→SAML
・SAML(Security Assertion Markup Language)2.0ベースのフェデレーションを構成します。適切なポリシーが付加されたロールを作成します。ロールをActive Directoryグループにマップします
この選択肢が正解の理由は以下の通りです。
まず、ユーザーが別のIDを維持する必要がないという要求は、フェデレーション認証を利用すれば解決します。SAML2.0ベースのフェデレーションを構成することで、既存のActive Directory認証情報を使用してAWSリソースへのアクセスを可能にするため、ユーザーは新しいIDを持つ必要がありません。
さらに、ポリシーが付加されたロールを作成し、Active Directoryグループとロールをマッピングすることで、ユーザーグループ毎に適切なAWSリソースへのアクセス権を付与することができます。これにより、既存のActive Directory認証情報をそのまま利用しつつ、ユーザーがAWSリソースに適切なアクセス権を持つことが可能になります。
以上が最適解となる理由です。
選択肢:Amazon CognitoをActive Directoryのユーザープールで使用します。適切なポリシーが添付されたロールを作成します
この選択肢が正しくない理由は以下の通りです。
Amazon Cognitoは、アプリケーションユーザーの登録や認証を独立して管理するためのサービスであり、Active Directoryとの直接的な連携機能は持っていません。これに対し、正解の選択肢であるSAMLベースのフェデレーションは、既存のActive Directoryを利用した認証の統合を可能にするため、サービスの要件に適しています。
コメント