Amazon Managed Grafanaへのログイン手段を考える〜IAM Identity Center以外のSAML認証の選択肢〜

はじめに

Amazon Managed Grafana は AWS 上で Grafana というオープンソースのデータ可視化ツールをフルマネージドで利用することができるサービスであり、IAM Identity Center による認証、もしくは SAML 認証を利用することでしかログインすることができません。(2024/11 時点)
Amazon Managed Grafana を使いたいといったケースでは、同じ AWS サービスである IAM Identity Center を利用することでインテグレーションの手間がかからなかったり、請求も AWS の利用料だけになります。ただし、組織によっては AWS Organizations の制約で IAM Identity Center が利用できないというケースがあります。
そういった際に、Amazon Managed Grafana へ SAML 認証でログインする必要が出てきます。

本記事ではいくつか存在する SAML 認証でのログイン方法について、いくつか紹介したいと思います。

Amazon Managed Grafana へログインするための SAML 認証方法

SAML 認証の選択肢としては以下が挙げられます。

Microsoft Entra ID (旧 Azure Active Directory)
SaaS 製品（Okta や OneLogin、Auth0 など）
ADFS（Active Directory Federation Services）

それぞれの選択肢について、以下で解説していきます。

Microsoft Entra ID (旧 Azure Active Directory)

こちらの方法は AWS のドキュメントでも手順が記載されており、比較的簡単に導入することができるかと思います。
また、構成図としては以下のようになるパターンが多いかと思います。

メリットとしては、Microsoft Entra ID は Microsoft のマネージドなサービスとなるため、認証基盤を運用保守の負荷を大きく下げることができます。
また、組織が Microsoft Azure や Microsoft 365 を利用している場合、Microsoft Entra ID を無料で利用できる可能性があります。
一方で、以下のようなデメリットや制約が考えられるため、利用にあたり会計部門や社内の Microsoft サービスの管理者へ事前に確認を取る必要が出てくる可能性があります。

AWS の利用料とは別に Microsoft の利用料が発生し、請求管理が多少煩雑になる
既に組織で利用しているケースでも Microsoft Entra ID の利用に対して制限を掛けており、容易に検証ができないことがある

一応、個人で1ヶ月のトライアル期間があるため、短期間で検証したいといった場合でも、利用することができます。

SaaS 製品

以下の SaaS 製品に関しては Microsoft Entra ID と同様、導入の手順が公式のドキュメントに記載されています。

こちらも Microsoft Entra ID と同様の構成や制約がありますが、Amazon Managed Grafana をとりあえず検証目的で利用したいといった場合は、上記 SaaS 製品のように AWS のドキュメントに手順は記載されていませんが、Auth0 のフリープランを利用することで Amazon Managed Grafana へログインすることができます。

ADFS（Active Directory Federation Services）

ADFS は Active Directory のユーザを用いて SSO の認証ができるサービスです。
組織で既に ADFS サーバを持っている場合、もしくは IAM Identity Cente は利用できないが、どうしても AWS 内部で認証機能も実装したいといった要望がある場合に取る手段かと思います。

AWS 内部で ADFS を構築する場合の構成としては以下のようなものが考えられます。

AWS 内部で ADFS を構築する場合の構成

構成図を見て分かるように EC2 や AWS Managed Microsoft AD といった ADFS のセットアップや運用保守にかかる工数が大きくなることが考えられます。
そのため、軽く検証をするといった用途には向いてないと思います。

（Microsoft も ADFS から　Microsoft Entra ID へ移行することを推奨しています。）

一方で、請求をまとめることができることや、ユーザ単位での課金形式ではないため、ユーザ数が増えることが予想される場合、費用を抑えられる可能性があります。

まとめ

以下が Amazon Managed Grafana の SAML 認証方法のメリットとデメリットをまとめた表になります。

Amazon Managed Grafana の SAML 認証方法のメリットとデメリットをまとめた表

上記の表に示したように、各認証方法にはそれぞれメリットとデメリットがあるため、選択する際の参考にしてください。

おわりに

Amazon Managed Grafana のログインには認証を挟む必要があり、IAM Identity Center が利用できない場合、SAML 認証を検討しなければならないというのは、認証周りに知見がないと労力がかかるかと思います。
それぞれ組織や個人の状況によってメリットとデメリットが異なるため、「これを使いましょう！」といった回答はできませんが、もし Amazon Managed Grafana の利用を検討しており、検証で利用したくても IAM Identity Center が利用できないなど、Amazon Managed Grafana の認証周りでお困りの方の助けに本記事がなれば幸いです。