Okta + AWS SSOでの管理の簡素化とCLIのサポート追加

Okta Single Sign-On（SSO）は、Amazon Web Services（AWS）のクラウドインフラストラクチャとシームレスに統合します。その利便性が支えるWeb/モバイルプラットフォームは、多くの企業の何百万人ものユーザーに活用されています。クラウド対応のアイデンティティおよびアクセス管理（IAM）に対する需要は、ビジネス環境全体で爆発的に増加しています。また、組織がビジネスのオンライン化をさらに推進する中、グローバルの従業員を仮想ワークスペースに安全かつシームレスに接続するSSOなどのニーズが飛躍的に高まっています。

AWSのユーザー企業の多くは、すでにOktaを使用してユーザーの安全な認証を実現しています。Oktaの2020 Business@Workレポートによると、この統合はOktaのトップ3アプリの1つです。Oktaは、データを監視し、Okta Integration Networkでどのアプリが最も人気があるかを追跡しています。過去3年間に、他のアプリの利用状況には浮き沈みがある一方で、AWSは一貫してトップ3の座を維持しています。

しかし、大規模で複雑な組織では、AWS環境内のアイデンティティ管理が負担になることがあります。具体的には、組織が多くのAWSアカウントと高度なアクセス許可セットを使用している場合に課題が発生します。AWS IAMのロールとアカウントにユーザーやグループを迅速にプロビジョニングすることは、企業のIT管理者の担当です。これは、専門知識が必要とされ、また時間がかかる手動プロセスであるため、困難なタスクとなる場合があります。さらに、在宅勤務が拡大し、アイデンティティとプロジェクトの数が増えるにつれて、このタスクはさらに複雑化しています。

お客様からの要望に耳を傾けてきたOktaは、このたびAWS SSOとの新しい統合を発表しました。今回のOktaとAWS SSO統合のアップデートでは、前述の問題を解決するために設計された新しいAWS機能を通じて、AWSを使用する組織へのサポートが拡充されました。このリリースにより、Oktaのエンドユーザーは割り当てられたAWSアカウントにワンクリックでアクセスでき、Oktaで馴染んでいる利便性の高いサインインのメリットを享受できるようになりました。管理者にとっては、既存のOktaユーザー/グループへのAWSアクセス権の付与が容易になり、AWS SSOのアクセス許可セットを介したAWSマルチアカウントアクセス管理が簡素化されています。

以下のクイックデモでは、新しいAWS SSOポータルにOktaがどのように統合されているかを紹介しています。

OktaとAWS SSO統合の新機能とメリット

OktaからすべてのAWSリソースにワンクリックでアクセス

OktaをAWS SSOに接続し、割り当てられたすべてのAWSリソースにアクセスするためのユーザーポータルを提供できるようになりました。OktaとAWS SSOのフェデレーションによって、エンドユーザーはワンクリックでAWS SSOにサインインできます。これにより、許可されたユーザーは、AWSマネジメントコンソールで管理される適切なAWSアカウント/リソース（Amazon EC2、Amazon S3など）にシームレスにマッピングされます（以下参照）。

AWS SSOでのアクセス許可の一元管理

AWS SSOでは、AWSアカウント/リソースにアクセスするためのきめ細かな認証を一元的に管理できます。AWS管理者は、ロールとプロジェクトに合わせて柔軟なアクセス許可を作成し、ユーザーやグループに割り当てることができます。これによって、個々のAWSアカウントをセットアップする必要がなくなり、管理の負担が軽減されます。

たとえば、セキュリティチームに対しては、セキュリティツールを実行するAWSアカウントについて管理者レベルのアクセスを付与する一方で、他のAWSアカウントについてはモニタリング目的での監査レベルのアクセス権を付与するだけに留めることができます。

AWS SSOでユーザーとグループを一元管理することで、AWS管理者は、すべてのAWSアカウントで誰が何にアクセスできるのか、それらのアクセス許可がいつ割り当てられたかを完全に把握できます。監査チームとコンプライアンスチームは、社内および法規制のコンプライアンス要件を満たすことができます。メリットは三方向に及びます。企業のチームはクラウドインフラストラクチャへの安全で摩擦のないアクセスを実現し、ITマネージャーはクラウドインフラストラクチャへの時間のかかる手動プロビジョニングの負担を軽減し、企業資産は安全性を維持できます。

Okta Lifecycle Managementによる自動プロビジョニング

Okta Lifecycle Management（LCM）を使用することで、OktaとAWSの間でユーザーが自動的に同期されます。また、グループプッシュ機能を使用すると、既存のOktaグループとそのメンバーシップをAWS SSOにプッシュできます。つまり、人事システムのマスターや既存のディレクトリ統合を使用する場合を含め、Oktaでユーザーがオンボーディングされると、AWS SSOでプロビジョニングが同時に実行されます。これにより、ユーザーのグループメンバーシップにマッピングされたアクセス許可セットに基づいて、特定のAWSアカウント/リソースへのアクセスが割り当てられます。

一例として、特定のOktaグループに属し、特定のAmazon EC2インスタンスを管理するためのアクセス許可が割り当てられているユーザーが、その後にグループから削除されたケースを考えてみましょう。Okta + AWS SSOの深い統合により、元のグループから削除されたユーザーは、EC2インスタンスを管理するためのアクセス許可も、即座かつ自動的に失います。タイミングが遅れることもなく、IT管理者のフォローアップも不要です。許可されないユーザーがグループのAWSリソースへのアクセスを保持するという、セキュリティのリスクも発生しません。

CLIを介した、摩擦のない合理化された開発者エクスペリエンス

AWS SSOの統合では、AWSコマンドラインインターフェイス（CLI）のサポートが拡大されました。これによって、開発者も効率化のメリットを受けることができます。AWS CLIは、開発者とDevOpsチームが複数のAWSサービスを管理し、スクリプトを使用してコマンドを自動化できる強力なツールです。OktaとAWS SSOの統合により、開発者はOktaの資格情報とOktaの多要素認証（MFA）を使用してサインインできるようになりました。

AWS CLI v2でAWSシングルサインオンがサポートされるようになったことで、AWS CLIプロファイルがAWS SSOアカウントにリンクされ、Oktaが外部アイデンティティプロバイダーとして機能できるようになりました。これにより、開発者は安全でシームレスなOktaのMFAを使用したログインエクスペリエンスを享受でき、アプリケーション構築に即座に集中できます。このAWS SSO統合プロセスは、以下のように単純です。

ステップ1：CLIからSSO認証を開始する

ステップ2：Oktaの資格情報 + MFAでサインインする

ステップ3：AWSのアカウントとロールの許可が付与される

さらに詳しく

Oktaは、シンプルかつ安全で、お客様が使用するプラットフォームやアプリケーションと簡単に統合できる最新のアイデンティティソリューションを提供しています。このことに常に誇りを持つとともに、ソリューションセットのイノベーションを止めることはありません。今回の統合は、Okta Identity CloudとAWSの強固でシームレスな接続を一層深め、両社のお客様に今後もイノベーションのメリットを享受していただく上で役立つものとなっています。

詳細については、以下の構成ガイドをご覧ください。

AWSシングルサインオン向けにSAML 2.0を構成する方法

AWSシングルサインオン向けに自動プロビジョニングをセットアップする方法

AWSシングルサインオンを使用するためにAWS CLIを構成する方法

Okta - AWSのWebページもご覧ください。また、チームに連絡するには、こちらをクリックしてください。