ある企業が、オンプレミスのActive Directory(AD)を使って AWS マネジメントコンソールへの SSO を実現したい。既存の AD インフラを変更せず、AWS 側の追加コストを最小限に抑えながら、AD のグループメンバーシップに基づいてコンソールへのアクセス許可を管理したい。最も適切なソリューションはどれか。
- A. AWS Managed Microsoft AD を新規作成し、オンプレミス AD との双方向フォレストトラストを構成する。AWS IAM Identity Center と統合して SSO を実現する。
- B. AD Connector を使ってオンプレミス AD へのプロキシを作成し、AWS IAM Identity Center の ID ソースとして設定する。AD のグループをアクセス許可セットにマッピングする。
- C. 各 AD ユーザーに対応する IAM ユーザーを AWS に作成し、IAM グループで権限を管理する。AD パスワードと同期する仕組みを Lambda で実装する。
- D. オンプレミス AD を SAML 2.0 IdP として設定(AD FS を追加構築)し、AWS IAM Identity Center と SAML フェデレーションを構成する。
解答と解説を見る
正解: B
AD Connector はオンプレミス AD を変更せずにそのまま使用できるプロキシサービスであり、AWS IAM Identity Center の ID ソースとして設定できる。AD ユーザー/グループをそのまま参照し、グループメンバーシップに基づいてアクセス許可セットを割り当てられる。AD Connector は AWS Managed Microsoft AD より低コストで、既存 AD インフラへの変更も不要。選択肢AのAWS Managed Microsoft AD は新規 AD 環境の構築を前提としており、既存 AD 変更不要という要件を満たすが、Managed AD の追加コストが AD Connector より高くなる。選択肢Dは AD FS(フェデレーションサービス)をオンプレミスに追加構築する必要があり、既存インフラへの変更が生じる。選択肢Cは IAM ユーザーを大量に作成する管理コストが高く、パスワード同期のカスタム実装も複雑で、SSO の要件を本質的に満たさない。
📚 関連サービスの解説: AWS IAM Identity Center