Kurz: Integrace jednotného přihlašování Microsoft Entra s AWS IAM Identity Center

  • Článek

V tomto kurzu se dozvíte, jak integrovat AWS IAM Identity Center (následník jednotného přihlašování AWS) s Microsoft Entra ID. Když integrujete AWS IAM Identity Center s Microsoft Entra ID, můžete:

  • Řízení v Microsoft Entra ID, který má přístup k AWS IAM Identity Center.
  • Povolte uživatelům automatické přihlášení k AWS IAM Identity Center pomocí svých účtů Microsoft Entra.
  • Spravujte účty v jednom centrálním umístění.

Požadavky

Abyste mohli začít, potřebujete následující položky:

  • Předplatné Microsoft Entra. Pokud předplatné nemáte, můžete získat bezplatný účet.
  • Předplatné s povoleným centrem identit AWS IAM

Popis scénáře

V tomto kurzu nakonfigurujete a otestujete jednotné přihlašování Microsoft Entra v testovacím prostředí.

  • AWS IAM Identity Center podporuje jednotné přihlašování iniciované službou SP a IDP .

  • AWS IAM Identity Center podporuje automatizované zřizování uživatelů.

Pokud chcete nakonfigurovat integraci centra identit IAM AWS do Microsoft Entra ID, musíte do seznamu spravovaných aplikací SaaS přidat Centrum identit AWS IAM z galerie.

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň cloudová aplikace Správa istrator.
  2. Přejděte k podnikovým aplikacím>Identita>Aplikace>– Nová aplikace.
  3. V části Přidat z galerie zadejte do vyhledávacího pole centrum identit AWS IAM.
  4. Na panelu výsledků vyberte AWS IAM Identity Center a pak přidejte aplikaci. Počkejte několik sekund, než se aplikace přidá do vašeho tenanta.

Alternativně můžete také použít Průvodce konfigurací podnikové aplikace. V tomto průvodci můžete do tenanta přidat aplikaci, přidat uživatele nebo skupiny do aplikace, přiřadit role a také si projít konfiguraci jednotného přihlašování. Přečtěte si další informace o průvodcích Microsoft 365.

Konfigurace a testování jednotného přihlašování Microsoft Entra pro AWS IAM Identity Center

Nakonfigurujte a otestujte jednotné přihlašování Microsoft Entra s AWS IAM Identity Center pomocí testovacího uživatele s názvem B.Simon. Aby jednotné přihlašování fungovalo, musíte vytvořit vztah propojení mezi uživatelem Microsoft Entra a souvisejícím uživatelem v AWS IAM Identity Center.

Pokud chcete nakonfigurovat a otestovat jednotné přihlašování Microsoft Entra s AWS IAM Identity Center, proveďte následující kroky:

  1. Nakonfigurujte jednotné přihlašování Microsoft Entra – aby uživatelé mohli tuto funkci používat.
    1. Vytvoření testovacího uživatele Microsoft Entra – k otestování jednotného přihlašování Microsoft Entra pomocí B.Simon.
    2. Přiřaďte testovacího uživatele Microsoft Entra – aby B.Simon mohl používat jednotné přihlašování Microsoft Entra.
  2. Konfigurace jednotného přihlašování AWS IAM Identity Center – konfigurace nastavení jednotného přihlašování na straně aplikace
    1. Vytvořte testovacího uživatele AWS IAM Identity Center – aby měl v AWS IAM Identity Center protějšk B.Simon, který je propojený s reprezentací uživatele Microsoft Entra.
  3. Otestujte jednotné přihlašování a ověřte, jestli konfigurace funguje.

Konfigurace jednotného přihlašování Microsoft Entra

Následujícím postupem povolíte jednotné přihlašování microsoftu Entra.

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň cloudová aplikace Správa istrator.

  2. Přejděte k podnikovým aplikacím>identit>>AWS IAM Identity Center>– jednotné přihlašování.

  3. Na stránce Vybrat metodu jednotného přihlašování vyberte SAML.

  4. Na stránce Nastavení jednotného přihlašování pomocí SAML klikněte na ikonu tužky pro základní konfiguraci SAML a upravte nastavení.

    Edit Basic SAML Configuration

  5. Pokud máte soubor metadat zprostředkovatele služeb, proveďte v části Základní konfigurace SAML následující kroky:

    a. Klikněte na Nahrát soubor metadat.

    b. Kliknutím na logo složky vyberte soubor metadat, který je vysvětlený ke stažení v části Konfigurace jednotného přihlašování IAM IAM Identity Center a klikněte na Přidat.

    image2

    c. Po úspěšném nahrání souboru metadat se hodnoty Identifikátor a adresa URL odpovědi automaticky vyplní v části Základní konfigurace SAML.

    Poznámka:

    Pokud se hodnoty identifikátoru a adresy URL odpovědi automaticky vyplní, vyplňte hodnoty ručně podle vašeho požadavku.

    Poznámka:

    Při změně zprostředkovatele identity v AWS (tj. z AD na externího zprostředkovatele, jako je Microsoft Entra ID), se metadata AWS změní a je potřeba je znovu načíst do Azure, aby jednotné přihlašování fungovalo správně.

  6. Pokud nemáte soubor metadat zprostředkovatele služeb, proveďte následující kroky v části Základní konfigurace SAML, pokud chcete aplikaci nakonfigurovat v režimu iniciovaném protokolem IDP , proveďte následující kroky:

    a. Do textového pole Identifikátor zadejte adresu URL pomocí následujícího vzoru: https://<REGION>.signin.aws.amazon.com/platform/saml/<ID>

    b. Do textového pole Adresa URL odpovědi zadejte adresu URL pomocí následujícího vzoru: https://<REGION>.signin.aws.amazon.com/platform/saml/acs/<ID>

  7. Klikněte na Nastavit další adresy URL a proveďte následující krok, pokud chcete nakonfigurovat aplikaci v režimu iniciovaném aktualizací SP :

    Do textového pole Přihlašovací adresa URL zadejte adresu URL pomocí následujícího vzoru: https://portal.sso.<REGION>.amazonaws.com/saml/assertion/<ID>

    Poznámka:

    Tyto hodnoty nejsou reálné. Aktualizujte tyto hodnoty skutečným identifikátorem, adresou URL odpovědi a přihlašovací adresou URL. Pokud chcete získat tyto hodnoty, obraťte se na tým podpory klienta AWS IAM Identity Center. Můžete také odkazovat na vzory uvedené v části Základní konfigurace SAML.

  8. Aplikace AWS IAM Identity Center očekává kontrolní výrazy SAML v určitém formátu, což vyžaduje přidání vlastních mapování atributů do konfigurace atributů tokenu SAML. Následující snímek obrazovky ukazuje seznam výchozích atributů.

    image

    Poznámka:

    Pokud je ve službě AWS IAM Identity Center povolený ABAC, můžou se další atributy předávat jako značky relací přímo do účtů AWS.

  9. Na stránce Nastavení jednotného přihlašování pomocí SAML v části Podpisový certifikát SAML vyhledejte XML federačních metadat a vyberte Stáhnout a stáhněte certifikát a uložte ho do počítače.

    Screenshot shows the Certificate download link.

  10. V části Nastavit AWS IAM Identity Center zkopírujte odpovídající adresy URL podle vašeho požadavku.

    Screenshot shows to copy configuration appropriate URL.

Vytvoření testovacího uživatele Microsoft Entra

V této části vytvoříte testovacího uživatele s názvem B.Simon.

  1. Přihlaste se k Centru pro správu Microsoft Entra alespoň jako uživatel Správa istrator.
  2. Přejděte k identitě>Uživatelé>Všichni uživatelé.
  3. V horní části obrazovky vyberte Nový uživatel>Vytvořit nového uživatele.
  4. Ve vlastnostech uživatele postupujte takto:
    1. Do pole Zobrazovaný název zadejte B.Simon.
    2. Do pole Hlavní název uživatele zadejte .username@companydomain.extension Například B.Simon@contoso.com.
    3. Zaškrtněte políčko Zobrazit heslo a potom poznamenejte hodnotu, která se zobrazí v poli Heslo.
    4. Vyberte Zkontrolovat a vytvořit.
  5. Vyberte Vytvořit.

Přiřazení testovacího uživatele Microsoft Entra

V této části povolíte B.Simonu používat jednotné přihlašování tím, že udělíte přístup k centru identit AWS IAM.

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň cloudová aplikace Správa istrator.
  2. Přejděte do>>> Centra identit AWS IAM Identity Center.
  3. Na stránce s přehledem aplikace vyberte Uživatelé a skupiny.
  4. Vyberte Přidat uživatele nebo skupinu a pak v dialogovém okně Přidat přiřazení vyberte Uživatelé a skupiny.
    1. V dialogovém okně Uživatelé a skupiny vyberte B.Simon ze seznamu Uživatelé a potom klikněte na tlačítko Vybrat v dolní části obrazovky.
    2. Pokud očekáváte přiřazení role uživatelům, můžete ji vybrat v rozevíracím seznamu Vybrat roli . Pokud pro tuto aplikaci nebyla nastavena žádná role, zobrazí se vybraná výchozí role pro přístup.
    3. V dialogovém okně Přidat přiřazení klikněte na tlačítko Přiřadit .

Konfigurace jednotného přihlašování AWS IAM Identity Center

  1. V jiném okně webového prohlížeče se přihlaste k firemnímu webu AWS IAM Identity Center jako správce.

  2. Přejděte na Služby –> Zabezpečení, identita a dodržování předpisů –> AWS IAM Identity Center.

  3. V levém navigačním podokně zvolte Nastavení.

  4. Na stránce Nastavení vyhledejte zdroj identity, klikněte na rozevírací nabídku Akce a vyberte Změnit zdroj identity.

    Screenshot for Identity source change service.

  5. Na stránce Změnit zdroj identity zvolte externího zprostředkovatele identity.

    Screenshot for selecting external identity provider section.

  6. V části Konfigurace externího zprostředkovatele identity proveďte následující kroky:

    Screenshot for download and upload metadata section.

    a. V části Metadata zprostředkovatele služeb vyhledejte metadata SAML jednotného přihlašování AWS, vyberte Stáhnout soubor metadat a stáhněte soubor metadat a uložte ho do počítače a použijte tento soubor metadat k nahrání na webu Azure Portal.

    b. Zkopírujte hodnotu přihlašovací adresy URL portálu AWS, vložte tuto hodnotu do textového pole Přihlásit se k adrese URL v části Základní konfigurace SAML.

    c. V části Metadata zprostředkovatele identity vyberte Zvolit soubor a nahrajte soubor metadat, který jste stáhli.

    d. Zvolte Další: Zkontrolovat.

  7. Do textového pole zadejte ACCEPT a změňte zdroj identity.

    Screenshot for Confirming the configuration.

  8. Klikněte na Změnit zdroj identity.

Vytvoření testovacího uživatele AWS IAM Identity Center

  1. Otevřete konzolu AWS IAM Identity Center.

  2. V levém navigačním podokně zvolte Uživatelé.

  3. Na stránce Uživatelé zvolte Přidat uživatele.

  4. Na stránce Přidat uživatele postupujte takto:

    a. Do pole Uživatelské jméno zadejte B.Simon.

    b. Do pole E-mailová adresa zadejte username@companydomain.extension. Například B.Simon@contoso.com.

    c. V poli Potvrdit e-mailovou adresu znovu zadejte e-mailovou adresu z předchozího kroku.

    d. Do pole Jméno zadejte Britta.

    e. Do pole Příjmení zadejte Simon.

    f. Do pole Zobrazovaný název zadejte B.Simon.

    g. Zvolte Další a pak znovu Další .

    Poznámka:

    Ujistěte se, že uživatelské jméno a e-mailová adresa zadané v Centru identit IAM AWS odpovídá přihlašovacímu jménu Microsoft Entra uživatele. Tím se vyhnete problémům s ověřováním.

  5. Zvolte Přidat uživatele.

  6. V dalším kroku přiřadíte uživatele k vašemu účtu AWS. Uděláte to tak, že v levém navigačním podokně konzoly AWS IAM Identity Center zvolíte účty AWS.

  7. Na stránce Účty AWS zaškrtněte kartu organizace AWS a zaškrtněte políčko vedle účtu AWS, který chcete uživateli přiřadit. Pak zvolte Přiřadit uživatele.

  8. Na stránce Přiřadit uživatele najděte a zaškrtněte políčko vedle uživatele B.Simon. Pak zvolte Další: Sady oprávnění.

  9. V části Vybrat sady oprávnění zaškrtněte políčko vedle sady oprávnění, kterou chcete přiřadit uživateli B.Simon. Pokud nemáte existující sadu oprávnění, zvolte Vytvořit novou sadu oprávnění.

    Poznámka:

    Sady oprávnění definují úroveň přístupu, kterou uživatelé a skupiny mají k účtu AWS. Další informace o sadách oprávnění najdete na stránce oprávnění AWS IAM Identity Center s více oprávněními účtu.

  10. Zvolte Dokončit.

Poznámka:

AWS IAM Identity Center také podporuje automatické zřizování uživatelů. Další podrobnosti o konfiguraci automatického zřizování uživatelů najdete tady .

Testování jednotného přihlašování

V této části otestujete konfiguraci jednotného přihlašování Microsoft Entra s následujícími možnostmi.

Inicializovaná aktualizace:

  • Klikněte na Otestovat tuto aplikaci. Tím se přesměruje na přihlašovací adresu URL AWS IAM Identity Center, kde můžete zahájit tok přihlášení.

  • Přejděte přímo na přihlašovací adresu URL AWS IAM Identity Center a spusťte tok přihlášení odtud.

Iniciovaný protokol IDP:

  • Klikněte na Otestovat tuto aplikaci a měli byste být automaticky přihlášení k Centru identit AWS IAM, pro které jste nastavili jednotné přihlašování.

K otestování aplikace v libovolném režimu můžete také použít Microsoft Moje aplikace. Když kliknete na dlaždici AWS IAM Identity Center v Moje aplikace, pokud je nakonfigurovaný v režimu SP, budete přesměrováni na přihlašovací stránku aplikace pro inicializace toku přihlášení a pokud je nakonfigurovaný v režimu IDP, měli byste být automaticky přihlášení k centru identit AWS IAM, pro který jste nastavili jednotné přihlašování. Další informace o Moje aplikace naleznete v tématu Úvod do Moje aplikace.

Další kroky

Jakmile nakonfigurujete AWS IAM Identity Center, můžete vynutit řízení relací, které chrání exfiltraci a infiltraci citlivých dat vaší organizace v reálném čase. Řízení relací se rozšiřuje z podmíněného přístupu. Přečtěte si, jak vynutit řízení relací pomocí Programu Microsoft Defender for Cloud Apps.