1. 法人のお客さまトップ
  2. クラウドソリューション
  3. コラム
  4. 【AWS Client VPN】SAML認証をOktaで、サーバー証明書をACMで設定してみた

COLUMN

【AWS Client VPN】SAML認証をOktaで、サーバー証明書をACMで設定してみた

こんにちは!平林です!

本記事では、SAML認証を利用してOktaと連携し、サーバー証明書の管理にAWS Certificate Manager(ACM)を使用するClient VPNの構築手順を解説します。

AWS環境におけるVPN構築の効率化や情報セキュリティ強化を図りたい方に役立つ内容となっております。

  • 本記事で扱うものは下記となります
    • AWS Client VPN のセットアップ手順
    • SAML認証とOktaの連携イメージ
    • ACMを用いた証明書作成
  • ターゲット読者は以下を想定しております
    • AWSでのVPN構築に関心のあるITエンジニア
    • クラウド運用を担当する技術者
  • 前提条件はこちらです。
    • VPCやEC2は構築済み
    • Oktaアカウントが利用可能
    • Route53にドメインが登録されている
  • 今回の構成図としては下記になります。

「AWS/Microsoft Azureの導入・運用支援」に関するお問い合わせフォーム

目次:

1. AWS Client VPNとは
2. SAML認証をOktaで行うメリット
3. サーバー証明書をACM(AWS Certificate Manager)で管理する理由
4. AWS Client VPN のセットアップ
4-1. ACMによる証明書を作成します(赤枠の部分)
4-2. SAML認証とOkta連携をします(赤枠の部分)
4-3. Client VPNエンドポイントを作成します(赤枠の部分)
5. まとめ

1. AWS Client VPNとは

AWS Client VPNは、フルマネージド型のリモートアクセスVPNサービスです。

ユーザーは簡単にセットアップでき、クラウドのリソースへの安全なアクセスを提供します。

以下が主な特徴です。

  • フルマネージド型:インフラ管理の負担を軽減できます
  • スケーラビリティ:ユーザー数に応じて同時接続数の拡張が可能です
  • 高セキュリティ:暗号化通信と多要素認証に対応しています

このような特徴から多くの企業・団体にてご利用いただいているサービスとなっています。

「AWS/Microsoft Azureの導入・運用支援」に関するお問い合わせフォーム

2. SAML認証をOktaで行うメリット

SAML認証をOktaと組み合わせることで以下の利点があります。

  • シングルサインオン(SSO):複数のクラウドアプリへのアクセスを1つの認証で実現できる
  • セキュリティ向上:パスワードレス認証や多要素認証に対応している
  • 管理の一元化:ユーザーやグループの管理を効率化できる

そのため利用するサービスが増えても、ID管理の手間が抑えられる製品となっています。

「AWS/Microsoft Azureの導入・運用支援」に関するお問い合わせフォーム

3. サーバー証明書をACM(AWS Certificate Manager)で管理する理由

AWS Certificate Manager(ACM)を利用することで、証明書の作成から管理、更新までを自動化できます。

主なメリットは以下の通りです。

  • 簡単な運用:証明書の自動更新により手動管理の負担を削減できる
  • 高い信頼性:AWSサービスとシームレスに連携できる
  • コスト効率:無料で証明書を利用可能

毎回の更新作業や更新忘れから解き放たれるため、運用管理者としては第一に考えたいですね。

「AWS/Microsoft Azureの導入・運用支援」に関するお問い合わせフォーム

4. AWS Client VPN のセットアップ

それでは早速構築を始めたいと思います。

4-1. ACMによる証明書を作成します(赤枠の部分)

1. AWSコンソールにログインします。

2. 「Certificate Manager」→「証明書をリクエスト」の順にクリックします。

3. 「次へ」をクリックします。

4. 任意のドメイン名を入力し、「リクエスト」をクリックします。

5. 「Route53でレコードを作成」をクリックします。

6. 「レコードを作成」をクリックします。

7. ステータスが「発行済み」になることを確認します。(1分程度待ちました)

4-2. SAML認証とOkta連携をします(赤枠の部分)

1. 次にOktaの管理コンソールにログインします。

2. 「アプリケーション」→「アプリケーション」→「アプリカタログを参照」の順にクリックします。

3. 検索窓に「AWS ClientVPN」と入力し、表示される「AWS ClientVPN」をクリックします。

4. 「統合を追加」をクリックします。

5. 任意の名称を入力し、「完了」をクリックします。

6. 「割り当て」をクリックし、「グループに割り当て」をクリックします。

7. 割り当てたいグループ名を入力し、「割り当て」→「完了」の順にクリックします。

8. 「サインオン」→「編集」の順にクリックします。

9. 「SAML2.0」→メタデータURLの「コピー」をクリックします。

10. コピーしたURLを別タブで開いて、ブラウザ上を右クリックして、名前を付けて保存します。

11. AWSコンソールに移動します。

12. 「IAM」→「IDプロバイダ」→「プロバイダを追加(作成)」をクリックします。

13. 「4-2. 10」で保存したファイルを選択します。

14. その他は任意の値を入力し、「プロバイダを追加」をクリックします。

15. 作成したIDプロバイダを開きます。

16. ARNをコピーします。

4-3. Client VPNエンドポイントを作成します(赤枠の部分)

1. AWSコンソールに移動します。

2. 「VPC」→「クライアントVPNエンドポイント」→「クライアントVPNエンドポイントを作成」の順にクリックします。

3. 名前は任意のものを入力します。

4. クライアントIPv4はVPCと重複しないアドレス帯を入力します。

5. サーバー証明書は作成した証明書を選択します。

6. 「ユーザベースの認証を使用」と「フェデレーション認証」にチェックを入れます。

7. 作成したIDプロバイダを選択します。

8. 「スプリットトンネルを有効化」にチェックを入れます。

9. 「セルフサービスポータルを有効化」にチェックを入れます。

10. 任意のセキュリティグループを選択します。

11. その他は任意で、「クライアントVPNエンドポイントを作成」をクリックします。

12. 作成したクライアントVPNエンドポイントに移動します。

13. 「ターゲットネットワークを関連付ける」をクリックします。

14. VPCとサブネットを選択し、「ターゲットネットワークを関連付ける」をクリックします。

15. 接続したいアドレス帯を入力し、「認証ルールを追加」をクリックします。

16. 状態が「Available」になることを確認(10分程度待ちました)

17. 「セルフサービスポータルURL」をコピーして、別タブで開きます。

18. Oktaの画面が表示されます。

19. ログイン情報を入力し、「確認」をクリックします。

20. 設定ファイルと、ClientVPNアプリをダウンロードします。

21. ClientVPNアプリをインストールして開きます。

22. 「ファイル」→「プロファイルを管理」の順にクリックします。

23. 「プロファイルを追加」をクリックします。

24. 任意の名称を入力し、ダウンロードした設定ファイルを選択し、「プロファイルを追加」をクリックします。

25. 「完了」をクリックします。

26. 「接続」をクリックします。

27. Oktaの画面が表示されます。

28. ログイン情報を入力し、「確認」をクリックします。

29. 「接続済み」になることを確認します。

30. 対象インスタンスのIPアドレスを確認します。

31. コマンドプロンプト上でPingを実行すると接続できました。

「AWS/Microsoft Azureの導入・運用支援」に関するお問い合わせフォーム

5. まとめ

本記事では、AWS Client VPNの構築とSAML認証によるOkta連携、そしてACMを利用したサーバー証明書作成について解説しました。

これらにより安全かつ効率的なVPN環境の構築が可能になります。

また今回は触れませんでしたが、相互認証や接続ログの監視などを組み合わせることで、情報セキュリティをより一層強化することができます。

なおVPN接続後に発生し得る一般的なトラブルシューティングについては、以下のAWS公式ドキュメントをご参照ください。

【管理者ガイド】トラブルシューティング

【ユーザガイド】トラブルシューティング

このコラムが皆さまのVPN構築・運用の一助となれば幸いです。

【事例紹介】

  • 【明光産業株式会社】
    AWS導入で2年間トラブルがなく安定したクラウド環境を構築し、経理1人あたり4時間分の業務時間削減を実現した事例
  • 【東京都社会保険労務士会】
    セキュリティを担保しつつ各種サーバーをクラウド化し、業務効率化を実現。法定団体におけるクラウド化の成功事例

「AWS/Microsoft Azureの導入・運用支援」に関するお問い合わせフォーム

無料ダウンロード

自社のクラウド導入に必要な知識、ポイントを
このに総まとめ!

あなたはクラウド化の
何の情報を知りたいですか?

  • そもそも自社は本当にクラウド化すべき?オンプレとクラウドの違いは?
  • 【AWS・Azure・Google Cloud】
    どれが自社に最もマッチするの?
  • 情シス担当者の負荷を減らしてコストを軽減するクラウド化のポイントは?
  • 自社のクラウド導入を実現するまでの具体的な流れ・検討する順番は?

初めての自社クラウド導入、
わからないことが多く困ってしまいますよね。

NTT東日本では
そんなあなたにクラウド導入に必要な情報を
1冊の冊子にまとめました!

クラウド化のポイントを知らずに導入を進めると、以下のような事になってしまうことも・・・

  • システムインフラの維持にかかるトータルコストがあまり変わらない。。
  • 情シス担当者の負担が減らない。。
  • セキュリティ性・速度など、クラウド期待する効果を十分に享受できない。。
理想的なクラウド環境を実現するためにも、
最低限の4つのポイントを
抑えておきたいところです。
  • そもそも”クラウド化”とは?
    その本質的なメリット・デメリット
  • 自社にとって
    最適なクラウド環境構築のポイント
  • コストを抑えるため
    具体的なコツ
  • 既存環境からスムーズにクラウド化
    実現するためのロードマップ

など、この1冊だけで自社のクラウド化のポイントが簡単に理解できます。
またNTT東日本でクラウド化を実現し
問題を解決した事例や、
導入サポートサービスも掲載しているので、
ぜひダウンロードして読んでみてください。

今すぐ無料ダウンロードする
クラウドのわからない・
面倒でお困りのあなたへ

クラウドのご相談できます!
無料オンライン相談窓口

NTT東日本なら貴社のクラウド導入設計から
ネットワーク環境構築・セキュリティ・運用まで
”ワンストップ支援”が可能です!

NTT東日本が選ばれる5つの理由

  • クラウド導入を
    0からワンストップでサポート可能!
  • 全体最適におけるコスト効率・業務効率の改善
    中立的にご提案
  • クラウド環境に問題がないか、
    第3者目線でチェック
    してもらいたい
  • 安心の24時間・365日の対応・保守
  • NTT東日本が保有する豊富なサービスの組み合わせで
    ”課題解決”と”コスト軽減”を両立

特に以下に当てはまる方はお気軽に
ご相談ください。

  • さまざまな種類やクラウド提供事業者があってどれが自社に適切かわからない
  • オンプレミスのままがよいのか、クラウド移行すべきなのか、迷っている
  • オンプレミスとクラウド移行した際のコスト比較を行いたい
  • AWSとAzure、どちらのクラウドが自社に適切かわからない
  • クラウド環境に問題がないか、第3者目線でチェックしてもらいたい
  • クラウド利用中、ネットワークの速度が遅くて業務に支障がでている

クラウドを熟知するプロが、クラウド導入におけるお客さまのLAN 環境や接続ネットワーク、
クラウドサービスまでトータルにお客さまのお悩みや課題の解決をサポートします。

まずは無料相談してみる

カテゴリー

[an error occurred while processing this directive]

ページ上部へ戻る

相談無料!プロが中立的にアドバイスいたします

クラウド・AWS・Azureでお困りの方はお気軽にご相談ください。

クラウド予算計画のご相談
クラウドの成功事例を見る