MBS では Google Workspace アカウントを利用して、AWS Organizations の AWS IAM Identity Center に SSOできるようにしています。新規エンジニアがジョインしたときには Google Workspace と AWS IAM Identity Center の両方にユーザー作成をする必要があります。AWS IAM Identity Center には Google Workspace から SCIM によってユーザーを自動プロビジョニングできる機能があるので、自動プロビジョニングがMBSの環境にマッチするか確かめてみました。

設定のながれ

Google WorkspaceでSAML認証のためのメタデータを取得

管理コンソール＞セキュリティ＞SAML アプリケーションによるSSOからメタデータをダウンロードする。 

IAM Identity Centerで外部IdPを利用する設定

IAM Identity Center＞設定＞アイデンティティソース
アイデンティティソースは「外部IdPを利用」を選択。

Google Workspaceで取得したメタデータを読み込む。

IAM Identity Center側のメタデータをメモしておく。

ユーザープロビジョニングの設定

IAM Identity Centerで自動プロビジョニングを有効化

有効にすると表示されるSCIM エンドポイントとアクセストークンをメモしておく。

Google WorkspaceでSAMLアプリケーションを追加

ここが唯一のはまりポイントでした。

プリセットのアプリケーションリストにあるAWSの設定ではAWS Organizationsを用いず、AWSアカウントのIAMに対してIdentity Providerとして登録する際のACLやエンティティの情報が入っているので、「カスタムSAMLをアプリの追加」としたくなるが、カスタムアプリでは自動プロビジョニングの設定ができない。

プリセットのアプリケーションリストから「Amazon Web Services」を検索して選択。

ACLやエンティティの情報をIAM Identity Centerで取得したデータで上書きする。

Google Workspaceでプロビジョニングの設定

自動プロビジョニングの設定より以下を入力

アプリの承認→トークンを入力
エンドポイントURL→SCIMエンドポイント
プロビジョニング対象→自動でプロビジョニングするグループ（GWSのグループ）

アプリケーションを利用できるOUまたはグループを指定

GWSのアプリケーションリストに表示されて利用できるユーザーのOUやグループを指定し、自動プロビジョニングを有効にする。

IAM Identity Centerで確認

しばらく待って、プロビジョニング対象のユーザーがIAM IDentity Centerのユーザーとして追加されたか確認。

ログはGWSのプロビジョニング設定「同期ログを表示」からも閲覧できる。

MBSでの利用