概要前提条件と制限事項アーキテクチャツールエピックトラブルシューティング関連リソース

Auth0 とを使用して Amazon WorkSpaces の SAML 2.0 認証を実装する Auth0 AWS Managed Microsoft AD

Amazon Web Services、Siva Vinnakota および Shantanu Padhye

概要

このパターンでは、Auth0 をと統合 AWS Directory Service for Microsoft Active Directory して、Amazon WorkSpaces 環境用の堅牢な SAML 2.0 認証ソリューションを作成する方法について説明します。ここでは、これら間のフェデレーションを確立 AWS のサービスして、シームレスなデスクトップアクセスを維持しながら、多要素認証 (MFA) やカスタムログインフローなどの高度な機能を有効にする方法について説明します AWS Managed Microsoft AD。少数のユーザーのみを管理する場合でも数千のユーザーを管理する場合でも、この統合により組織は柔軟性とセキュリティを得ることができます。このパターンでは、独自の環境にこのソリューションを実装できるように、セットアッププロセスの手順を説明します。

前提条件と制限事項

前提条件

アクティブな AWS アカウント
AWS Managed Microsoft AD
に関連付けられている Amazon WorkSpaces Personal のプロビジョニングされたデスクトップ AWS Managed Microsoft AD
Amazon Elastic Compute Cloud (Amazon EC2) インスタンス
Auth0 アカウント

制限事項

一部の AWS のサービスは、すべてで利用できるわけではありません AWS リージョン。利用可能なリージョンについては、「AWS のサービス (リージョン別)」を参照してください。特定のエンドポイントについては、「サービスエンドポイントとクォータ」ページを参照して、サービスのリンクを選択します。

アーキテクチャ

WorkSpaces クライアントアプリケーションの SAML 2.0 認証プロセスは、次の図に示す 5 つのステップで構成されています。これらのステップは、ログインするための一般的なワークフローを表しています。このパターンの指示に従った後に、この分散型認証アプローチを使用することで、ユーザーアクセスのための構造化された安全な方法を提供できます。

ワークフロー:

登録。ユーザーは WorkSpaces のクライアントアプリケーションを起動し、SAML 対応の WorkSpaces ディレクトリの WorkSpaces 登録コードを入力します。WorkSpaces は、Auth0 ID プロバイダー (IdP) の URL をクライアントアプリケーションに返します。
ログイン:WorkSpaces クライアントでは、Auth0 の URL を使用してユーザーのウェブブラウザにリダイレクトします。ユーザーは、ユーザー名とパスワードを使用して認証します。Auth0 は、クライアントブラウザに SAML アサーションを返します。SAML アサーションとは、ユーザーの ID をアサートする暗号化されたトークンです。
認証: クライアントブラウザは SAML アサーションを AWS サインインエンドポイントに投稿して検証します。は発信者が AWS Identity and Access Management (IAM) ロールを引き受けること AWS サインインを許可します。これにより、IAM ロールに関する一時的な認証情報を含むトークンが返されます。
WorkSpaces ログイン: WorkSpaces クライアントは、トークンを WorkSpaces サービスエンドポイントに提示します。WorkSpaces はトークンをセッショントークンと交換し、ログイン URL とともにセッショントークンを WorkSpaces クライアントに返します。WorkSpaces クライアントがログインページを読み込むと、ユーザー名の値が SAML レスポンスで渡された NameId 値によって入力されます。
ストリーミング。ユーザーは、パスワードを入力し、WorkSpaces ディレクトリに対して認証します。認証後、WorkSpaces はトークンをクライアントに返します。クライアントは WorkSpaces サービスにリダイレクトし、トークンを提示します。これは、WorkSpaces クライアントと WorkSpace の間のストリーミングセッションのブローカーとなります。

注記

パスワードプロンプトを必要としないシームレスなシングルサインオンエクスペリエンスを設定するには、WorkSpaces ドキュメントの「Certificate-based authentication and WorkSpaces Personal」を参照してください。

ツール

AWS のサービス

Amazon WorkSpaces は、ハードウェアを調達してデプロイしたり、複雑なソフトウェアをインストールしたりすることなく、ユーザーにクラウドベースのデスクトップを提供する、フルマネージド型の仮想デスクトップインフラストラクチャ (VDI) サービスです。
AWS Directory Service for Microsoft Active Directory は、ディレクトリ対応のワークロードと AWS リソースがで Microsoft Active Directory を使用できるようにします AWS クラウド。

その他のツール

Auth0 は、アプリケーションへのアクセスの管理に役立つ認証および認可を行うプラットフォームです。

エピック

タスク	説明	必要なスキル
Active Directory LDAP コネクタを Auth0 にインストールします AWS Managed Microsoft AD。	Auth0 ダッシュボードにログインし、[認証]、[エンタープライズ]、[Active Directory/LDAP] の順に選択します。[接続を作成する] を選択します。 Active Directory 接続の名前を指定し、[作成] を選択します。 [セットアップ] タブで、お使いのオペレーティングシステム用のエージェントをダウンロードします。インストールが完了すると、デフォルトのブラウザにチケットの URL を入力するプロンプトが表示されます。接続文字列に対して一意である必要があるプロビジョニングチケットの URL を入力し、[続行] を選択します。 [AD LDAP 構成]ダイアログボックスで、[ユーザー名] と [パスワード] に管理者の認証情報を入力し、[保存]を選択します。 Auth0 への接続が確立されると、すべてのチェックに対して [OK] という報告ステータスが、構成ログが表示されます。	クラウド管理者、クラウドアーキテクト
Auth0 でアプリケーションを作成し、SAML メタデータのマニフェストファイルを生成します。	Auth0 ダッシュボードにログインし、Auth0 ドキュメントの指示に従って新しいアプリケーションを作成します。 Auth0 ダッシュボードで、アプリケーション名を選択してその構成設定にアクセスします。[アドオン] タブで、[SAML2 ウェブアプリ] を選択します。アドオンの [設定] タブで、[アプリケーションコールバック URL] に https://signin.aws.amazon.com/saml と入力します。ここで SAML トークンは、`POST` リクエストを送信します。 [設定] タブの [設定]ボックスに、次の SAML 構成コードを JSON 形式で貼り付けます。 { "audience": "https://signin.aws.amazon.com/saml", "mappings": { "email": "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/sAMAccountName", "name": "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name" }, "createUpnClaim": false, "passthroughClaimsWithNoMapping": false, "mapUnknownClaimsAsIs": false, "mapIdentities": false, "nameIdentifierFormat": "urn:oasis:names:tc:SAML:2.0:nameid-format:persistent", "nameIdentifierProbes": [ "http://schemas.auth0.com/sAMAccountName" ] } 保存し、[有効化] を選択します。 [使用状況] タブを選択し、ID プロバイダーのメタデータのマニフェストファイルをダウンロードします。この情報は次のステップで必要になります。 [SAML2 ウェブアプリ] ウィンドウを閉じます。アプリケーション画面で、[接続] を選択します。[エンタープライズ] で、正しい Active Directory/LDAP コネクタを選択し、有効にします。	クラウド管理者、クラウドアーキテクト

タスク	説明	必要なスキル
IAM で SAML 2.0 IdP を作成します。	SAML 2.0 を IdP として設定するには、IAM ドキュメントの「IAM で SAML ID プロバイダーを作成する」に記載されているステップに従います。	クラウド管理者
SAML 2.0 フェデレーション用の IAM ロールとポリシーを作成します。	SAML 2.0 フェデレーション用の IAM ロールを作成します。手順については、WorkSpaces ドキュメントの WorkSpaces Personal で SAML 2.0 を設定する手順のステップ 2 を参照してください。 IAM ポリシーを作成し、前のステップで作成したロールに関連付けます。手順については、WorkSpaces ドキュメントの WorkSpaces Personal で SAML 2.0 を設定する手順のステップ 3 を参照してください。	クラウド管理者

タスク説明必要なスキル

タスク	説明	必要なスキル
Auth0 および SAML アサーションを構成します。	Auth0 アクションを使用して、SAML 2.0 レスポンス内のアサーションを構成できます。SAML アサーションは、ユーザーの ID をアサートする暗号化されたトークンです。 Auth0 ダッシュボードにサインインします。[アクション]、[ライブラリ]、[アクションを作成]、[一から構築] の順に選択します。次の値を指定して、[作成] を選択します。 [名前]: アクションの名前を指定します [トリガー]: [ログイン]/[ログイン後] を選択します [ランタイム]: [Node 18] を選択します次の画面で、以下のコードを入力します。 exports.onExecutePostLogin = async (event, api) => { if (event.client.name === "Workspace_Saml") { const awsRole = 'arn:aws:iam::030784294031:role/Workspace_Auth0,arn:aws:iam::030784294031:saml-provider/Auth0'; const awsRoleSession = event.user.sAMAccountName; const email = event.user.emails[0]; api.samlResponse.setDestination('https://signin.aws.amazon.com/saml'); api.samlResponse.setAttribute('https://aws.amazon.com/SAML/Attributes/Role', awsRole) api.samlResponse.setAttribute('https://aws.amazon.com/SAML/Attributes/RoleSessionName', awsRoleSession) api.samlResponse.setAttribute('https://aws.amazon.com/SAML/Attributes/PrincipalTag:Email', email) } return; }; [デプロイ] をクリックします。これで、WorkSpaces Personal デスクトップの SAML 2.0 認証の設定は完了です。「アーキテクチャ」セクションでは、セットアップ後の認証プロセスについて説明します。	クラウド管理者

Auth0 および SAML アサーションを構成します。

Auth0 アクションを使用して、SAML 2.0 レスポンス内のアサーションを構成できます。SAML アサーションは、ユーザーの ID をアサートする暗号化されたトークンです。

Auth0 ダッシュボードにサインインします。[アクション]、[ライブラリ]、[アクションを作成]、[一から構築] の順に選択します。
次の値を指定して、[作成] を選択します。
[名前]: アクションの名前を指定します
[トリガー]: [ログイン]/[ログイン後] を選択します
[ランタイム]: [Node 18] を選択します

次の画面で、以下のコードを入力します。


exports.onExecutePostLogin = async (event, api) => 
{   if (event.client.name === "Workspace_Saml")
   {     const awsRole = 'arn:aws:iam::030784294031:role/Workspace_Auth0,arn:aws:iam::030784294031:saml-provider/Auth0';
     const awsRoleSession = event.user.sAMAccountName;
     const email = event.user.emails[0];
     api.samlResponse.setDestination('https://signin.aws.amazon.com/saml');
     api.samlResponse.setAttribute('https://aws.amazon.com/SAML/Attributes/Role', awsRole)
     api.samlResponse.setAttribute('https://aws.amazon.com/SAML/Attributes/RoleSessionName', awsRoleSession)
     api.samlResponse.setAttribute('https://aws.amazon.com/SAML/Attributes/PrincipalTag:Email', email)
   } return;
};

[デプロイ] をクリックします。

これで、WorkSpaces Personal デスクトップの SAML 2.0 認証の設定は完了です。「アーキテクチャ」セクションでは、セットアップ後の認証プロセスについて説明します。

クラウド管理者

トラブルシューティング

問題	ソリューション
WorkSpaces における SAML 2.0 認証の問題	WorkSpaces Personal に SAML 2.0 認証を実装する際に問題が発生した場合は、SAML 2.0 認証のトラブルシューティングに関する AWS re:Post の記事に記載されているステップとリンクに従ってください。 WorkSpaces へのアクセス中に発生する SAML 2.0 エラーの調査の追加情報については、以下を参照してください。 AWS サポートケースの HAR ファイルとコンソールログをブラウザから作成するにはどうすればよいですか? (AWS re:Post) View a SAML response in your browser (IAM ドキュメント)

問題

ソリューション

WorkSpaces における SAML 2.0 認証の問題

WorkSpaces Personal に SAML 2.0 認証を実装する際に問題が発生した場合は、SAML 2.0 認証のトラブルシューティングに関する AWS re:Post の記事に記載されているステップとリンクに従ってください。

WorkSpaces へのアクセス中に発生する SAML 2.0 エラーの調査の追加情報については、以下を参照してください。

AWS サポートケースの HAR ファイルとコンソールログをブラウザから作成するにはどうすればよいですか? (AWS re:Post)
View a SAML response in your browser (IAM ドキュメント)

Auth0 と を使用して Amazon WorkSpaces の SAML 2.0 認証を実装する Auth0 AWS Managed Microsoft AD

概要

前提条件と制限事項

アーキテクチャ

注記

ツール

エピック

トラブルシューティング

関連リソース

Auth0 とを使用して Amazon WorkSpaces の SAML 2.0 認証を実装する Auth0 AWS Managed Microsoft AD