継続は力なり

タイトル通り定期的な更新を心掛けるブログです。

Amazon Workspace を Microsoft EntraID の SAML 認証を行う~設定編~

AWS Workspaces Microsfoft EntraID

タダです.

Amazon Workspaces(以下,Workspaces)のログインを Microsoft EntraID の SAML 認証で設定する事があったので今回は SAML 認証設定編です.なお,前回記事は以下になります.

sadayoshi-tada.hatenablog.com

Workspaces のログインを SAML 認証設定でやること

以下のドキュメントにステップが書かれているため,この記事でも沿って書いていきます.

docs.aws.amazon.com

設定工程

事前準備

事前準備として Microsoft EntraID のエンタープライズアプリケーションから SAMLメタデータを取ってくる必要があるので,その設定をまず行います.エンタープライズアプリケーションの SAML 設定でこちらの URL からダウンロードした saml-metadata.xml をアップロードします.アップロードして保存後にフェデレーションメタデータXML ファイルをダウンロードしておきます.

AWS IAM で SAML ID プロバイダーを作成する

IAM で SAML ID プロパイダーを追加します.事前準備でダウンロードしたフェデレーションメタデータ XML ファイルをアップロードして保存します.

SAML 2.0 フェデレーション IAM ロールを作成する & SAML 2.0 ID プロバイダーを設定する

追加した SAML ID プロバイダーを信頼関係に指定した IAM ロールを作ります.ドキュメントの手順に沿って最終的に以下のポリシーを作成できていれば OK です.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Federated": "arn:aws:iam::[AWS アカウント番号]:saml-provider/[追加した SAML ID プロバイダー名]"
      },
      "Action": [
        "sts:AssumeRoleWithSAML",
        "sts:TagSession"
      ],
      "Condition": {
        "StringEquals": {
          "SAML:sub_type": "persistent"
        }
      }
    }
  ]
}

IAM ロールにインラインポリシーを埋め込む

作成した IAM ロールのインラインポリシーを追加します.ドキュメントの手順に沿って最終的に以下のポリシーを作成できていれば OK です.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "workspaces:Stream",
            "Resource": "arn:aws:workspaces:ap-northeast-1:[AWS アカウント番号]:directory/[AD Connector のディレクトリ ID]",
            "Condition": {
                "StringEquals": {
                    "workspaces:userId": "${saml:sub}"
                }
            }
        }
    ]
}

SAML 認証レスポンスのアサーションを作成する

次に認証レスポンスの中に Microsoft EntraID が AWS に送信する SAML 属性としての情報を設定します.次の4点をシングルサインオンのページの属性とクレームセクションで指定します.

  • 一意のユーザー識別子 (名前 ID): user.mailnickname
  • https://aws.amazon.com/SAML/Attributes/PrincipalTag:Email : user.email
  • https://aws.amazon.com/SAML/Attributes/Role : arn:aws:iam::ACCOUNTNUMBER:role/ROLENAME,arn:aws:iam::ACCOUNTNUMBER:saml-provider/PROVIDERNAME
  • https://aws.amazon.com/SAML/Attributes/RoleSessionName : user.mailnickname

設定完了すると,以下の画像のような設定になります.

フェデレーションのリレーステートを設定する

Microsoft EntraID を使用した WorkSpaces ディレクトリのリレーステート URL を指すようにフェデレーションのリレーステートを設定します.https://relay-state-region-endpoint/sso-idp?registrationCode=registration-code 形式で指定する必要があるので,東京リージョンで設定する場合は以下のような指定になります.

設定後の URL

WorkSpaces ディレクトリで SAML 2.0 との統合を有効にする

Microsoft EntraID のエンタープライズアプリケーションで SAML 認証を通すユーザーを追加しておき, https://myapps.microsoft.com/ にアクセスして対象のエンタープライズアプリケーションのリンクをコピーしておきます.コピーした URL の signin 以降を切り取り, https://myapps.microsoft.com/signin/ の後ろに付与した URL を手元で作っておきます.ここから Workspaces ディレクトリで SAML との統合設定を進めます.ドキュメントに沿って最終的に画像のように設定が完了します.

Workspaces のログインで動作確認を行う

ここまでの設定が問題なければ,Workspaces クライアントから SAML 認証でログインできるようになるため動作確認を行います.

クライアントを起動して Continue to sign in to Workspaces をクリック

Open "WorkSpacesClient.macOS" をクリック

エンタープライズアプリケーションに追加したユーザーと前回記事の Active Directory に追加したログインユーザー名が一致しており,かつ Active Directory で設定したパスワードが一致してればログインが成功します.

まとめ

この記事では Workspaces へのログインで Microsoft EntraID SAML 認証を使う設定をまとめました.

Amazon Workspace を Microsoft EntraID の SAML 認証を行う~準備編~

AWS Workspaces Microsfoft EntraID

タダです.

Amazon Workspaces(以下,Workspaces)を試す機会が久々に巡ってきて,Microsoft EntraID の SAML 認証を設定する事があったので2回に分けて書いていきます.この記事では,SAML 認証の前の準備編になります.

docs.aws.amazon.com

Workspaces と SAML との統合の準備で行うこと

まず,Workspaces と SAML との統合の準備で行うことをまとめますが,以下の2点です.

  1. EC2 Windows Server で Active Directory を設定する
  2. AD Connector を用意して EC2 にインストールした Active DirectoryMicrosoft EntraID と同期できるようにする

EC2 Windows Server で Active Directory を設定する

EC2 の起動部分はドキュメントに説明があるため,割愛します.余談になるのですが,接続する時にこれまでは RDP クライアントを使ってきたので今回も使おうとしたところ System Manager Fleet Manager があったので使ってみました.インバウンドでポートを開放しなくてもブラウザで OS にログインできちゃうのがすごかったので,もし使ったことがない方は是非試して欲しいです.EC2 が起動したら Active Directory のインストールと AD Connector が接続するためのサービスアカウントを追加します.既に様々な記事を公開している方がいるので,ここも割愛します.

参考記事

dev.classmethod.jp docs.aws.amazon.com

ここで記載しておくこととして,セキュリティグループのルールについて触れておきます.AD Connector と Workspaces が接続するためのポートを以下に記載します.インバウンドとアウトバウンドも同様のポートが開放されている必要があります.

プロトコル ポート番号 役割
TCP/UDP 53 DNS
TCP/UDP 88 Kerberos 認証
UDP 123 NTP
TCP 135 RPC
UDP 137-138 NBNS
TCP 139 SMB1
TCP/UDP 389 LDAP
TCP/UDP 445 SMB
TCP 1024 - 65535 LDAP

AD Connector で EC2 に接続する

AD Connector で EC2 on Active Directory に接続します.これは設定のウィザードに沿って進めば問題ないです.自分はポート開放がちゃんとできてなくてかなり詰まってしまったので,そこを誤らなければスムーズに接続できちゃうと思います.加えて AD Connector を Workspaces が使えるように登録します.AD Connector の設定時に指定したサブネットとは異なるサブネットを登録する必要がありますが,それ以外は特に詰まるところなく設定できました.

AD ConnectorとEC2が接続できていることと,Workspaces の登録が完了するとこの状態になる

ここまでで SAML 認証を行うための下準備が完了です.

まとめ

この記事では Microsoft EntraID のユーザーを同期するための AD Connector と同期先の EC2 on Active Directory を作成に関する内容をまとめました.次は SAML 認証の設定をまとめます.

Bytebase の SSO を Microsoft EntraID を使って設定する

Bytebase SSO Microsfoft EntraID

タダです.

Bytebase のログイン方法は基本メールアドレスとパスワードによるログインになるのですが,Enteprise プランにすることで SSO を使えるようになります.トライアルで SSO を試してみたので備忘録にまとめます.

Bytebase の SSO 概要

Bytebase の SSOでは以下のプロトコルをサポートしています.この記事では Microsoft EntraID の OIDC を使って SSO を設定します.Bytebase のドキュメントに Microsoft EntaID の記載がないためこの記事にまとめておきます.

www.bytebase.com

Microsoft EntraIDのOIDCでSSOを設定する

EntraID 側の設定

予めエンタープライズアプリケーションを作っておきます.加えて,アプリの登録でAPIのアクセス許可で email を許可しておきます.リダイレクト URI として https://[Bytebase のドメイン]/oidc/callback を指定します.

Bytebase 側の設定

Bytebase 側で以下を設定します.最後に Test Connection を押して成功すれば,設定は完了です.

  • SSO 名: 任意の名前.
  • Issuerのendpoint: https://login.microsoftonline.com/[テナントID]/v2.0
  • ClientID: アプリケーションID
  • Client Secret: クライアントシークレットの値を指定
  • User information mapping : email を指定する

接続テストが成功すると Test connection succeed と表示される

まとめ

Bytebase の SSO 設定を Microsoft EntraID で設定を行っていたのでまとめました.

Bytebase の Terraform provider を試してみる

Bytebase Terraform Docker

タダです.

Bytebase の設定は手動で設定していたのですが, Terraform のサポートされています.全ての設定をサポートされているわけでないですが,試した備忘録としてまとめていきます.

サポートされているリソースについて

Bytebase Terraform provider では次のリソースがサポートされています.

bytebase.cc

ローカル環境のプロジェクトを追加する

ローカルで Docker を立ち上げて新規のプロジェクトリソースを追加します.なお,最初は Sample project というのがあるだけです.

Docker を立ち上げた後 Terraform 用のサービスロールを追加し,ワークスペースDBA権限を持たせておきます.その後,Terraform 実行のためのサービスキーをコピーしておきます.

Docker の立ち上げコマンド

docker run --rm --init \
  --name bytebase \
  --publish 8080:8080 --pull always \
  --volume ~/.bytebase/data:/var/opt/bytebase \
  bytebase/bytebase:2.16.0

追加したサービスアカウント

Terraform provider を設定

以下のように provider 定義をしておきます.なお,必要なパラメータが①サービスアカウントのメールアドレス,②サービスアカウントのアクセスキー,③Bytebase の設定した外部 URLになります.

terraform {
  required_providers {
    bytebase = {
      source  = "bytebase/bytebase"
      version = "0.0.9"
    }
  }
}
provider "bytebase" {
  service_account = var.service_account
  service_key     = var.service_key
  url             = var.url
}

resource "bytebase_project" "first_my_project" {
  resource_id   = "first-my-project"
  title         = "Firest My project"
  key           = "FMP"
  workflow      = "UI"
  schema_change = "DDL"
}

プロジェクト初期化して, terraform apply で適用してみます.期待通りに First My project を追加できました.

❯ terraform init     

~中略~
Terraform has been successfully initialized!
~中略~

❯ terraform apply

Terraform used the selected providers to generate the following execution plan. Resource actions are indicated with the following symbols:
  + create

Terraform will perform the following actions:

  # bytebase_project.first_my_project will be created
  + resource "bytebase_project" "first_my_project" {
      + id            = (known after apply)
      + key           = "FMP"
      + resource_id   = "first-my-project"
      + schema_change = "DDL"
      + tenant_mode   = "TENANT_MODE_DISABLED"
      + title         = "Firest My project"
      + visibility    = "VISIBILITY_PUBLIC"
      + workflow      = "UI"
    }

Plan: 1 to add, 0 to change, 0 to destroy.

Do you want to perform these actions?
  Terraform will perform the actions described above.
  Only 'yes' will be accepted to approve.

  Enter a value: yes

bytebase_project.first_my_project: Creating...
bytebase_project.first_my_project: Creation complete after 0s [id=projects/first-my-project]
╷
│ Warning: Project not exists
│ 
│   with bytebase_project.first_my_project,
│   on project.tf line 1, in resource "bytebase_project" "first_my_project":
│    1: resource "bytebase_project" "first_my_project" {
│ 
│ Project projects/first-my-project not exists, try to exec the create operation
╵

Apply complete! Resources: 1 added, 0 changed, 0 destroyed.

terraform apply 実行後のプロジェクト一覧

まとめ

Bytebase の Terraform provider を使ってみたので使い方をまとめました.

Bytebase のメタデータストアを RDS の PostgreSQL を指定する

Bytebase AWS RDS

タダです.

以前の記事で ECS で Bytebase を展開する記事を書きました.書いた後に気付いたのですが,ECS タスクを落としてしまうとユーザー情報やデータベースの接続情報など Bytebase のデータが無くなっていてデータベースの指定ができてなかったしそりゃそうかと思って専用のデータベースを使う過程を備忘録にまとめます.

sadayoshi-tada.hatenablog.com

専用のデータベースの設定

冒頭の通りデフォルトでは --data ディレクトリで指定した場所にデータが保存されるので別途専用のデータベースを指定するオプションがあります.ビルドするときに --pg を指定するか環境変数PG_URL を指定すれば良いです.ドキュメントに記載がありますが, postgresql://bytebase:z*3kd2@example.com:5432/metapostgresql://bytebase:z*3kd2@example.com:5432/meta?sslrootcert=root.pem のフォーマットでデータベースの接続情報を渡してあげる必要があります.

www.bytebase.com

専用データベースで RDS の PostgreSQL を指定する

そして本題です.専用データベースに RDS PostgreSQL を指定します.起動時の論理データベースで meta というデータベースを用意する必要があるため初回の起動時に指定して作成しました.その他のパラメーターは以下のように指定しました.

  • データベースエンジンバージョン: 16.1-R2
  • インスタンスクラス: db.t3.small
  • ストレージタイプ: gp3
  • ストレージ容量: 20GB
  • パラメーターグループ: デフォルトのパラメーターグループ

docs.aws.amazon.com

Bytebase の接続ユーザーを作成する

Bytebase 接続ユーザーとして bytebase というユーザーを作り,ドキュメント記載の以下の権限を付与しています.これで準備万端です.

  • SELECT
  • INSERT
  • UPDATE
  • DELETE
  • TRUNCATE
  • REFERENCES
  • TRIGGER
  • CREATE
  • CONNECT
  • TEMPORARY
  • EXECUTE
  • USAGE
  • ALTER DATABASE meta OWNER TO bytebase
  • ALTER SCHEMA public OWNER TO bytebase

専用データベースのオプションを指定してビルドする

この記事ではビルドの指定オプションとして --pg で指定した場合はコンテナイメージを作り,ECS で起動すれば接続できました.

※変更前
CMD ["--port", "8080", "--data", "/var/opt/bytebase"]

※変更後
CMD ["--port", "8080", "--pg", <接続情報>]

まとめ

Bytebase のメタデータストアとして RDS PostgreSQL を指定してメタデータを保存できるようにしてみました.