🔐
Azure ADとAWSの連携をわかりやすく解説!IAMユーザーとの違いやP1/P2ライセンスも紹介
はじめに
AWSを利用している企業で「Azure ADを使ってログインしているらしいけど、なぜ?」と疑問に思ったことはありませんか?
そんな方にわかるように図付きで解説します。
Azure ADとIAMユーザーの違いとは?
| 項目 | Azure AD | IAMユーザー |
|---|---|---|
| 提供元 | Microsoft | AWS |
| 管理範囲 | 組織全体(Microsoft 365など含む) | AWSアカウント内 |
| 認証方法 | Microsoftアカウント | AWS用の専用アカウント |
| MFAやIP制限 | 条件付きアクセスで一元管理可能 | 各IAMユーザーで個別に設定 |
| 使い方のイメージ | 社内アカウントでAWS含む複数サービスにSSO | AWSにだけログインできる専用アカウント |
なぜAzure ADを使うのか?
AWSだけであればIAMユーザーでも運用可能ですが、以下の理由でAzure AD連携が選ばれることが増えています。
-
SSO(シングルサインオン)を実現できる
→ Microsoft 365などと同じアカウントでAWSにもログイン可能 -
退職者のアクセス権を一括で無効化できる
→ Azure ADでアカウントを停止するだけでOK -
グループ単位でAWSのロールを割り当てられる
→ 管理が楽になる -
MFAやIP制限などセキュリティポリシーも一元管理できる
Azure ADのライセンス:Free / P1 / P2の違い
| 機能 | Free | P1 | P2 |
|---|---|---|---|
| 条件付きアクセス(IP制限など) | × | ○ | ○ |
| グループベースのアクセス制御 | × | ○ | ○ |
| リスクベースのアクセス制御(不審なログイン検知) | × | × | ○ |
| 特権ID管理(PIM) | × | × | ○ |
| SSO連携(SAML) | △(一部可能) | ○ | ○ |
AWSと本格的にSAML連携するには、P1以上が必要です。
より高度なセキュリティ対策を取りたい場合はP2を検討します。
Azure ADからAWSにログインする流れ(図解)
流れの概要
- ユーザーがAzureポータルやSSO経由で「AWSアプリ」を選択
- Azure ADに認証され、SAMLトークンが発行される
- AWSがそのトークンを受け取り、一時的なIAMロールに切り替える
- AWSマネジメントコンソールにログイン完了!
設定のざっくり流れ
Azure AD 側
- 「エンタープライズアプリケーション」でAWSアプリを作成
- SAML構成(エンティティID・ACS URLなど)を設定
- ユーザー・グループをアプリに割り当て
-
Role,RoleSessionName属性をSAMLトークンに追加
AWS 側
- IAM > Identity provider にAzure ADを追加(メタデータXMLを使用)
- IAMロールを作成し、信頼ポリシーにSAMLを許可
- ユーザーがAssumeRoleできるように設定
運用面でのメリットまとめ
- 人事システムとの連携で自動でアカウント管理できる
- セキュリティポリシー(MFA・IP制限)をAzure ADで一括設定
- 一時的な権限発行(PIM)やアクセスレビュー(P2)も可能
Discussion