. ユーザがユーザの体験を作る • ユーザ企業の中のユーザが作る側に回るのは価値がある • デジタルの民主化、DXの種がここにある • そんなコープのDXが紹介されている コープさっぽろDX(note)はこちら↓

8. さて本題

9. SSO

10. Single Sign-On

11. Single Sign-On Wikipedia より シングルサインオン（英語：Single Sign-On、略称：SSO）は、一度 のユーザ認証処理によって独立した複数のソフトウェアシステム 上のリソースが利用可能になる特性である。 この特性によって、ユーザはシステムごとにユーザIDとパスワード の組を入力する必要がなくなる。

12. Single Sign-On Wikipedia より シングルサインオン（英語：Single Sign-On、略称：SSO）は、一度 のユーザ認証処理によって独立した複数のソフトウェアシステム 上のリソースが利用可能になる特性である。 この特性によって、ユーザはシステムごとにユーザIDとパスワード の組を入力する必要がなくなる。

    つまり、1つのアカウント認証で いろんなサービス使えますよと

13. なぜBIツールにSSOが必要なのか

14. BI Wikipedia より ビジネスインテリジェンス（英: Business Intelligence、BI）は、経 営・会計・情報処理などの用語で、企業などの組織のデータを、収 集・蓄積・分析・報告することにより、経営上などの意思決定に役 立てる手法や技術のこと[1]。 経営判断上の過去・現在・未来予測などの視点を提供する。

15. BI Wikipedia より ビジネスインテリジェンス（英: Business Intelligence、BI）は、経 営・会計・情報処理などの用語で、企業などの組織のデータを、収 集・蓄積・分析・報告することにより、経営上などの意思決定に役 立てる手法や技術のこと[1]。 経営判断上の過去・現在・未来予測などの視点を提供する。

    つまり、組織内のデータを分析して 経営判断に役立てる技術のこと

16. 使ってもらってなんぼのBI

17. 使ってもらってなんぼのBI • 使いやすい見た目 • ドリルダウンしやすいデータセット ユーザビリティ向上

18. 使ってもらってなんぼのBI • 簡単にアクセスできなければ、、 • 使ってもらえないかもしれない • ユーザの時間を奪ってしまうかもしれない アクセシビリティの 向上も同時に！

19. AWS Single Sign-On (SSO)

20. AWS Single Sign-On (SSO) AWSサービスの1つで、ユーザを一元管理し、AWSアカウントや各種SaaSへのアクセ スが可能 Client AWS SSO

21. AWS Single Sign-On (SSO) 連携対象の各種SaaSの中にはQuickSightも含まれている Client AWS SSO Amazon QuickSight

22. 連携完了！

23. ん？

24. AWS SSOにアクセスするのに AWS SSOのユーザ使ったら 意味ないじゃん！

25. 本当にやりたいことは、、 • コープの職員はAWS SSOのユーザアカウントをいつも使って いるわけじゃないので嬉しくもなんともない • むしろAWS SSOの画面に一回遷移する分手間が多くかかっ ている

26. 本当にやりたいことは、、 • コープの職員はAWS SSOのユーザアカウントをいつも使って いるわけじゃないので嬉しくもなんともない • むしろAWS SSOの画面に一回遷移する分手間が多くかかっ ている コープ職員がいつも使っている

    ユーザアカウントは？
27. None

28. Google Idp GoogleWorkspaceのアカウントを職員に割り振っているため、このアカウントを使いた い Client AWS SSO Amazon QuickSight Google

    Idp

29. Google Idp GoogleWorkspaceのアカウントを職員に割り振っているため、このアカウントを使いた い Client AWS SSO Amazon QuickSight Google

    Idp Google と AWS SSOのユーザを 同期する必要あり

30. SCIM

31. SCIM • System for Cross-domain Identity Management • サービスやシステム間でID情報を交換(コピー)する 標準規格

    • GoogleもAWS SSOもSCIMに対応している

32. なんかイケそう！

33. と思ったらダメだった

34. SCIM Google IdpはAWS SSOのSCIMに非対応 IDを持ってる側(Idp側)がIDを配られる側(サービス側)に対応している必要がある サービス側のSCIM APIを叩く必要があるため

35. awslabs/ssosync

36. awslabs/ssosync • AWS謹製GoogleSCIMツール • GitHubで公開されている (https://github.com/awslabs/ssosync) • Lambdaを定期実行してGoogle↔AWS SSOのユーザ同期を 行う

    • SAMテンプレートを含んでおり、簡単に展開可能

37. 最終的な構成 • 定期実行 • ログイン Client AWS SSO Amazon QuickSight

    Google Idp AWS SSO Google Idp AWS Lambda IDをコピー IDを取得

38. awslabs/ssosync • 連携するアカウントはGoogleグループで管理 • 管理者(Admin)、作成者(Auther)、閲覧者(Reader)のグルー プを作成して、それぞれのユーザを配置 • グループを指定して連携することでAWS SSOでもグループご とに

    QuickSightへのログイン権限(正確にはアカウント作成権 限)を付与

39. 実際の画面

40. 実際の画面

41. 結果 • 職員 ◦ GoogleにログインしていればID/パスワードを打たずに QuickSightへログインできる • 管理者 ◦ ユーザ追加がGoogleのグループに追加するだけでよく

    なった（QuickSightの画面で整理しなくてもいい）

42. 最高！

43. しかし課題も、、

44. 今後の課題 • 毎回の同期でLambdaが14分くらい動いている、、 • 同期人数に起動時間が依存するらしく、これ以上人数が増え るといよいよヤバい ◦ Lambdaの最大起動時間は15分 コンテナ or

    EC2への 移行を検討中

45. AWSさんへの要望 • 正式にGoogle連携して！ • 初回ログイン時にメールアドレスを 入れたくない！ • なんならAWS SSOの画面無しで QuickSightに直接ログインしたい！

46. We are hiring !! コープさっぽろではエンジニアを募集しています！！ 転職ついでに北海道移住最高ですよ！！