...
概要
学認クラウドゲートウェイサービス(以下、ゲートウェイサービス)に登録されているAWSマネジメントコンソールSPコネクタに任意のグループを接続することで、ゲートウェイサービス経由でAWSマネジメントコンソールにサインインするための手順を示します。
...
ゲートウェイトップ画面から「AWS Management Console」の「グループ表示」を開き、表示されるグループをクリックしてください。
グループを選択後にAWSマネジメントコンソールにサインインが行われます。
多くの場合はすでにゲートウェイサービスにログインしているためシングルサインオン(SSO)によりAWSマネジメントコンソールにサインインされますが、もしタイムアウト等でSSOしない場合は所属機関IdPで認証してください。
以下のように「サービスに送信される情報」を選択する画面が表示される場合があります。これはゲートウェイサービス側の画面で、ユーザが当該サービスに属性を送信することに同意するための画面です。送信する属性について問題なければ「同意」ボタンをクリックします。なお、送信される属性は以下の通りです。AWSRoleSessionName: ゲートウェイサービスが付与する永続的な仮名識別子(いわゆるeduPersonTargetedID)
- AWSRole: グループ管理者が入力したAWSアカウントID・ロール名・IDプロバイダ名
- eduPersonEntitlement: 所属するグループ情報
注意 ソフトウェアの不具合により上記の「サービスに送信される情報」を選択する画面が表示された後にAWSにサインインできない場合があります。「次回ログイン時に再度チェックします。」以外 を選択してご利用ください。
「同意」ボタンをクリックした直後にエラーとなった場合はお手数をおかけして申し訳ございませんが、もう一度1.の手順からやり直してください。情報 利用可能なグループが複数ある場合には、AWSサインイン前に以下のようなロールの選択画面が表示され、利用したいロールを選択する必要があります。どのロールを選択すべきか不明な場合はグループ管理者へお問い合わせください。
問い合わせを受けたグループ管理者の方は、利用者が選択すべきAWSアカウントIDとロールの組み合わせを利用者へ連絡してください。
AWSマネジメントコンソールにサインインしたあと以下のような画面となります。
サインインしたユーザ名はフェデレーションログインとして認識され「ロール名/ランダムな文字列」の形式で表示されます。
その他
- グループに複数の異なる機関のメンバーがいる場合はそれぞれの機関が以下2つの条件を満たしている必要があります。そうでない機関のメンバーについては「利用フロー - ゲートウェイサービスからAWSマネジメントコンソールへシングルサインオン」で説明しているシングルサインオン(SSO)はできません。
- メンバーの所属機関がゲートウェイサービスに参加していること(「学認クラウドゲートウェイサービス」をご参照ください)
- IdP管理者によりAWSコンソールが利用できるようになっていること(「グループの設定」をご参照ください)
- グループとAWSマネジメントコンソールの設定に関する設定例の一つとして『学認クラウドゲートウェイサービス(2)「活用事例 - AWSコンソールSSOの実際 - 」』(学術情報基盤オープンフォーラム2020資料)を公開しておりますのでご参照ください。
- インシデント発生時の調査にAWSマネジメントコンソール上のユーザー名から利用者の紐づけ情報が必要な場合には、学認クラウドゲートウェイサービスサポートが窓口として対応いたします。利用申請時の責任者より学認クラウドゲートウェイサービスサポートにお問い合わせください。