IAM Identity Center を社内ツールの統合ID基盤として利用する

参考になった

会員限定コンテンツです。無料登録すると制限なしでお読みいただけます。

無料登録してアーキテクチャを見る

レビュー投稿日の情報になります

株式会社MIXI / 生島光

メンバー / SRE

最終更新日2026/04/02投稿日2026/04/03

ツールの利用規模	ツールの利用開始時期	事業形態
101名〜300名	2021年6月	B to C

ツールの利用規模	101名〜300名
ツールの利用開始時期	2021年6月
事業形態	B to C

アーキテクチャ

会員限定コンテンツ無料登録してアーキテクチャを見る

アーキテクチャの意図・工夫

AWS IAM Identity Center により、複数のAWSアカウントへログインするためのユーザーアカウントを管理するだけでなく、SAML/OIDCに対応した各種社内ツールのアカウントも統合管理しています。
ユーザー認証はOktaに委譲しつつ、グループ管理はAWS IAM Identity Centerで独立して行っています。これにより、アカウントの発行・失効は全社管理に統合しつつ、権限管理は現場のロールに合わせて柔軟に行うことができています。
グループ情報はTerraformを利用してIaC管理しています。Terraformの自動適用の仕組みが整備されており、グループ情報の設定も各チームのセルフサービスで行える状態となっています。
SAML非対応のツールについては、Amazon Cognito を仲介させることで対応しています。Pre token generation Lambda trigger を用いて AWS IAM Identity Center から渡されたグループ情報をID Tokenに埋め込むことで、OIDC対応ツールにもグループ情報を引き継いでいます。

導入の背景・解決したかった問題

導入背景

サービス運営に関わる従業員数が増えるに従って、適切なアカウント管理を行うことが困難になってきていました。新しいメンバーが参加する際は、AWS管理者が手動でIAMユーザーを発行し、初期パスワードをSlackのDMで送信するという運用になっており、管理者の負担が大きい状態でした。また、既存のメンバーが異動・退職する際は、IAMユーザーの削除が漏れないよう細心の注意を払う必要があり、セキュリティ面で課題がありました。

また、AWS以外の各種SaaSや社内ツールにも同様の課題がありました。

比較検討したサービス

Okta
Google Workspace

比較した軸

AWSアカウントをはじめ、主要な社内ツールのアカウント管理が一括して行えること
高額な利用料金が発生しないこと
事業部内で運用が完結し、現場のロールに合わせて柔軟な権限管理ができること

選定理由

すでにAWSを利用していたため、導入が非常に簡単だったこと
AWSの各種サービスとの親和性が高いこと

導入の成果

改善したかった課題はどれくらい解決されたか

導入前に抱えていた課題はすべて解消されました。 AWSにログインするためのIAMユーザーはすべて廃止し、AWS IAM Identity Center に移行することができました。ユーザーアカウントの管理は AWS IAM Identity Center の外部IDプロバイダーである Okta で一括管理されるようになり、入社時の手続きが大幅に簡略化され、退職時も確実にアカウントが失効するようになりました。

導入時の苦労・悩み

外部IDプロバイダーとして会社全体で導入されているOktaを設定しました。しかし、Oktaのグループは会社の組織構造に紐づいており、現場で必要な権限の単位と一致していませんでした。Oktaグループを新設するとしても、会社全体の運用ポリシーとの兼ね合いもあり、スムーズにいかない面がありました。そのため、SCIMは有効化せず、認証のみをOktaに任せて、グループ管理はAWS IAM Identity Center側で独立して行う、という構成をとることで解決しました。
AWS IAM Identity Center と連携するサービスはSAML認証をサポートしている必要があり、OIDC認証しかサポートしていないツールでは、Amazon Cognitoを介在させる必要がありました。