Ce diaporama a bien été signalé.
Nous utilisons votre profil LinkedIn et vos données d’activité pour vous proposer des publicités personnalisées et pertinentes. Vous pouvez changer vos préférences de publicités à tout moment.
SalesforceからAWSへの接続

Using OIDC/SAML
ShinichiTomita
Mashmatrix, Inc.
@stomita
何をやったのか
• SalesforceにAWSのシークレットを保存せずにAWS上の各種
サービス(もちろん非公開)にSalesforceからアクセスする
• http://qiita.com/stomita/items/81e88ca3803...
通常の連携との違い
通常の連携 OIDC/SAMLによる連携
AWS Access Key ID
AWS Secret AccessKey
OIDC IDToken /

SAML Assertion
SF Username/

Passwor...
何がうれしいのか
• AWSサービスをSalesforceと同一のセキュリティコン
テキストで利用できる
• シークレット情報をSalesforceで管理しなくてもOK
• エンドユーザレベルでのアクセス監査も可能に
• 属性を用いたFine-...
参考: DynamoDBでのFGAC
http://docs.aws.amazon.com/amazondynamodb/latest/developerguide/FGAC_DDB.html
{
"Version": "2012-10-17"...
何を学んだか
• OIDCでの連携の場合は、PolicyVariableに利用できる属性が現在のところsubし
かない模様
• subの値はSalesforce OIDCの場合 https://login.salesforce.com/id/<...
Prochain SlideShare
Chargement dans…5
×

SalesforceからAWSへの接続 using OIDC/SAML

1 543 vues

Publié le

Salesforceが実装しているOpenID Connect OPとしての機能と、AWSが持っている Web Identity Federation の仕組みを利用して、AWSのシークレット情報をSalesforce側で管理することなく、認証保護されたAWSの各種サービス(S3/DynamoDB/Lambdaなど)にアクセスする

Publié dans : Ingénierie
  • Soyez le premier à commenter

SalesforceからAWSへの接続 using OIDC/SAML

  1. 1. SalesforceからAWSへの接続
 Using OIDC/SAML ShinichiTomita Mashmatrix, Inc. @stomita
  2. 2. 何をやったのか • SalesforceにAWSのシークレットを保存せずにAWS上の各種 サービス(もちろん非公開)にSalesforceからアクセスする • http://qiita.com/stomita/items/81e88ca380300ac35563 (OIDCの場合) • http://stomita.hatenablog.com/entry/2013/12/23/195110 (SAMLの場 合:2年前の記事)
  3. 3. 通常の連携との違い 通常の連携 OIDC/SAMLによる連携 AWS Access Key ID AWS Secret AccessKey OIDC IDToken /
 SAML Assertion SF Username/
 Password SF Username/
 Password
  4. 4. 何がうれしいのか • AWSサービスをSalesforceと同一のセキュリティコン テキストで利用できる • シークレット情報をSalesforceで管理しなくてもOK • エンドユーザレベルでのアクセス監査も可能に • 属性を用いたFine-Grained Access Control (FGAC)
  5. 5. 参考: DynamoDBでのFGAC http://docs.aws.amazon.com/amazondynamodb/latest/developerguide/FGAC_DDB.html { "Version": "2012-10-17", "Statement": [ { "Sid": "ReadOnlyAccessToUserItems", "Effect": "Allow", "Action": [ "dynamodb:GetItem", "dynamodb:BatchGetItem", "dynamodb:Query" ], "Resource": [ "arn:aws:dynamodb:us-west-2:123456789012:table/GameScores" ], "Condition": { "ForAllValues:StringEquals": { "dynamodb:LeadingKeys": [ "${www.amazon.com:user_id}" ] } } } ] } 例:ユーザIDで始まるパーティション・キー値を持つレコード にのみアクセスさせたい場合のポリシー設定 Policy Variable
  6. 6. 何を学んだか • OIDCでの連携の場合は、PolicyVariableに利用できる属性が現在のところsubし かない模様 • subの値はSalesforce OIDCの場合 https://login.salesforce.com/id/<orgid>/ <userid> の形式で表現される識別子となる • SAML連携の場合はアサーション属性をpolicy keyにマッピング可能 • http://docs.aws.amazon.com/IAM/latest/UserGuide/ id_roles_providers_create_saml_assertions.html • ちゃんとFGACをやりたいときはSAML連携がよさそう • Salesforceではアサーションに含める属性は数式で自在に定義できるため、も し使えるなら強力になるなのだけど…

×