Save 37% off PRO during our Black Friday Sale! »

AWS SSOとGoogle Idpのおいしい関係 ~ QuickSightに楽してログインしたい ~

18f1e3993e9ead63e7a0f70d9eb996bb?s=47 wkm2
September 07, 2021

AWS SSOとGoogle Idpのおいしい関係 ~ QuickSightに楽してログインしたい ~

BigData-JAWS 勉強会#18 登壇資料
https://jawsug-bigdata.connpass.com/event/215161/

18f1e3993e9ead63e7a0f70d9eb996bb?s=128

wkm2

September 07, 2021
Tweet

Transcript

  1. AWS SSOとGoogle Idpの おいしい関係 ~ QuickSightに楽してログインしたい ~ 生活協同組合コープさっぽろ デジタル推進本部 システム部

    若松 剛志
  2. Who am I ? 生活協同組合コープさっぽろ 
 デジタル推進本部 
 インフラチームリーダー 


    若松 剛志
 インフラエンジニア/マネージャー AWS Certified 12冠 SES会社→アイレット(cloudpack)→コープさっぽろ 秋田→新潟→東京→北海道 好きなサービス:Transit Gateway 好きな日本酒:喜久酔 @t_wkm2
  3. @t_wkm2

  4. あんまり QuickSight の話しません! (というかほぼAWS SSOの話)

  5. ところで

  6. さっきのセッションすごくないですか? (手前みそ感)

  7. ユーザがユーザの体験を作る • ユーザ企業の中のユーザが作る側に回るのは価値がある • デジタルの民主化、DXの種がここにある • そんなコープのDXが紹介されている コープさっぽろDX(note)はこちら↓

  8. さて本題

  9. SSO

  10. Single Sign-On

  11. Single Sign-On Wikipedia より シングルサインオン(英語:Single Sign-On、略称:SSO)は、一度 のユーザ認証処理によって独立した複数のソフトウェアシステム 上のリソースが利用可能になる特性である。 この特性によって、ユーザはシステムごとにユーザIDとパスワード の組を入力する必要がなくなる。

  12. Single Sign-On Wikipedia より シングルサインオン(英語:Single Sign-On、略称:SSO)は、一度 のユーザ認証処理によって独立した複数のソフトウェアシステム 上のリソースが利用可能になる特性である。 この特性によって、ユーザはシステムごとにユーザIDとパスワード の組を入力する必要がなくなる。

    つまり、1つのアカウント認証で いろんなサービス使えますよと
  13. なぜBIツールにSSOが必要なのか

  14. BI Wikipedia より ビジネスインテリジェンス(英: Business Intelligence、BI)は、経 営・会計・情報処理などの用語で、企業などの組織のデータを、収 集・蓄積・分析・報告することにより、経営上などの意思決定に役 立てる手法や技術のこと[1]。 経営判断上の過去・現在・未来予測などの視点を提供する。

  15. BI Wikipedia より ビジネスインテリジェンス(英: Business Intelligence、BI)は、経 営・会計・情報処理などの用語で、企業などの組織のデータを、収 集・蓄積・分析・報告することにより、経営上などの意思決定に役 立てる手法や技術のこと[1]。 経営判断上の過去・現在・未来予測などの視点を提供する。

    つまり、組織内のデータを分析して 経営判断に役立てる技術のこと
  16. 使ってもらってなんぼのBI

  17. 使ってもらってなんぼのBI • 使いやすい見た目 • ドリルダウンしやすいデータセット ユーザビリティ向上

  18. 使ってもらってなんぼのBI • 簡単にアクセスできなければ、、 • 使ってもらえないかもしれない • ユーザの時間を奪ってしまうかもしれない アクセシビリティの 向上も同時に!

  19. AWS Single Sign-On (SSO)

  20. AWS Single Sign-On (SSO) AWSサービスの1つで、ユーザを一元管理し、AWSアカウントや各種SaaSへのアクセ スが可能 Client AWS SSO

  21. AWS Single Sign-On (SSO) 連携対象の各種SaaSの中にはQuickSightも含まれている Client AWS SSO Amazon QuickSight

  22. 連携完了!

  23. ん?

  24. AWS SSOにアクセスするのに AWS SSOのユーザ使ったら 意味ないじゃん!

  25. 本当にやりたいことは、、 • コープの職員はAWS SSOのユーザアカウントをいつも使って いるわけじゃないので嬉しくもなんともない • むしろAWS SSOの画面に一回遷移する分手間が多くかかっ ている

  26. 本当にやりたいことは、、 • コープの職員はAWS SSOのユーザアカウントをいつも使って いるわけじゃないので嬉しくもなんともない • むしろAWS SSOの画面に一回遷移する分手間が多くかかっ ている コープ職員がいつも使っている

    ユーザアカウントは?
  27. None
  28. Google Idp GoogleWorkspaceのアカウントを職員に割り振っているため、このアカウントを使いた い Client AWS SSO Amazon QuickSight Google

    Idp
  29. Google Idp GoogleWorkspaceのアカウントを職員に割り振っているため、このアカウントを使いた い Client AWS SSO Amazon QuickSight Google

    Idp Google と AWS SSOのユーザを 同期する必要あり
  30. SCIM

  31. SCIM • System for Cross-domain Identity Management • サービスやシステム間でID情報を交換(コピー)する 標準規格

    • GoogleもAWS SSOもSCIMに対応している
  32. なんかイケそう!

  33. と思ったらダメだった

  34. SCIM Google IdpはAWS SSOのSCIMに非対応 IDを持ってる側(Idp側)がIDを配られる側(サービス側)に対応している必要がある サービス側のSCIM APIを叩く必要があるため

  35. awslabs/ssosync

  36. awslabs/ssosync • AWS謹製GoogleSCIMツール • GitHubで公開されている (https://github.com/awslabs/ssosync) • Lambdaを定期実行してGoogle↔AWS SSOのユーザ同期を 行う

    • SAMテンプレートを含んでおり、簡単に展開可能
  37. 最終的な構成 • 定期実行 • ログイン Client AWS SSO Amazon QuickSight

    Google Idp AWS SSO Google Idp AWS Lambda IDをコピー IDを取得
  38. awslabs/ssosync • 連携するアカウントはGoogleグループで管理 • 管理者(Admin)、作成者(Auther)、閲覧者(Reader)のグルー プを作成して、それぞれのユーザを配置 • グループを指定して連携することでAWS SSOでもグループご とに

    QuickSightへのログイン権限(正確にはアカウント作成権 限)を付与
  39. 実際の画面

  40. 実際の画面

  41. 結果 • 職員 ◦ GoogleにログインしていればID/パスワードを打たずに QuickSightへログインできる • 管理者 ◦ ユーザ追加がGoogleのグループに追加するだけでよく

    なった(QuickSightの画面で整理しなくてもいい)
  42. 最高!

  43. しかし課題も、、

  44. 今後の課題 • 毎回の同期でLambdaが14分くらい動いている、、 • 同期人数に起動時間が依存するらしく、これ以上人数が増え るといよいよヤバい ◦ Lambdaの最大起動時間は15分 コンテナ or

    EC2への 移行を検討中
  45. AWSさんへの要望 • 正式にGoogle連携して! • 初回ログイン時にメールアドレスを 入れたくない! • なんならAWS SSOの画面無しで QuickSightに直接ログインしたい!

  46. We are hiring !! コープさっぽろではエンジニアを募集しています!! 転職ついでに北海道移住最高ですよ!!