投稿日: Oct 4, 2017
このクイックスタートでは、基盤の ID プロバイダーとして Amazon Cognito を使用し、マルチテナント SaaS (Software-as-a-Service) 環境でアイデンティティと分離を実装するための基本を示します。
クイックスタートでは、独自の SaaS アプリケーションで使用できるコア概念とベストプラクティスを紹介します。このクイックスタートでは、軽量の SaaS 発注管理システムを通じてアイデンティティと分離の諸相を示します。マルチテナント環境のシステムおよびテナントのロール全体が対象となります。
クイックスタートでは、テナント情報と各ユーザーを関連付ける属性を示すのにクレームを使用します。これらのクレームは、暗号化された JSON ウェブトークン (JWT) にパッケージ化されて転送され、OpenID Connect (OIDC) プロトコルでサポートされている標準の属性セットを含みます。さらに、クイックスタートはカスタム属性をサポートします。カスタム属性は、認証プロセスから返される JWT でカスタムクレームとして表現されます。カスタム属性は、各テナントをシステムにオンボードするときにプロビジョンおよび設定されます。
クイックスタートアーキテクチャには、以下のような AWS のサービスが含まれます。
- Amazon Cognito。ユーザーおよび ID 管理用。
- AWS Identity and Access Management (IAM)。分離ポリシーおよびロールの管理用。
- AWS Lambda。システムトークンを検証するカスタムオーソライザーの実装用。
- Amazon API Gateway。リファレンスアプリケーションをサポートするマイクロサービスへのアクセスを提供。
- Amazon EC2 Container Service (Amazon ECS)。マイクロサービスを実行するためのコンテナのホスティング用。
- Amazon Simple Storage Service (Amazon S3)。リファレンスアプリケーションのコンテンツの保存用。
- Amazon DynamoDB。マイクロサービスのストレージ用。
デプロイおよび設定のタスクは、AWS CloudFormation テンプレートによって自動化されます。テンプレートは起動時にカスタマイズできます。テンプレートを GitHub リポジトリからダウンロードして独自の実装の開始点として使用することもできます。クイックスタート内のガイドには、SaaS アイデンティティおよび分離のコア概念と実装の詳細、デプロイおよび設定の詳細な手順が記載されています。
まず始めに、以下のリソースを参照してください。
- AWS での SaaS アイデンティティおよび分離アーキテクチャに関する詳細
- デプロイガイドの表示
- その他の AWS クイックスタートリファレンスデプロイの参照と起動
クイックスタートについて
クイックスタートは、AWS クラウドでの主要なワークロード向けに自動化されているリファレンスデプロイです。各クイックスタートでは、セキュリティと可用性に関する AWS ベストプラクティスに沿って、AWS で特定のワークロードをデプロイするために必要な AWS のコンピューティング、ネットワーク、ストレージ、その他のサービスを起動、設定、実行します。