実際にログインしてみる
ようやく、これでAWSアカウントにAD上のユーザーがログインできるようになります。
https://sso.test.com/adfs/ls/IdpInitiatedSignOn.aspx
へアクセスし、signin.aws.amazon.com
を選択して、サインインをクリックします。
AD上のユーザのユーザーログオン名@ドメイン名(UPN)
でサインインします。
ユーザ作成時の設定によっては、パスワード変更が求められます。
パスワード変更後、再度サインインすると、AWSマネジメントコンソールにリダイレクトされ、ログイン完了です。
ログインユーザの情報を見ると、フェデレーションログインとなっていると思います。
なお、ユーザーが複数のグループ(AWSアカウント、または、IAMロール)に所属していると、サインインした段階で、アカウント及びロールを選択して、ログインができるようになります。
最後に
SAML2.0ベースのAWSマネージメントコンソールへのフェデレーション環境の構築方法についてご説明させて頂きました。
より大きな規模での運用では、AD上の考慮点や冗長化などを考える必要があると思いますが、容易に導入が可能な内容ですので、「現在のログイン手段を残しつつ、まず導入してみる」というスタンスで実施すると、効果がわかりやすいかと思います。