Okta Identity Cloud とは？

Okta Identity Cloud とは Okta社が提供する IDaaS 製品です、以下の記事でざっくり紹介しています。

関連記事

こんにちは Okta

AWS IAM Identity Center が使えない環境って？

当社が提供している AWS請求代行サービスでは 以下プランにおいて AWS Organizations と AWS Control Tower の利用が制限されています。

8%割引プラン
個別割引プラン

当社に限らず AWS請求代行サービス(リセールサービス) のリセラーにおいて割引率が高いプランではルートアカウントをリセラーが管理するため、AWS Organizations や AWS Control Tower の利用に制限がかかっていることが多いようです。

AWS Identity Center は AD や LDAP など既存のIDソースと接続して AWSへの接続を容易にしたり複数アカウントへのアクセス管理やシングルサインオンの機能を提供します。
しかしながら AWS Organizations の使用が制限されている場合、管理アカウントの設定、組織やメンバーアカウントの作成などができません。

AWS Organizations の機能が制限されている環境で AWS IAM Identity Center の利用を開き「AWS Organizations で有効にする」を選択して続行をクリックすると権限がないというメッセージが表示されます。

AWS Organizations でサービスコントロールポリシーによって制限がかけられている場合「このアカウントでのみ有効にする」を選択して続行をクリックすると管理アカウントによって制限されているエラーメッセージが出力されます。

マルチアカウント管理や複数アカウントへのシングルサインオンを行いたくても AWS Organizations の利用が制限されており AWS IAM Identity Center の利用が制限されている環境だと AWS の機能だけでは実現することが難しいと考えられます。

AWS Organizations や AWS Identity Center については文末の参考資料をご確認ください。

Okta には SAML 連携アプリがある！

そこで Okta の出番です。AWS IAM では SAML 認証を利用することができます。

Okta では SAML や OIDC によるアプリケーション統合が用意されており、アプリケーションカタログには AWS アカウントフェデレーション用のテンプレートが用意されており手順も準備されています。

詳しい連携方法については後編で紹介

詳しい連携方法については後編に書いています。

関連記事

【Okta】AWS IAM Identity Center が使えない環境でマルチアカウントログインを実現する(後編)

参考資料

IAM Identity Center とは何ですか？ – AWS IAM Identity Center ユーザーガイド
マルチアカウント管理のベストプラクティス – AWS Organizations ユーザーガイド
複数のAWSインスタンスの統合について – Okta