【アップデート】QuickSightのログインプロセスが変わります（QuickSightシリーズ）

みなさん、こんにちは。
QuickSightをお使いの場合、どのような認証方式を使っていますか？

2022年1月からQuickSightのログインプロセスが変わるようです。
https://aws.amazon.com/jp/blogs/big-data/coming-january-2022-an-updated-amazon-quicksight-sign-in-experience/

何が変更になるのか、見ていきましょう。

QuickSightの認証とID管理

QcuickSightの認証とID管理には以下の3パターンに分かれます。

・emailアドレス管理（QuickSight独自）
QuickSight独自のIDで管理を行うことができます。
QuickSightのみにアクセスするケースを想定しています。
外部にID管理機能(IdP)がなくても手軽に始めることができます。

• IAM（＋フェデレーションによるSSO）
ID管理にAWS IAMを利用することができます。
IAMとは、AWSリソース全体の認証・認可の仕組みを提供するサービスです。

• 各AWSリソースに対して別々のアクセス権限をユーザー毎に付与できる
• 一時的な認証トークン(STS)を用いた権限の委任
• 他のIDプロバイダーで認証されたユーザーにAWSリソースへの一時的なアクセス

IAMでID管理をしている場合、IAMユーザがQuickSightに初めてアクセスした際、自動的にReader、Author、Adminの権限でプロビジョンする設定が可能（自己(Self)プロビジョニング）です。また、IAMによる権限の設定もできます。

IAMユーザーでSSO認証するユーザーについては、認証によるアクセス以外に、Action句によるAllow/Denyを設定することが可能です。

• Active Directory 連携
QuickSightとMicrosoft Active Directoryと連携して認証することができます。
すでに利用しているADで管理されている情報とQuickSightを連携するときに、便利な接続方法です。オンプレのADやEC2に立てたADを利用している場合、AD Connectorを使えば、アクセスを本来のADにリダイレクトできます。

ログインプロセスの変更対象

来年1月からのログインプロセスの変更の対象外は、 SAML 2.0でエンタープライズアイデンティティプロバイダー (IdP) でユーザ管理をされている場合です。エンタープライズアイデンティティプロバイダー (IdP) によりユーザーを管理していて、ログインしたユーザーを Amazon QuickSight へ移動させている場合は影響を受けません。この IdP には、Microsoft Active Directory Federation Services、Ping One Federation Server、Okta などの種類があります。

対象になるのは、QuickSightにログインするのに、以下のいずれかを利用している場合です。
1)AWS Rootアカウント
2)IAMユーザ
3)Active Directory 連携
4)QuickSightの認証情報

変更点の3ステップ

1) QuickSightのアカウント名を入力します。

2) ユーザ名を入力します。

3) ここでプロセスが分かれます。
QuickSightの認証情報やActive Directoryを利用していれば、パスワードを入力します。多要素認証を利用している場合は、MFAのコードを入力します。

RootユーザやIAMユーザを利用している場合は、AWSのサインインページへリダイレクトされます。

その他影響がある内容

4つのドメインがログイン時に利用されることになります。ドメイン名でアクセス制御をかけている場合は、事前に準備をしておく必要があります。

ログインユーザ	許可するドメイン
Native QuickSightユーザとActive Directory ユーザ	signin.aws and awsapps.com
AWS rootユーザ	signin.aws.amazon.com and amazon.com
AWS IAM ユーザ	signin.aws.amazon.com