SREの 林 です。
本日(7/18 Sun)、 インフラエンジニアの祭典
こと JTF2021 に参加してきましたので記念ブログです。
今回は社内へ展開中のAWS SSOネタで発表してきました、資料はこちら。
概要は資料に任せつつ、資料や発表内で説明できなかったことを補足しておきます。
AWS SSOで、特に社内利用で効果が出ているのが Datadog へのログイン
Datadogは世界的に人気のあるモニタリングSaaSの一つで、私たちもその活用を進めています。 www.datadoghq.com
先日行った大規模なシステム移行*1においても、既存の複数のSaaSで行っていた以下の統合先としてDatadogを採用しています。
- サーバなどの Infrastructure 監視
- ログ監視
- APM 監視
この様な新しいSaaSを選定して利用を開始するには、当然利用者である社内の多くのステークホルダへアカウントを発行する必要があります。
この点でもDatadogは優れていて、メールアドレスを一気に流し込んで招待することは可能なのですが、それでも数十名におよぶシステム関係者を漏らさず招待するのは手間でした。
そこで今回のJTFの発表テーマでもある AWS SSO x オンプレミスAD
を利用すると、部署単位で漏れなくユーザへDatadogアカウントを発行することができ、加えて異動や退職などによるアカウント廃止処理もAWS SSO側に任せることができます。*2
(正確に言えば AWS SSO が参照する IdP である Active Directory を管理するオイラ大地のヘルプデスクセクションの同僚氏たちに任せられます、みなさんの堅実で迅速な仕事にいつも感謝しています)
異動・入社をした新しい同僚氏が、配属当日から AWS SSOのログイン方法さえわかれば、主要システムのモニタリングにアクセスができ、システムの健全性の確認やログ分析を行える状態が作れたのも、AWS SSOのおかげです。*3
JIT(Just In Time) ログイン
時間の関係もあり、資料や発表内ではJITについて触れられませんでしたが、AWS SSOによる各SaaS・アプリケーションへの初回ログイン時に大変有用なのが JITログイン
です。
JITは Just In Time
の通り、AWS SSOによって認証されたユーザが、対象のSaaS・アプリケーションへログインを行う際に、ログイン先にアカウントが無い場合はアカウントを作成しながらログインを行える機能です。
現在"オイラ大地"で私たちが利用するSaaS・アプリケーションでは以下が対応していますが、逆にこのJITに対応していないと結局ユーザ作成を行う必要がSaaS・アプリケーション側に生じてしまうため、AWS SSOによる嬉しさが大幅に減ります。*4
オイラ大地で利用しているJITログイン可能なSaaS・アプリ
- Datadog
- Akamai
- Jenkins*5
利用者が多く見込まれるSaaS・アプリこそSAML認証が求められそう
約半年にわたって AWS SSO の導入を進めて来た中で、今後のSaaSやアプリケーションの選定においては、SAML認証に対応しているかどうかは重要な選定ポイントの一つだなと感じています。 その一方で少なくないSaaSがSAMLの利用を通常プランではなく、エンタープライズな上位もしくは追加プランとして用意している現状もあるようです。*6
このあたりのバランスは、利用者数のスケール度合い x コスト x 機能 を総合的に見ていくしかなさそうです。
最後に
JTFは今回で10年目に突入したそうで、これについておめでとう&尊敬の念を送ります。
Covid-19の影響にもオンライン開催の形でうまく順応し、 インフラエンジニアの祭典
というある意味ニッチな場を絶やさずに続けられている運営の皆様は素晴らしいと思います。
今回の登壇にあたり、事前の案内やリハーサルもスムーズで素晴らしいものでした。
また来年もよろしくお願いします!*7
*1:これについてもブログにあげたい
*2:異動・退職ユーザについてはAWS SSOによってログインはできなくなりますが、Datadog側にアカウントは残ってしまうので定期的な棚卸しは必要でしょう
*3:もちろんDatadog自身のUXの素晴らしさもある
*4:世界中のSAMLログインに対応してるSaaS・アプリケーションにJITログイン機能を求めたいです、ぜひ...!
*5:ただしグループに利用するカスタム属性を渡せないので、検証段階
*6:これは良い悪いの話ではなく、そのサービスの戦略であるため否定も賛成もしませんが、利用者としてはスタンダードなプランからSAML認証は欲しいですね...
*7:多分開催するんですよね、きっと!