AWS SSO (IAM Identity Center) + Azure Entra ID
Naoki KOBAYASHIAzure 使い始めるのにコストアラート設定 ( Azure 料金まったくわからんので 5000円から )
Naoki KOBAYASHIAWS Organizations 作成してここにアカウント作成していくよ
Naoki KOBAYASHICloudTrail 作成
Naoki KOBAYASHIここまで
- AWS Organizations 作成 / sso auth, web アカウント作って利用できるように
- OU: admin, service, sandbox
- Sandbox にアカウント作って実験できるの嬉しい
- Azure Entra ID + AWS IAM Identity Center で AWS SSO 構成
- Azure Entra ID にユーザ作れば AWS で利用できる ( 別に要らんけど勉強のためにね )
- AWS Cloudtrail 設定...とりあえずログ設定だけね。その他セキュリティのための設定はぼちぼち
クラメソさんありがとう
クラメソさんの記事 + Entra ID の全ユーザ同期するように
Naoki KOBAYASHIAWS SSO からログイン時に AADSTS50105 エラー発生
AADSTS50105: Your administrator has configured the application AWS IAM Identity Center
これは Google 先生に聞くとすぐに解決方法がわかった。
AWS IAM Identity Center プロパティの 割り当てが必要ですか?を いいえ にすれば ok.
Naoki KOBAYASHIAWS SSO ログイン時に、「このコードは使用できません。もう一度試してください。」のエラーがでる。
クラメソさんの記事にドンピシャの内容がある。
該当ユーザの表示名を naotama@xxxxxx.onmicrosoft.com の Entra ID 上のメールアドレスにしてみる -> チャレンジ -> 同じエラー発生。
このユーザは GitHub アカウントでログインしていて、
- Entra ID -> AWS SSO へユーザ同期され Entra ID 上では
naotama@xxxxxx.onmicrosoft.com、AWS 上はnaotama@gmail.comになっている
これが悪いのかなー。と思い Entra ID で新規ユーザを作って同期待ち。
- このユーザは Entra ID 上、AWS 上で同じ
aws-naotama@xxxxxx.onmicrosoft.comになっている。
Entra ID -> AWS SSO への同期が終わったので試してみるとログインできる。わーい。
この後問題になっていた naotama@gmail.com の GitHub アカウントでログインすると成功している。あぁークラメソさんの記事で「表示名を変更する」と書いてあったが、同期後にログインできるようになるのかな。これあとで検証しよう。
Naoki KOBAYASHI表示名 naotama@xxxxxx.onmicrosoft.com を
表示名 naotama に変更
Entra ID -> AWS SSO へ同期されるのを待つ。
同期されたよ。
成功するな。これ何が原因だったんだろう。エラー吐いてるの AWS 側なので CloudTrail に何かあるかな?と思ったけどエラーログ無かったんだよなー。あれ、CloudTrail ON にする前だったかな。
Naoki KOBAYASHI新しい AWS アカウントを追加
- root アカウント AWS Organizations で新規アカウント追加
- パスワード設定 + MFA 設定
- aws console login からパスワード忘れたからリセット
- リセットメールからパスワード設定
- アカウント -> セキュリティ認証情報から MFA 割当
- CloudTrail は有効になってるな.... なぜだろう
- Auth アカウントで許可セット割当して SSOできるように