完全に個人的なメモ。
- 対象の OpenSearch クラスターを表示
- 「セキュリティ設定」タブを表示し、「編集」ボタン押下
- 「OpenSearch Dashboards/Kibana 用の SAML 認証」欄の
SAML 認証を有効化
にチェック - 表示される以下の情報をコピー
サービスプロパイダエンティティ ID
IdP によって開始された SSO URL
- この画面を表示したまま別タブ等で IAM Identity Center を表示
- 「アプリケーション > 「アプリケーションを追加」ボタンを押下
カスタム SAML 2.0 アプリケーションの追加
にチェックを入れ「次」ボタンを押下- 「アプリケーションを設定」欄は任意に入力
IAM Identity Center SAML メタデータファイル
をダウンロード- 「アプリケーションのプロパティ」欄はセッション時間のみ設定
- 「アプリケーションメタデータ」欄
メタデータ値をマニュアルで入力する
にチェックアプリケーション ACS URL
には先程のIdP によって開始された SSO URL
を入力アプリケーション SAML 対象者
には先程のサービスプロパイダエンティティ ID
を入力
- 「送信」ボタンを押下
- SSO アプリケーションの追加後、追加されたアプリケーションを選択
- 「アクション」 > 「属性マッピングを編集」を選択
以下の通り入力し、「変更の保存」ボタンを押下
アプリケーションのユーザー属性 この文字列値または IAM Identity Center のユーザー属性にマッピング 形式 Subject ${user:subject} unspecified Role ${user:groups} unspecified User ${user:name} unspecified 「ユーザーを割り当て」ボタンを押下し、ログインさせたいユーザーを割り当てる
参考
- https://dev.classmethod.jp/articles/aws-sso-amazon-elasticsearch-service-login/
- https://faun.pub/how-to-integrate-aws-sso-with-aws-managed-elasticsearch-kibana-instance-a290c32114f8
- https://thandilexiphu.medium.com/enabling-secure-access-to-kibana-using-elascticsearch-saml-auth-and-aws-sso-9d82bb87a7c8