チュートリアル: Azure Active Directory と Amazon Web Service (AWS) の統合

このチュートリアルの目的は、Amazon Web Service (AWS) と Azure Active Directory (Azure AD) を統合する方法を説明することです。Amazon Web Service (AWS) と Azure AD の統合には、次の利点があります。

• Amazon Web Service (AWS) にアクセスする Azure AD ユーザーを制御できます。
• ユーザーが自分の Azure AD アカウントで自動的に Amazon Web Service (AWS) にサインオンできるようにします (シングル サインオン)。
• 1 つの中央サイト (Azure クラシック ポータル) でアカウントを管理できます。

SaaS アプリと Azure AD の統合の詳細については、「Azure Active Directory のアプリケーション アクセスとシングル サインオンとは」を参照してください。

前提条件

Amazon Web Service (AWS) と Azure AD の統合を構成するには、次のものが必要です。

• Azure AD サブスクリプション
• Amazon Web Service (AWS) でのシングル サインオンが有効なサブスクリプション

このチュートリアルの手順をテストするには、次の推奨事項に従ってください。

• 必要な場合を除き、運用環境は使用しないでください。
• Azure AD の評価環境がない場合は、こちらから 1 か月の評価版を入手できます。

シナリオの説明

このチュートリアルの目的は、テスト環境で Azure AD のシングル サインオンをテストできるようにすることです。このチュートリアルで説明するシナリオは、主に次の 2 つの要素で構成されています。

1. ギャラリーからの Amazon Web Service (AWS) の追加
2. Azure AD シングル サインオンの構成とテスト

ギャラリーからの Amazon Web Service (AWS) の追加

Azure AD への Amazon Web Service (AWS) の統合を構成するには、ギャラリーから管理対象 SaaS アプリの一覧に Amazon Web Service (AWS) を追加する必要があります。

ギャラリーから Amazon Web Service (AWS) を追加するには、次の手順を実行します。

1. Azure クラシック ポータルの左側のナビゲーション ウィンドウで、[Active Directory] をクリックします。

   

2. [ディレクトリ] の一覧から、ディレクトリ統合を有効にするディレクトリを選択します。

3. アプリケーション ビューを開くには、ディレクトリ ビューでトップ メニューの [アプリケーション] をクリックします。

   

4. ページの下部にある [追加] をクリックします。

   

5. [実行する内容] ダイアログで、[ギャラリーからアプリケーションを追加します] をクリックします。

   

6. 検索ボックスに、「Amazon Web Service (AWS)」と入力します。

   

7. 結果ウィンドウで [Amazon Web Service (AWS)] を選択し、[完了] をクリックしてアプリケーションを追加します。

   

Azure AD シングル サインオンの構成とテスト

このセクションの目的は、"Britta Simon" というテスト ユーザーを使用して、Amazon Web Service (AWS) とのAzure AD シングル サインオンを構成してテストする方法を示すことです。

シングル サインオンを機能させるには、Azure AD ユーザーに対応する Amazon Web Service (AWS) ユーザーが Azure AD で認識される必要があります。言い換えると、Azure AD ユーザーと Amazon Web Service (AWS) の関連ユーザーの間で、リンク関係が確立されている必要があります。このリンク関係は、Azure AD の [ユーザー名] の値を、Amazon Web Service (AWS) の [Username] の値として割り当てることで確立されます。

Amazon Web Service (AWS) との Azure AD シングル サインオンを構成してテストするには、次の構成要素を完了する必要があります。

1. Azure AD シングル サインオンの構成 - ユーザーがこの機能を使用できるようにします。
2. Azure AD のテスト ユーザーの作成 - Britta Simon で Azure AD のシングル サインオンをテストします。
3. Amazon Web Service (AWS) テスト ユーザーの作成 - Amazon Web Service (AWS) で Britta Simon に対応するユーザーを作成し、Azure AD の Britta Simon にリンクさせます。
4. Azure AD テスト ユーザーの割り当て - Britta Simon が Azure AD シングル サインオンを使用できるようにします。
5. シングル サインオンのテスト - 構成が機能するかどうかを確認します。

単一の Azure AD シングル サインオンの構成

このセクションの目的は、Azure クラシック ポータルで Azure AD シングル サインオンを有効にし、Amazon Web Service (AWS) アプリケーションでシングル サインオンを構成することです。Amazon Web Service (AWS) アプリケーションは、特定の形式の SAML アサーションを使用するため、カスタム属性のマッピングを SAML トークン属性の構成に追加する必要があります。次のスクリーンショットはその例です。

Amazon Web Service (AWS) との Azure AD シングル サインオンを構成するには、次の手順を実行します。

1. Azure クラシック ポータルの Amazon Web Service (AWS) アプリケーション統合ページで [シングル サインオンの構成] をクリックして、[シングル サインオンの構成] ダイアログを開きます。

   

2. [ユーザーの Amazon Web Service (AWS) へのアクセスを設定してください] ページで、[Azure AD のシングル サインオン] を選択し、[次へ] をクリックします。

   

3. [アプリケーション設定の構成] ページで、[次へ] をクリックします。

   

4. [Amazon Web Service (AWS) でのシングル サインオンの構成] ページで、[メタデータのダウンロード] をクリックし、コンピューターにローカルでメタデータ ファイルを保存します。

   

5. 別の Web ブラウザーのウィンドウで、管理者として Amazon Web Service (AWS) 企業サイトにサインオンします。

6. [Console Home] をクリックします。

   

7. [Identity and Access Management] をクリックします。

   

8. [Identity Providers]、[Create Provider] の順にクリックします。

   

9. [Configure Provider] ダイアログ ページで、次の手順を実行します。

   

   a.[Provider Type] として [SAML] を選択します。

   b.[Provider Name] ボックスにプロバイダー名を入力します (例: WAAD)。

   c.[Choose File] をクリックして、ダウンロードしたメタデータ ファイルをアップロードします。

   d.[Next Step] をクリックします。

10. [Verify Provider Information] ダイアログ ボックスで、[Create] をクリックします。

    

11. [Roles] をクリックしてから [Create New Role] をクリックします。

    

12. [Set Role Name] ダイアログで、次の手順を実行します。

    

    a.[Role Name] ボックスにロール名を入力します (例: TestUser)。

    b.[Next Step] をクリックします。

13. [Select Role Type] ダイアログで、次の手順を実行します。

    

    a.[Role For Identity Provider Access] を選択します。

    b.[Grant Web Single Sign-On (WebSSO) access to SAML providers] セクションで、[Select] をクリックします。

14. Establish Trust ダイアログで、次の手順を実行します。

    

    a.SAML プロバイダーとして、前に作成した SAML プロバイダーを選択します (例: WAAD)。

    b.[Next Step] をクリックします。

15. [Verify Role Trust] ダイアログで、[Next Step] をクリックします。

    

16. [Attach Policy] ダイアログで、[Next Step] をクリックします。

    

17. [Review] ダイアログで、次の手順を実行します。

    

    a.Role の ARN 値 をコピーします。

    b.Trusted Entities の ARN 値をコピーします。

    c.[Create Role] をクリックします。

18. Azure クラシック ポータルで、シングル サインオンの構成確認を選択し、[次へ] をクリックします。

    

19. [シングル サインオンの確認] ページで [完了] を選択して、[シングル サインオンの構成] ダイアログを閉じます。

    

20. 上部のメニューで、[属性] をクリックして、[SAML トークン属性] ダイアログを開きます。

    

21. [ユーザー属性の追加] をクリックします。

    

22. [ユーザー属性の追加] ダイアログで、次の手順を実行します。

    

    a.[属性名] ボックスに、「https://aws.amazon.com/SAML/Attributes/Role」と入力します。

    b.[属性値] ボックスに、[Role の ARN 値] と [Trusted Entity の ARN 値] を入力します。

    ヒント

    これらは、ロールの作成時に [Review] ダイアログでコピーした値です。

    c.[完了] をクリックして [ユーザー属性の追加] ダイアログボックスを閉じます。

23. [ユーザー属性の追加] をクリックします。

    

24. [ユーザー属性の追加] ダイアログで、次の手順を実行します。

    

    a.[属性名] ボックスに、「https://aws.amazon.com/SAML/Attributes/RoleSessionName」と入力します。

    b.[属性値] ボックスに「user.userprincipalname」と入力するか、ドロップダウン リストから選択します。

    

 c.**[完了]** をクリックして **[ユーザー属性の追加]** ダイアログボックスを閉じます。

1. [変更の適用] をクリックします。

   

Azure AD のテスト ユーザーの作成

このセクションの目的は、Azure クラシック ポータルで Britta Simon というテスト ユーザーを作成することです。

Azure AD でテスト ユーザーを作成するには、次の手順に従います。

1. Azure クラシック ポータルの左側のナビゲーション ウィンドウで、[Active Directory] をクリックします。

   

2. [ディレクトリ] の一覧から、ディレクトリ統合を有効にするディレクトリを選択します。

3. 上部のメニューで [ユーザー] をクリックして、ユーザーの一覧を表示します。

   

4. 下部にあるツール バーで [ユーザーの追加] をクリックして、[ユーザーの追加] ダイアログ ボックスを開きます。

   

5. [このユーザーに関する情報の入力] ダイアログ ページで、次の手順に従います。

   

   1. [ユーザーの種類] として [組織内の新しいユーザー] を選択します。
   2. [ユーザー名] テキスト ボックスに「BrittaSimon」と入力します。
   3. [次へ] をクリックします。

6. [ユーザー プロファイル] ダイアログ ページで、次の手順に従います。

   

   a.[名] ボックスに「Britta」と入力します。

   b.[姓] ボックスに「Simon」と入力します。

   c.[表示名] ボックスに「Britta Simon」と入力します。

   d.[ロール] 一覧で [ユーザー] を選択します。

   e.[次へ] をクリックします。

7. [一時パスワードの取得] ダイアログ ページで、[作成] をクリックします。

   

8. [一時パスワードの取得] ダイアログ ページで、次の手順に従います。

   

   a.[新しいパスワード] の値を書き留めます。

   b.[完了] をクリックします。

Amazon Web Service (AWS) テスト ユーザーの作成

このセクションの目的は、Amazon Web Service (AWS) で Britta Simon というユーザーを作成することです。

Amazon Web Service (AWS) で Britta Simon というユーザーを作成するには、次の手順に従います。

1. 管理者として Amazon Web Service (AWS) 企業サイトにログインします。

2. [Console Home (コンソール ホーム)] アイコンをクリックします。

   

3. [Identity and Access Management] をクリックします。

   

4. Dashboard で、[Users]、[Create New Users] の順にクリックします。

   

5. [Create User] ダイアログで、次の手順に従います。

   

   a.[Enter User Names] ボックスに、Brita Simon の Azure AD でのユーザー名 (userprincipalname) を入力します。

   b.[作成] をクリックします。

Azure AD テスト ユーザーの割り当て

このセクションの目的は、Britta Simon に Amazon Web Service (AWS) へのアクセスを許可することで、このユーザーが Azure シングル サインオンを使用できるようにすることです。

Britta Simon を CloudPassage に割り当てるには、次の手順を実行します。

1. Azure クラシック ポータルでアプリケーション ビューを開くために、ディレクトリ ビューでトップ メニューの [アプリケーション] をクリックします。

   

2. アプリケーションの一覧で、[Amazon Web Service (AWS)] を選択します。

   

3. 上部のメニューで [ユーザー] をクリックします。

   

4. ユーザーの一覧で [Britta Simon] を選択します。

5. 下部にあるツール バーで [割り当て] をクリックします。

   

シングル サインオンのテスト

このセクションの目的は、アクセス パネルを使用して Azure AD のシングル サインオン構成をテストすることです。アクセス パネルで [Amazon Web Service (AWS)] タイルをクリックすると、自動的に Amazon Web Service (AWS) アプリケーションにサインオンします。

その他のリソース

• SaaS アプリと Azure Active Directory を統合する方法に関するチュートリアルの一覧
• Azure Active Directory のアプリケーション アクセスとシングル サインオンとは