Udostępnij przez

Konfigurowanie usługi AWS Single-Account Access na potrzeby logowania jednokrotnego przy użyciu usługi Microsoft Entra ID

Z tego artykułu dowiesz się, jak zintegrować usługę AWS Single-Account Access z identyfikatorem Entra firmy Microsoft. Po zintegrowaniu dostępu do jednego konta AWS z usługą Microsoft Entra ID można:

  • Kontroluj w usłudze Microsoft Entra ID, kto ma dostęp do pojedynczego konta platformy AWS.
  • Zezwalaj swoim użytkownikom na automatyczne logowanie do usługi AWS Single-Account Access przy użyciu kont Microsoft Entra.
  • Zarządzaj kontami w jednej centralnej lokalizacji.

Skorzystaj z poniższych informacji, aby podjąć decyzję między używaniem logowania jednokrotnego platformy AWS a aplikacjami usługi AWS Single-Account Access w galerii aplikacji Microsoft Entra.

Jednokrotne logowanie AWS

Logowanie jednokrotne platformy AWS zostało dodane do galerii aplikacji Microsoft Entra w lutym 2021 r. Ułatwia ona centralne zarządzanie dostępem do wielu kont platformy AWS i aplikacji platformy AWS przy użyciu logowania za pośrednictwem identyfikatora Entra firmy Microsoft. Federuj Microsoft Entra ID z usługą AWS SSO raz, a następnie użyj AWS SSO, aby zarządzać uprawnieniami na wszystkich swoich kontach AWS z jednego miejsca. Usługa AWS SSO automatycznie przydziela uprawnienia i utrzymuje je aktualnymi, gdy aktualizujesz zasady i przydziały dostępu. Użytkownicy końcowi mogą uwierzytelniać się przy użyciu swoich poświadczeń firmy Microsoft w celu uzyskania dostępu do konsoli usług AWS, interfejsu wiersza polecenia i zintegrowanych aplikacji usługi AWS SSO.

Dostęp do pojedynczego konta platformy AWS

Usługa AWS Single-Account Access jest używana przez klientów w ciągu ostatnich kilku lat i umożliwia sfederowanie identyfikatora Entra firmy Microsoft do pojedynczego konta platformy AWS i używanie identyfikatora Entra firmy Microsoft do zarządzania dostępem do ról IAM platformy AWS. Administratorzy usługi AWS IAM definiują role i zasady na każdym koncie platformy AWS. Dla każdego konta platformy AWS administratorzy usługi Microsoft Entra federują się z usługą AWS IAM, przypisują użytkowników lub grupy do konta i konfigurują identyfikator Entra firmy Microsoft w celu wysyłania asercji, które autoryzują dostęp do roli.

Funkcja AWS Jednokrotne Logowanie Dostęp do pojedynczego konta platformy AWS
Dostęp warunkowy Obsługuje pojedyncze zasady dostępu warunkowego dla wszystkich kont platformy AWS. Obsługuje pojedynczą zasadę dostępu warunkowego dla wszystkich kont lub zasady niestandardowe na konto.
Dostęp do CLI Wsparte Wsparte
Privileged Identity Management Obsługiwane Nieobsługiwany
Scentralizowane zarządzanie kontami Scentralizowane zarządzanie kontami na platformie AWS. Scentralizowane zarządzanie kontami w Microsoft Entra ID (prawdopodobnie wymaga aplikacji przedsiębiorstwa Microsoft Entra na każde konto).
Certyfikat SAML Pojedynczy certyfikat Oddzielne certyfikaty na aplikację/konto

Architektura dostępu jednokrotnego konta platformy AWS

Zrzut ekranu przedstawiający relację Microsoft Entra ID i AWS.

Można skonfigurować wiele identyfikatorów dla wielu wystąpień. Na przykład:

  • https://signin.aws.amazon.com/saml#1

  • https://signin.aws.amazon.com/saml#2

Dzięki tym wartościom identyfikator Entra firmy Microsoft usuwa wartość #i wysyła poprawną wartość https://signin.aws.amazon.com/saml jako adres URL odbiorców w tokenie SAML.

Zalecamy takie podejście z następujących powodów:

  • Każda aplikacja udostępnia unikatowy certyfikat X509. Każda instancja aplikacji AWS może mieć inną datę wygaśnięcia certyfikatu, którą można zarządzać oddzielnie na poszczególnych kontach AWS. Ogólna wymiana certyfikatów jest łatwiejsza w tym przypadku.

  • Możesz włączyć aprowizację użytkowników za pomocą aplikacji AWS w usłudze Microsoft Entra ID, a nasza usługa pobierze wszystkie role z tego konta AWS. Nie musisz ręcznie dodawać ani aktualizować ról platformy AWS w aplikacji.

  • Można przypisać właściciela aplikacji dla każdej aplikacji z osobna. Ta osoba może zarządzać aplikacją bezpośrednio w identyfikatorze Entra firmy Microsoft.

Uwaga

Upewnij się, że używasz tylko aplikacji galerii.

Wymagania wstępne

Do rozpoczęcia pracy potrzebne są następujące elementy:

  • Subskrypcja firmy Microsoft Entra. Jeśli nie masz subskrypcji, możesz uzyskać bezpłatne konto.
  • Subskrypcja z włączonym dostawcą tożsamości IAM AWS.
  • Wraz z administratorem aplikacji w chmurze administrator aplikacji może również dodawać aplikacje lub zarządzać nimi w identyfikatorze Entra firmy Microsoft. Aby uzyskać więcej informacji, zobacz Role wbudowane platformy Azure.

Uwaga

Podczas importowania ról nie należy ich ręcznie edytować w Microsoft Entra ID.

Opis scenariusza

W tym artykule skonfigurujesz i przetestujesz SSO Microsoft Entra w środowisku testowym.

  • Usługa AWS Single-Account Access obsługuje jednokrotne logowanie inicjowane przez dostawcę usług (SP) i dostawcę tożsamości (IDP).

Uwaga

Identyfikator tej aplikacji jest stałym ciągiem znaków, więc można skonfigurować tylko jedno wystąpienie w ramach jednej dzierżawy.

Aby skonfigurować integrację usługi AWS Single-Account Access z usługą Microsoft Entra ID, należy dodać AWS Single-Account Access z galerii do listy zarządzanych aplikacji SaaS.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator aplikacji w chmurze.
  2. Przejdź do Entra ID>Aplikacje dla przedsiębiorstw>Nowa aplikacja.
  3. W sekcji Dodawanie z galerii wpisz AWS Single-Account Access w polu wyszukiwania.
  4. Wybierz pozycję AWS Single-Account Access z panelu wyników, a następnie dodaj aplikację. Poczekaj kilka sekund, aż aplikacja zostanie dodana do Twojej dzierżawy.

Alternatywnie można również użyć Kreatora konfiguracji aplikacji dla przedsiębiorstw. W tym kreatorze możesz dodać aplikację do swojego dzierżawcy, dodać użytkowników lub grupy do aplikacji, przypisać role, a także przejść przez konfigurację logowania jednokrotnego (SSO). Więcej informacji na temat kreatorów platformy Microsoft 365 można znaleźć tutaj.

Konfigurowanie i testowanie logowania jednokrotnego Microsoft Entra dla jednokrotnego dostępu do konta w usłudze AWS

Skonfiguruj i przetestuj logowanie jednokrotnego dostępu Microsoft Entra SSO z usługą AWS Single-Account Access, używając użytkownika testowego o nazwie B.Simon. Aby jednokrotne logowanie działało, należy ustanowić powiązanie między użytkownikiem usługi Microsoft Entra a powiązanym użytkownikiem w systemie AWS Single-Account Access.

Aby skonfigurować i przetestować Microsoft Entra SSO z AWS Single-Account Access, wykonaj następujące kroki:

  1. Skonfiguruj SSO w usłudze Microsoft Entra — aby umożliwić użytkownikom korzystanie z tej funkcji.
    1. Utwórz testowego użytkownika Microsoft Entra — aby przetestować logowanie jednokrotne Microsoft Entra z użytkownikiem B.Simon.
    2. Przypisz użytkownika testowego Microsoft Entra — aby umożliwić B.Simon korzystanie z logowania jednokrotnego Microsoft Entra.
  2. Skonfiguruj usługę AWS Single-Account Access SSO — aby skonfigurować ustawienia logowania jednokrotnego po stronie aplikacji.
    1. Tworzenie użytkownika testowego usługi AWS Single-Account Access — aby mieć w usłudze AWS Single-Account Access odpowiednik użytkownika B.Simon połączony z reprezentacją użytkownika w usłudze Microsoft Entra.
    2. Jak skonfigurować aprowizowanie ról w usłudze AWS Single-Account Access
  3. Testowanie logowania jednokrotnego — aby sprawdzić, czy konfiguracja działa.

Konfigurowanie logowania jednokrotnego Microsoft Entra

Wykonaj następujące kroki, aby włączyć Microsoft Entra SSO.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator aplikacji w chmurze.

  2. Przejdź do Entra ID>Aplikacje przedsiębiorstwa>AWS Single-Account Access>Logowanie jednokrotne.

  3. Na stronie Wybieranie metody logowania jednokrotnego wybierz pozycję SAML.

  4. Na stronie Konfigurowanie logowania jednokrotnego przy użyciu protokołu SAML wybierz ikonę ołówka podstawową konfigurację protokołu SAML , aby edytować ustawienia.

    Zrzut ekranu przedstawiający edytowanie podstawowej konfiguracji protokołu SAML.

  5. W sekcji Podstawowa konfiguracja protokołu SAML zaktualizuj zarówno identyfikator (identyfikator jednostki) jak i adres URL odpowiedzi przy użyciu tej samej wartości domyślnej: https://signin.aws.amazon.com/saml. Musisz wybrać pozycję Zapisz , aby zapisać zmiany konfiguracji.

  6. Aplikacja AWS oczekuje asercji SAML w określonym formacie, co wymaga dodania mapowań atrybutów niestandardowych do konfiguracji atrybutów tokenu SAML. Poniższy zrzut ekranu przedstawia listę atrybutów domyślnych.

    Zrzut ekranu przedstawiający atrybuty domyślne.

  7. Oprócz powyższych, aplikacja AWS oczekuje, że kilka atrybutów zostanie przekazanych z powrotem w odpowiedzi SAML, które są pokazane poniżej. Te atrybuty są już wypełnione, ale można je przejrzeć zgodnie z wymaganiami.

    Nazwisko Atrybut źródłowy Przestrzeń nazw
    NazwaSesjiRoli user.userprincipalname (nazwa główna użytkownika) https://aws.amazon.com/SAML/Attributes
    Rola user.assignedroles https://aws.amazon.com/SAML/Attributes
    Czas trwania sesji użytkownik.czasTrwaniaSesji https://aws.amazon.com/SAML/Attributes

    Uwaga

    Platforma AWS oczekuje ról dla użytkowników przypisanych do aplikacji. Skonfiguruj te role w identyfikatorze Entra firmy Microsoft, aby umożliwić użytkownikom przypisanie odpowiednich ról. Aby dowiedzieć się, jak skonfigurować role w identyfikatorze Entra firmy Microsoft, zobacz tutaj

  8. Na stronie Konfigurowanie logowania jednokrotnego przy użyciu protokołu SAML w oknie dialogowym Certyfikat podpisywania SAML (krok 3) wybierz pozycję Dodaj certyfikat.

    Zrzut ekranu przedstawiający tworzenie nowego certyfikatu SAML.

  9. Wygeneruj nowy certyfikat podpisywania SAML, a następnie wybierz pozycję Nowy certyfikat. Wprowadź adres e-mail dla powiadomień o certyfikacie.

    Zrzut ekranu przedstawiający nowy certyfikat SAML.

  10. (Opcjonalnie) Możesz wybrać pozycję Ustaw certyfikat jako aktywny.

  11. W sekcji Certyfikat podpisywania SAML znajdź plik XML metadanych federacji i wybierz pozycję Pobierz , aby pobrać certyfikat i zapisać go na komputerze.

  12. W sekcji Konfigurowanie usługi AWS Single-Account Access skopiuj odpowiednie adresy URL zgodnie z wymaganiami.

    Zrzut ekranu przedstawiający adresy URL konfiguracji kopiowania.

Tworzenie i przypisywanie użytkownika testowego aplikacji Microsoft Entra

Postępuj zgodnie z wytycznymi w przewodniku szybkiego startu tworzenia i przypisywania konta użytkownika, aby utworzyć testowe konto użytkownika o nazwie B. Simon.

Konfiguracja jednokrotnego dostępu dla jednego konta AWS SSO

  1. W innym oknie przeglądarki zaloguj się do firmowej witryny platformy AWS jako administrator.

  2. Na stronie głównej platformy AWS wyszukaj IAM i wybierz ją.

    Zrzut ekranu przedstawiający stronę usług AWS z wyróżnioną pozycją Zarządzanie dostępem i tożsamościami (IAM).

  3. Przejdź do zarządzania dostępem>Dostawców tożsamości i wybierz przycisk Dodaj dostawcę.

    Zrzut ekranu przedstawiający stronę IAM z wyróżnionymi opcjami Dostawcy tożsamości i Utwórz dostawcę.

  4. Na stronie Dodawanie dostawcy tożsamości wykonaj następujące kroki:

    Zrzut ekranu przedstawiający konfigurowanie dostawcy.

    a. W polu Typ dostawcy wybierz pozycję SAML.

    b. W polu Nazwa dostawcy wpisz nazwę dostawcy (na przykład: WAAD).

    c. Aby przekazać pobrany plik metadanych, wybierz pozycję Wybierz plik.

    d. Wybierz pozycję Dodaj dostawcę.

  5. Wybierz pozycję Role>Utwórz rolę.

    Zrzut ekranu przedstawiający stronę Role.

  6. Na stronie Tworzenie roli wykonaj następujące kroki:

    Zrzut ekranu przedstawiający stronę Tworzenie roli.

    a. Wybierz pozycję Zaufany typ jednostki, wybierz pozycję Federacja SAML 2.0.

    b. W obszarze Dostawca oparty na protokole SAML 2.0 wybierz utworzonego wcześniej dostawcę SAML (na przykład: WAAD).

    c. Wybierz pozycję Zezwalaj na dostęp do programu i konsoli zarządzania platformy AWS.

    d. Wybierz pozycję Dalej.

  7. W oknie dialogowym Zasady uprawnień dołącz odpowiednie zasady dla twojej organizacji. Następnie wybierz pozycję Dalej.

    Zrzut ekranu przedstawiający okno dialogowe Dołączanie zasad uprawnień.

  8. W oknie dialogowym Przegląd wykonaj następujące kroki:

    Zrzut ekranu przedstawiający okno dialogowe Przegląd.

    a. W polu Nazwa roli wprowadź nazwę roli.

    b. W polu Opis wprowadź opis roli.

    c. Wybierz pozycję Utwórz rolę.

    d. Utwórz dowolną liczbę ról i przypisz je do dostawcy tożsamości.

  9. Użyj poświadczeń konta usługi AWS, aby pobrać role z konta AWS podczas aprowizacji użytkowników w Microsoft Entra. W tym celu otwórz stronę główną konsoli usług AWS.

  10. W sekcji IAM wybierz Zasady i wybierz Utwórz politykę.

    Zrzut ekranu sekcji Zarządzania tożsamością i dostępem, z wyróżnionymi zasadami polityki.

  11. Utwórz własne zasady, aby pobrać wszystkie role z kont platformy AWS.

    Zrzut ekranu przedstawiający stronę Tworzenie zasad, z wyróżnionym elementem JSON.

    a. W obszarze Tworzenie zasad wybierz kartę JSON .

    b. W dokumencie zasad dodaj następujący kod JSON:

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
            "iam:ListRoles"
            ],
            "Resource": "*"
        }
    ]
}

    c. Wybierz Dalej: Tagi.

  12. Możesz również dodać wymagane tagi na poniższej stronie i wybrać pozycję Dalej: Przegląd.

    Zrzut ekranu przedstawiający stronę tworzenia tagu zasad.

  13. Zdefiniuj nowe zasady. Zrzut ekranu przedstawiający stronę tworzenia zasad, z wyróżnionymi polami Nazwa i Opis.

    a. W polu Nazwa wprowadź AzureAD_SSOUserRole_Policy.

    b. W polu Opis wprowadź Ta zasada umożliwi pobranie ról z kont platformy AWS.

    c. Wybierz Utwórz politykę.

  14. Utwórz nowe konto użytkownika w usłudze AWS IAM. a. W konsoli usługi AWS IAM wybierz pozycję Użytkownicy i wybierz pozycję Dodaj użytkowników.

    Zrzut ekranu konsoli AWS IAM, z wyróżnieniem opcji Użytkownicy.

    b. W sekcji Określanie szczegółów użytkownika wprowadź nazwę użytkownika jako AzureADRoleManager i wybierz pozycję Dalej.

    Zrzut ekranu przedstawiający stronę Dodaj użytkownika z wyróżnioną nazwą użytkownika i typem dostępu.

    c. Utwórz nowe zasady dla tego użytkownika.

    Zrzut ekranu przedstawia stronę Dodawanie użytkownika, na której można utworzyć zasady dla użytkownika.

    d. Wybierz pozycję Dołącz istniejące zasady bezpośrednio.

    e. Wyszukaj nowo utworzone zasady w sekcji filtru AzureAD_SSOUserRole_Policy.

    f. Wybierz zasady, a następnie wybierz pozycję Dalej.

  15. Przejrzyj wybrane opcje i wybierz pozycję Utwórz użytkownika.

    Uwaga

    Upewnij się, że utworzysz i pobierzesz klucz dostępu zewnętrznego dla tego użytkownika. Ten klucz jest używany w sekcji aprowizacji użytkowników Microsoft Entra do pobierania ról z konsoli AWS.

  16. Aby pobrać poświadczenia użytkownika, włącz dostęp do konsoli na karcie Poświadczenia zabezpieczeń . Zrzut ekranu przedstawiający poświadczenia zabezpieczeń.

  17. Wprowadź te poświadczenia w sekcji aprowizacji użytkowników w Microsoft Entra, aby pobrać uprawnienia z konsoli AWS. Zrzut ekranu przedstawiający pobieranie poświadczeń użytkownika.

Uwaga

Platforma AWS ma zestaw wymaganych uprawnień/limitów do skonfigurowania AWS logowania jednokrotnego. Aby dowiedzieć się więcej na temat limitów platformy AWS, zapoznaj się z stroną.

Jak skonfigurować aprowizowanie ról w usłudze AWS Single-Account Access

  1. W portalu zarządzania Microsoft Entra w aplikacji AWS przejdź do sekcji Aprowizowanie.

    Zrzut ekranu aplikacji AWS z wyróżnioną sekcją Provisioning.

Nuta: Nazwa użytkownika i hasło zwracane podczas włączania dostępu do konsoli nie są potrzebne dla wartości clientsecret i Secret Token. Zamiast tego utwórz klucz dostępu innej firmy na potrzeby tego kroku.

  1. Wprowadź odpowiednio klucz dostępu i klucz tajny w polach clientsecret i Secret Token .

    Zrzut ekranu przedstawiający okno dialogowe Poświadczenia administratora.

    a. Wprowadź klucz dostępu użytkownika platformy AWS w polu clientsecret .

    b. Wprowadź tajne dane użytkownika platformy AWS w polu Tajny token.

    c. Wybierz pozycję Testuj połączenie.

    d. Zapisz ustawienie, wybierając pozycję Zapisz.

  2. W sekcji Ustawienia w obszarze Stan aprowizacji wybierz pozycję Włączone. Następnie wybierz pozycję Zapisz.

    Zrzut ekranu przedstawiający sekcję Ustawienia z wyróżnioną pozycją Włączone.

Uwaga

Usługa aprowizacji importuje role tylko z platformy AWS do identyfikatora Entra firmy Microsoft. Usługa nie konfiguruje użytkowników i grup z Microsoft Entra ID do AWS.

Uwaga

Po zapisaniu poświadczeń aprowizacji należy poczekać na uruchomienie początkowego cyklu synchronizacji. Synchronizacja trwa zwykle około 40 minut. Stan można zobaczyć w dolnej części strony Aprowizacja w obszarze Bieżący stan.

Utwórz testowego użytkownika dostępu jednego konta usługi AWS

Celem tej sekcji jest utworzenie użytkownika o nazwie B.Simon w usłudze AWS Single-Account Access. Dostęp do pojedynczego konta platformy AWS nie wymaga utworzenia użytkownika w systemie na potrzeby logowania jednokrotnego, więc nie musisz wykonywać żadnych akcji w tym miejscu.

Testowanie logowania jednokrotnego

W tej sekcji przetestujesz konfigurację logowania jednokrotnego w Microsoft Entra, korzystając z następujących opcji.

Zainicjowane przez SP:

  • Wybierz pozycję Przetestuj tę aplikację. Ta opcja przekierowuje do adresu URL logowania do usługi AWS Single-Account Access, w którym można zainicjować przepływ logowania.

  • Przejdź bezpośrednio do adresu URL logowania jednokrotnego dostępu do pojedynczego konta usługi AWS i zainicjuj przepływ logowania stamtąd.

Inicjowane przez IDP

  • Wybierz pozycję Przetestuj tę aplikację i powinno nastąpić automatyczne zalogowanie do usługi AWS Single-Account Access, dla której skonfigurowano logowanie jednokrotne.

Możesz również użyć Moje aplikacje firmy Microsoft, aby przetestować aplikację w dowolnym trybie. Po wybraniu kafelka AWS Single-Account Access w obszarze Moje aplikacje, jeśli jest skonfigurowany w trybie SP, nastąpi przekierowanie na stronę logowania do aplikacji, aby zainicjować proces logowania. Natomiast jeśli jest skonfigurowany w trybie IDP, powinno nastąpić automatyczne zalogowanie do usługi AWS Single-Account Access, dla której skonfigurowano logowanie jednokrotne (SSO). Aby uzyskać więcej informacji na temat moich aplikacji, zobacz Introduction to the My Apps( Wprowadzenie do aplikacji My Apps).

Znane problemy

  • Integracji wdrażania dostępu do jednego konta w AWS nie można używać w regionach AWS China.

  • W sekcji Aprowizacja podsekcja Mapowania zawiera komunikat "Ładowanie..." i nigdy nie wyświetla mapowania atrybutów. Jedynym obsługiwanym obecnie przepływem pracy aprowizacji jest importowanie ról z AWS do Entra ID firmy Microsoft do wyboru podczas przypisywania ról użytkownikom lub grupom. Mapowania atrybutów dla tego elementu są wstępnie określone i nie można ich konfigurować.

  • Sekcja Konfigurowanie obsługuje tylko wprowadzanie jednego zestawu poświadczeń dla jednej dzierżawy AWS jednocześnie. Wszystkie zaimportowane role są zapisywane we właściwości obiektu Microsoft Entra ID dla dzierżawy platformy AWS.

    Wielu tenantów platformy AWS (reprezentowanych przez servicePrincipals) można dodać do usługi Microsoft Entra ID w galerii na potrzeby zapewnienia zasobów. Istnieje jednak znany problem polegający na tym, że nie można automatycznie zapisywać wszystkich zaimportowanych ról z wielu instancji AWS servicePrincipals używanych do aprowizacji do pojedynczego servicePrincipal używanego do SSO.

    Aby obejść ten problem, możesz użyć interfejsu API programu Microsoft Graph do wyodrębnienia wszystkich elementów zaimportowanych appRoles w każdej usłudze AWS servicePrincipal, gdzie skonfigurowano aprowizację. Następnie można dodać te ciągi ról do AWS servicePrincipal, gdzie skonfigurowano SSO.

  • Role muszą spełniać następujące wymagania, aby kwalifikować się do zaimportowania z platformy AWS do identyfikatora Entra firmy Microsoft:

    • Role muszą mieć dokładnie jednego dostawcę SAML zdefiniowanego w AWS
    • Łączna długość ARN ("Amazon Resource Name") dla roli i ARN skojarzonego dostawcy SAML musi być mniejsza niż 240 znaków.

Dziennik zmian

  • 12.01.2020 — Zwiększony limit długości roli z 119 znaków do 239 znaków.

Powiązana zawartość

Po skonfigurowaniu dostępu do pojedynczego konta platformy AWS można wymusić kontrolę sesji, która chroni eksfiltrację i infiltrację poufnych danych organizacji w czasie rzeczywistym. Kontrola sesji rozszerza dostęp warunkowy. Dowiedz się, jak wymusić kontrolę sesji za pomocą usługi Microsoft Defender for Cloud Apps.

  • Last updated on