GakuNinmAPpublic

ページ ツリー

比較バージョン

古いバージョン 4

changes.mady.by.user Takeshi Nishimura

保存しました

次と比較

新しいバージョン 現在

changes.mady.by.user KUROSAKA Shoichi

保存しました

キー

  • この行は追加されました。
  • この行は削除されました。
  • 書式設定が変更されました。

...

  1. 概要
  2. グループ管理者による初期設定
    1. AWSマネジメントコンソールの設定
    2. グループの設定
  3. 利用フロー - ゲートウェイサービスからAWSマネジメントコンソールへシングルサインオン
  4. その他

概要

学認クラウドゲートウェイサービス(以下、ゲートウェイサービス)に登録されているAWSマネジメントコンソールSPコネクタに任意のグループを接続することで、ゲートウェイサービス経由でAWSマネジメントコンソールにサインインするための手順を示します。AWSマネジメントコンソールはすでに利用可能な状態でご契約されていることを前提とします。

本ページでは以下の前提および要領で記載しています。

  • AWSマネジメントコンソールはすでに利用可能な状態でご契約されていること。
  • 本ページで「グループ」と記載しているものは、ゲートウェイサービスグループ機能で提供されるグループを指しています。AWSマネジメントコンソール上で作成したグループとは異なります。
注意

本機能は現在ベータ版として提供しております。

本機能が利用できるのはゲートウェイサービスに利用申請いただいた機関のみです。

ゲートウェイサービスを介してその先のSPへログインするという性質上、各機関IdP所管部署の了解を得られた場合のみ提供しております。所属機関から了解を得られているか不明であるもしくはIdP所管部署の方で了解を与えたいという場合はお手数ですがゲートウェイサービスお問い合わせ先までご連絡ください。

...

  1. ゲートウェイトップ画面から「AWS Management Console」の「グループ表示」を開き、表示されるグループをクリックしてください。


  2. グループを選択後にAWSマネジメントコンソールにサインインが行われます。
    多くの場合はすでにゲートウェイサービスにログインしているためシングルサインオン(SSO)によりAWSマネジメントコンソールにサインインされますが、もしタイムアウト等でSSOしない場合は所属機関IdPで認証してください。
    以下のように「サービスに送信される情報」を選択する画面が表示される場合があります。これはゲートウェイサービス側の画面で、ユーザが当該サービスに送信する属性を選択・同意するための画面です。送信する属性について問題なければ「同意」ボタンをクリックします。
    Image Removed

    情報

    利用可能なグループが複数ある場合には、AWSサインイン前に表示されるロールの選択画面から、利用したいロールを選択する必要があります。どのロールを選択すべきか不明な場合はグループ管理者へお問い合わせください。


    以下のように「サービスに送信される情報」を選択する画面が表示される場合があります。これはゲートウェイサービス側の画面で、ユーザが当該サービスに属性を送信することに同意するための画面です。送信する属性について問題なければ「同意」ボタンをクリックします。なお、送信される属性は以下の通りです。

    • AWSRoleSessionName: ゲートウェイサービスが付与する永続的な仮名識別子(いわゆるeduPersonTargetedID)

    • AWSRole: グループ管理者が入力したAWSアカウントID・ロール名・IDプロバイダ名
    • eduPersonEntitlement: 所属するグループ情報

    Image Added

    注意

    ソフトウェアの不具合により上記の「サービスに送信される情報」を選択する画面が表示された後にAWSにサインインできない場合があります。「次回ログイン時に再度チェックします。」以外 を選択してご利用ください。
    「同意」ボタンをクリックした直後にエラーとなった場合はお手数をおかけして申し訳ございませんが、もう一度1.の手順からやり直してください。

    情報

    利用可能なグループが複数ある場合には、AWSサインイン前に以下のようなロールの選択画面が表示され、利用したいロールを選択する必要があります。どのロールを選択すべきか不明な場合はグループ管理者へお問い合わせください。

    Image Added

    問い合わせを受けたグループ管理者の方は、利用者が選択すべきAWSアカウントIDとロールの組み合わせを利用者へ連絡してください。

    AWSマネジメントコンソールにサインインしたあと以下のような画面となります。AWSマネジメントコンソールにサインインされたあとは以下のような画面となります。
    サインインしたユーザ名はフェデレーションログインとして認識され「ロール名/ランダムな文字列」の形式で表示されます。


その他

  • グループに複数の異なる機関のメンバーがいる場合はそれぞれの機関が以下2つの条件を満たしている必要があります。そうでない機関のメンバーについては「利用フロー - ゲートウェイサービスからAWSマネジメントコンソールへシングルサインオン」で説明しているシングルサインオン(SSO)はできません。
    1. メンバーの所属機関がゲートウェイサービスに参加していること(「学認クラウドゲートウェイサービス」をご参照ください)
    2. IdP管理者によりAWSコンソールが利用できるようになっていること(「グループの設定」をご参照ください)
  • AWSマネジメントコンソールへのSSOは、本ページで紹介しているように「ゲートウェイサービスから送信される属性を元にAWSのロールに紐づけてログインした状態にする」方法で行われます。これはサービスがSSOのために提供している機能に依存する部分で、他のクラウドサービスでは「IdPから送信されたメールアドレス等の属性を元にSPのローカルアカウントに紐づけてログインした状態にする」形でのSSOが一般的かと思われます。AWSマネジメントコンソールの場合には特定のローカルアカウント(IAMユーザ等)に紐づける形ではない点にご注意ください。個々のユーザにローカルアカウントを作成しておくという煩雑さがない一方、サービス上では個々人を区別する手段は、自動的に割り当てられるユーザー名以外にはありません。
  • グループとAWSマネジメントコンソールの設定に関する設定例の一つとして『学認クラウドゲートウェイサービス(2)「活用事例 - AWSコンソールSSOの実際 - 」』(学術情報基盤オープンフォーラム2020資料)を公開しておりますのでご参照ください。
  • インシデント発生時の調査にAWSマネジメントコンソール上のユーザー名から利用者の紐づけ情報が必要な場合には、学認クラウドゲートウェイサービスサポートが窓口として対応いたします。利用申請時の責任者より学認クラウドゲートウェイサービスサポートにお問い合わせください。