会社でGsuiteを利用しており、AWSとSSO連携させてみました。
微妙にdocumentが分かりにくかったので、作業内容をブログ化してみました。
Gsuite側
まずは、Gsuite側の作業から入ります。
Gsuiteの管理者コンソールにログインする必要がありますので、
事前に管理者権限を割り当ててもらう必要があります。
ここでは、管理者コンソールにログインした前提で進めます。
IDPメタデータをダウンロードしておきます。
AWS側
今度は、AWS SSO側で作業します。
こちらで、先ほどGsuiteでダウンロードしたファイルをアップロードします。
ここで3つのURLを控えておきます。
Gsuite側
上記で控えたURL3つをGsuite側の設定に書き込みます。
AWS側
上記を終えたらまたAWS側に戻ります。
ここで、ユーザ名はgoogleのメールアドレスである必要があります。
(そうでないと後々エラーとなる。私はそれでハマりました)
ここで、SSOでログインした際に所有させたい権限を選択します。
良くあるものはawsが定義してくれており、
カスタマイズが必要な場合は自作もできます。
Gsuite側
最後にGsuite側で、ログイン可能とすべく、権限を特定ユーザor全員に開放します。
ログインイメージ
SSOのログイン画面にアクセスすると、下記のような画面が開きます
ここで、上記で設定した権限の一覧が出てくるので、ログインしたい権限で
Management consoleをクリックすると画面遷移できます。
また、クレデンシャルも払い出してくれます。
Tips
上記を試すまで下記が気になっていたので、試してみました。
Q:SSOでログイン後に、さらにスイッチロールは可能か?
A:可能でした
Q:Organization外のAWSアカウントにSSOから直接遷移することは可能か?
A:可能です。ただし受け側で下記作業が必要です。
static.global.sso.amazonaws.com
Q:cloudtrailにユーザ名はどのように残るのか
A:ユーザ名(メールアドレス)で残ります
