タダです.
Amazon Workspaces(以下,Workspaces)を試す機会が久々に巡ってきて,Microsoft EntraID の SAML 認証を設定する事があったので2回に分けて書いていきます.この記事では,SAML 認証の前の準備編になります.
- Workspaces と SAML との統合の準備で行うこと
- EC2 Windows Server で Active Directory を設定する
- AD Connector で EC2 に接続する
- まとめ
Workspaces と SAML との統合の準備で行うこと
まず,Workspaces と SAML との統合の準備で行うことをまとめますが,以下の2点です.
- EC2 Windows Server で Active Directory を設定する
- AD Connector を用意して EC2 にインストールした Active Directory と Microsoft EntraID と同期できるようにする
EC2 Windows Server で Active Directory を設定する
EC2 の起動部分はドキュメントに説明があるため,割愛します.余談になるのですが,接続する時にこれまでは RDP クライアントを使ってきたので今回も使おうとしたところ System Manager Fleet Manager があったので使ってみました.インバウンドでポートを開放しなくてもブラウザで OS にログインできちゃうのがすごかったので,もし使ったことがない方は是非試して欲しいです.EC2 が起動したら Active Directory のインストールと AD Connector が接続するためのサービスアカウントを追加します.既に様々な記事を公開している方がいるので,ここも割愛します.
参考記事
dev.classmethod.jp docs.aws.amazon.com
ここで記載しておくこととして,セキュリティグループのルールについて触れておきます.AD Connector と Workspaces が接続するためのポートを以下に記載します.インバウンドとアウトバウンドも同様のポートが開放されている必要があります.
| プロトコル | ポート番号 | 役割 |
|---|---|---|
| TCP/UDP | 53 | DNS |
| TCP/UDP | 88 | Kerberos 認証 |
| UDP | 123 | NTP |
| TCP | 135 | RPC |
| UDP | 137-138 | NBNS |
| TCP | 139 | SMB1 |
| TCP/UDP | 389 | LDAP |
| TCP/UDP | 445 | SMB |
| TCP | 1024 - 65535 | LDAP |
AD Connector で EC2 に接続する
AD Connector で EC2 on Active Directory に接続します.これは設定のウィザードに沿って進めば問題ないです.自分はポート開放がちゃんとできてなくてかなり詰まってしまったので,そこを誤らなければスムーズに接続できちゃうと思います.加えて AD Connector を Workspaces が使えるように登録します.AD Connector の設定時に指定したサブネットとは異なるサブネットを登録する必要がありますが,それ以外は特に詰まるところなく設定できました.
ここまでで SAML 認証を行うための下準備が完了です.
まとめ
この記事では Microsoft EntraID のユーザーを同期するための AD Connector と同期先の EC2 on Active Directory を作成に関する内容をまとめました.次は SAML 認証の設定をまとめます.
