【セキュリティ&運用】Microsoft Entra IDと AWS IAM Identity Centerを 統合したときのTEAM for IAM Identity Centerの挙動 - サーバーワークスエンジニアブログ
トップ > 【セキュリティ&運用】Microsoft Entra IDと AWS IAM Identity Centerを 統合したときのTEAM for IAM Identity Centerの挙動

【セキュリティ&運用】Microsoft Entra IDと AWS IAM Identity Centerを 統合したときのTEAM for IAM Identity Centerの挙動

記事タイトルとURLをコピーする

Q.Entra IDと連携しているIAM Identity Centerでも、TEAMソリューションで運用を楽にできる?

A.できます。

結論

① Entra ID連携中でもTEAMはデプロイ可能か?
結果: デプロイ可能

② Entra ID連携前に作成したユーザーは引き続き利用可能か?
結果: 利用不可(そもそもIAM Identity Centerポータルページに到達不可)

③ Entra ID連携後に作成したユーザーは利用可能か?
結果: 利用可能

注意点

  • Entra ID側でユーザーにメールアドレスを登録する必要がある
  • 有料版のEntra IDを使わないとグループ機能は使えず、TEAMのパフォーマンスを発揮しにくい
  • グループ・ユーザーの管理はIAM Identity CenterではなくEntra ID側で行う必要がある

はじめに

以前、AWSの公式ソリューションTemporary Elevated Access Management (TEAM)とは何か、そのメリットとできることについて解説するブログを投稿しました。

過去記事はこちら: blog.serverworks.co.jp

blog.serverworks.co.jp

今回は、AWS IAM Identity Center(以下IdC / IAM Identity Center)とMicrosoft Entra ID(以下Entra ID)を連携している場合に、TEAMソリューションを使うことが出来るのかを検証し、注意が必要なポイントについてまとめました。

記事の対象者

  • IAM Identity CenterとEntra IDを連携しており、TEAMを使いたい方
  • IAM Identity CenterとEntra IDを連携したときの仕様が知りたい方
  • TEAMの仕様が知りたい方

前提

AWS IAM Identity Centerは、AWSアカウントへの管理された一元アクセスを可能にしてくれます。

Microsoft Entra IDと連携することで、Entra IDで管理しているユーザーやグループをIAM Identity Centerに自動的に同期できます。特にマルチクラウド環境やOffice製品を使っている環境だと多いパターンかと思います。

しかし、Entra ID連携をしたIAM Identity Centerでは以下の制約が生まれる点に注意が必要です:

  • 自動プロビジョニングを設定すると、IAM Identity Centerに直接ユーザーやグループを追加できなくなり、Entra ID経由での設定のみとなります(手動プロビジョニングであれば追加可能)。
  • 連携前に登録していたユーザーやグループは削除されませんが、事実上使用不可です。(後述検証①参照)
  • ユーザーやグループに対する許可セットの付与はIAM Identity Center側で実施できます。

ここで、改めてTemporary Elevated Access Management (TEAM)ソリューションについて考えます。

IAM Identity Centerの一時的な承認を可能とし、セキュリティと運用効率化を高めてくれるTEAMは、IdCのグループ・ユーザーで管理を行います。

TEAMの運用における各ペルソナ(申請者、承認者、監査人、管理者)や権限範囲の設定は、Entra ID(IAM Identity Center)のグループで管理する必要があり、監査用と管理者用のグループはデプロイ時に設定が必須です。

監査・管理者用グループ名はデプロイ時に設定(必須)

それでは、Entra ID連携をしたIdC環境でTEAMは使えるのでしょうか?

検証結果

① Entra ID連携中でもTEAMはデプロイ可能か?

結果: デプロイ可能

Entra IDと連携していても問題なくTEAMをデプロイできました!

以下の3パターンで試しました。

  • 非Entra ID管理ユーザー
  • Entra ID管理ユーザー
  • 非Entra ID管理グループ

※Entra ID管理グループについてはEntra IDのFree版ではグループ機能が利用できないため未検証となっていますが、ユーザーの割り当てが可能だったことから、グループも可能だと推測されます。

IAM Identity CenterとEntra IDの連携手順については弊社ブログ「Microsoft Entra ID と IAM Identity Center を連携させて、AWS アカウントへのログインを実現させる」、TEAMデプロイと設定については公式ガイドに従いました。

TEAMアプリケーションを使うにはIAM Identity Center上でユーザー・グループを割り当てる必要がありますが、こちらも問題なく全パターンで実施できました。

注意点:有料プランが必要

グループ機能の利用にはMicrosoft Entra ID P1以上の有料プランが必要です。
TEAMはグループでの運用がほぼ必須なので、実質Entra IDの有料プランは必須となっています。

IAM Identity CenterとEntra IDを連携しているような企業は有料版を導入しているケースが多いと考えられますが、注意点として挙げさせていただきます。

小ネタ:自動プロビジョニングによるグループの使用

ただ、どうしても検証に使いたいなどの場合、自動プロビジョニングを無効にすることで強引に解決可能です。

Entra IDの自動プロビジョニング設定を無効にすると、「Entra IDとの連携は維持されるものの同期は行われず、IAM Identity Center側でユーザーやグループの作成と管理が可能」な状態となります。

IAM Identity Centerの設定から無効に
プロビジョニング方法が手動に変わった

ただし、こちら一度無効にすると再度有効化にはEntra IDとの連携が必要になります。本番環境で実施するのは現実的ではないかと思います。

再有効化時のイメージ。アクセストークンを使ってEntra ID側でも設定する必要がある。

② Entra ID連携前に作成したユーザーは引き続き利用可能か?

結果: 利用不可

Entra IDアカウントでログインした状態でIAM Identity CenterのURLにアクセスすると、Microsoftの認証画面が表示されます。
この際必ずEntra ID管理のユーザーを選択する必要があるため、IAM Identity Centerのみで管理されているユーザーはログインに使用できませんでした。

この中から選ぶ必要がある

③ Entra ID連携後に作成したユーザーは利用可能か?

結果: 利用可能

Entra IDアカウントでログインし、IAM Identity CenterのURLにアクセスするとMicrosoft認証画面に遷移します。
アカウントを選択すると、IAM Identity Centerのアクセスポータルにログインできました。

なお、IAM Identity Centerで作ったグループについてはTEAM上でも問題なく使えます。

注意点:メールアドレス登録が必要

  • Entra ID側でユーザーのメールアドレスを設定していない場合、IAM Identity Centerポータルまでは行けるものの、TEAMログイン時にエラー画面が出て失敗するようです。

Entra ID側でメールを設定してあげるとうまくいきます。

運用の考察

想定する懸念点

  1. Entra IDチームとTEAM運用チームが別組織の場合
    導入時やグループ・ユーザー追加時には、両者間での連携や調整が必要となり、コミュニケーションのコストがかかります。
    追加作業や設定内容が増える可能性があるため、運用設計の段階でこれらの点に注意する必要があります。

  2. Entra ID側の設定が不十分な場合
    Entra IDでのメールアドレス設定がされておらず、しかも多くの利用者を想定する場合、メールアドレス設定の手間が発生します。

運用パターンの考察

IAM Identity Center・TEAM運用チームがEntra IDも管理している(できる)場合、そのチームがEntra IDプロビジョニングを行い、Entra ID側でユーザー・グループを管理することで比較的スムーズに進みそうです。

しかし、Entra IDチームとTEAM運用チームが別組織の場合は以下のような準備が必要になるかと思われます。

導入時の分担設計
TEAM導入時にEntra ID側で必要な設定がスムーズに行われるよう、事前に両チームで合意した設計を行います。

TEAM導入時にEntra ID側で必要なこと:

  • 【ほぼ必須】AWS IdCアプリケーションでのグループ割り当てが可能な有料プランであることを確認する
  • 【必須】少なくとも管理者ペルソナ・監査ペルソナ用の2つのグループを作る
  • 【必須】管理ペルソナにユーザーを1人以上割り当てる
  • 【必須】TEAMを使用するEntra IDのユーザーにメールアドレスを付与する
  • 監査ペルソナにユーザーを一人以上割り当てる
  • 予め申請者と承認者の単位になりそうなグループ分け設計をしておき、それに合わせたグループ・ユーザーのまとまりを構成しておく

運用時のフロー設計
Entra ID側での変更が必要な際の連絡手段や承認フローを定め、運用負荷を最小限に抑えます。

一度グループに追加してしまえばあとはIdC・TEAMアプリ上で管理できるため、その分担を明確にすることでスムーズに運用につながるかと思います。

  1. グループの追加・削除
  2. ユーザーのグループへの追加・削除

また、TEAM・IAM Identity Center自体の設定・運用フローについてはまた別に設計が必要かと存じますので、TEAM導入後に使用感を確かめつつ決めるのが良いかと推察します。

まとめ

最近ではAWS IAM Identity CenterとMicrosoft Entra IDの連携はよく話を聞きます。
AWSだけでなく、周辺知識をたくさん身に着けていきたいと思いました。

ブログが少しでもお役に立てれば幸いです。

垣見(かきみ)(執筆記事の一覧)

2023年新卒入社 エンタープライズクラウド部所属

図解するのが好き。「サバワク」のアイキャッチ作成も担当しています