私の戦闘力は53万です

awsとgcpについて書きます

AWS SSOでGsuiteと連携した

会社でGsuiteを利用しており、AWSとSSO連携させてみました。
微妙にdocumentが分かりにくかったので、作業内容をブログ化してみました。

Gsuite側

まずは、Gsuite側の作業から入ります。
Gsuiteの管理者コンソールにログインする必要がありますので、
事前に管理者権限を割り当ててもらう必要があります。
ここでは、管理者コンソールにログインした前提で進めます。

f:id:remmemento:20200714235529p:plain

f:id:remmemento:20200714235629p:plain

f:id:remmemento:20200714235647p:plain

f:id:remmemento:20200714235722p:plain IDPメタデータをダウンロードしておきます。

AWS

今度は、AWS SSO側で作業します。

f:id:remmemento:20200714235857p:plain

f:id:remmemento:20200715000218p:plain こちらで、先ほどGsuiteでダウンロードしたファイルをアップロードします。

f:id:remmemento:20200715000413p:plain

f:id:remmemento:20200715000507p:plain ここで3つのURLを控えておきます。

Gsuite側

f:id:remmemento:20200715002250p:plain 上記で控えたURL3つをGsuite側の設定に書き込みます。

AWS

上記を終えたらまたAWS側に戻ります。 f:id:remmemento:20200715000732p:plain ここで、ユーザ名はgoogleのメールアドレスである必要があります。
(そうでないと後々エラーとなる。私はそれでハマりました)

f:id:remmemento:20200715000856p:plain

f:id:remmemento:20200715001004p:plain f:id:remmemento:20200715003449p:plain f:id:remmemento:20200715003509p:plain ここで、SSOでログインした際に所有させたい権限を選択します。 良くあるものはawsが定義してくれており、 カスタマイズが必要な場合は自作もできます。

Gsuite側

f:id:remmemento:20200715001116p:plain 最後にGsuite側で、ログイン可能とすべく、権限を特定ユーザor全員に開放します。

ログインイメージ

SSOのログイン画面にアクセスすると、下記のような画面が開きます f:id:remmemento:20200722092050p:plain ここで、上記で設定した権限の一覧が出てくるので、ログインしたい権限で Management consoleをクリックすると画面遷移できます。

f:id:remmemento:20200722092302p:plain また、クレデンシャルも払い出してくれます。

Tips

上記を試すまで下記が気になっていたので、試してみました。

Q:SSOでログイン後に、さらにスイッチロールは可能か?
A:可能でした

Q:Organization外のAWSアカウントにSSOから直接遷移することは可能か?
A:可能です。ただし受け側で下記作業が必要です。

static.global.sso.amazonaws.com

Q:cloudtrailにユーザ名はどのように残るのか
A:ユーザ名(メールアドレス)で残ります