AWS IAM Identity Center は、複数の AWS アカウントとクラウド・アプリケーションにわたる従業員のアクセス管理を一元化する AWS サービスです。シングルサインオン機能が提供されるため、ユーザーは一度サインインするだけで、割り当てられたすべてのリソースにアクセスでき、それぞれに個別の認証情報は必要ありません。このサービスには、ユーザーアイデンティティを直接管理したり、Oktaなどの外部アイデンティティプロバイダー(IdP)に接続したりする機能が含まれています。その主な利点は、ユーザーエクスペリエンスの簡素化、一元管理によるセキュリティの強化、マルチアカウントAWS環境でのコンプライアンスの容易さです。
今日のクラウドファーストの世界では、アイデンティティが重要なコントロールプレーンです。グローバル規模で事業を展開する組織にとって、適切な人材が適切なリソースに適切なタイミングで、どこからでもアクセスできるようにすることは譲れません。だからこそ、Oktaとアマゾンウェブサービス(AWS)の連携方法の大幅な強化を共有できることを嬉しく思います。
AWS は、従業員のレジリエンスとパフォーマンスを強化するために、AWS IAM Identity Center のマルチリージョンサポートを開始しました。この新機能は、Okta を含む外部のアイデンティティプロバイダー(IdP)を完全にサポートします。現在、このマルチリージョンのサポートは、デフォルトで有効になっている17の商用AWSリージョンの外部アイデンティティプロバイダーに接続されたIAM Identity Centerの組織インスタンスで利用できます。
信頼できるアイデンティティパートナーとして、Oktaはこの機能をサポートできることを嬉しく思います。これにより、両社のお客様は、地域的なサービスの中断や地理的距離に関係なく、重要なクラウドインフラストラクチャに中断なくアクセスできるようになります。
課題:単一地域の依存関係
AWSリージョンは複数のアベイラビリティーゾーン(AZ)で構成されているため、単一のリージョン内でも本質的に高い可用性が実現されます。ただし、リージョン全体のアイデンティティセンターに影響するサービス中断が発生した場合、実際のワークロードがどのリージョンに存在しているかに関係なく、従業員全員がAWS環境から実質的に締め出されてしまいます。
その結果、その地域での遅延やコントロールプレーンの不安定性は、グローバルな運用遅延に発展し、組織がセキュリティインシデントや緊急のスケーリングニーズにリアルタイムで対応する能力を妨げます。
ソリューション:Okta と AWS によるマルチリージョンのレジリエンス
新しいマルチリージョンのサポートにより、AWS IAM アイデンティティ Center インスタンスをプライマリリージョンから任意の追加リージョンに複製できるようになりました。
Okta のお客様にとって、これは次のことを意味します。
1. 中断のない事業継続
レジリエンスこそがこのアップデートの中核です。マルチリージョンレプリケーションを有効にすると、Okta から同期されたアイデンティティやエンタイトルメントを含む IAM Identity Center データが、選択したフェイルオーバーリージョンに自動的に複製されます。
万が一、プライマリ AWS リージョンがオフラインになった場合でも、従業員は別のリージョンの AWS アクセスポータルから AWS アカウントと管理対象アプリケーションに引き続きアクセスできます。インフラの「鍵」は引き続き利用可能であり、ビジネスが動き続けることを確実にします。
2. グローバルチームのパフォーマンス最適化
遅延は重要な要素です。ロンドンにエンジニアリングチームがあり、東京にデータサイエンティストがいる場合、ログインリクエストをバージニア州北部のサーバーを経由してルーティングするのは理想的ではありません。
この機能強化により、AWS が管理する Application (アプリケーション)をユーザーの物理的な場所に適したリージョンにデプロイできます。Okta は安全な認証を処理し、AWS IAM アイデンティティセンター はローカルリージョンを介したアクセスを許可するため、より高速で応答性の高いエクスペリエンスが提供されます。
3. 簡素化された管理
「マルチリージョン」という名前にもかかわらず、管理エクスペリエンスは一元化されています。プライマリリージョンで引き続きポリシーと許可を管理します。AWS は、その構成を他のリージョンに複製するという負担の大きい作業を処理します。
Okta 側では、追加のリージョンへの直接サインインを有効にするために、顧客は追加のリージョンの ACS URL を追加する必要があります。ユーザーは引き続き Okta 内でユーザーとグループを管理でき、AWS IAM Identity Center へのアクセスがシームレスにプロビジョニングされ、そのアクセスがグローバルに伝播されます。
はじめに
OktaとAWS IAM Identity Centerは、Oktaの統合ネットワークアプリケーションを使用して、レジリエンスの強化とグローバル展開のためのマルチリージョンアクセスをサポートするようになりました。
マルチリージョンアクセスは現在、連携されたID設定を介してOktaなどの外部アイデンティティプロバイダーに接続されているIAM Identity Centerの組織インスタンスでサポートされています。通常はOktaの統合ネットワークと堅牢なSAML 2.0機能を活用しています。
実装と構成:
マルチリージョンアクセスを実装するには、AWS 環境と Okta 環境の両方で特定の設定が必要です。このプロセスでは、Okta Application (アプリケーション)が複数の AWS リージョンにわたる連携されたアクセスを処理するように正しく設定されていること、および IAM アイデンティティセンターインスタンスが指定されたリージョンからの接続を受け入れるようにプロビジョニングされていることを確認する必要があります。
この機能の実装や、必要な前提条件やトラブルシューティングガイドラインを含む詳細なステップバイステップの設定手順については、公式のAWSドキュメントをご参照ください。
おわりに
Oktaの堅牢なID管理とAWSのグローバルインフラストラクチャを統合することで、現代の企業に安全な基盤を提供します。マルチリージョンサポートを活用することで、コンプライアンスやデータの保存場所が確保されるだけでなく、何が起こっても従業員の接続と生産性が維持されることが保証されます。
AWS と協力して、これらのエンタープライズレベルのレジリエンス機能をお客様に提供できることを誇りに思います。
