Sdílet prostřednictvím

Kurz: Integrace jednotného přihlašování Microsoft Entra s přístupem k jednomu účtu AWS

  • Článek

V tomto kurzu se dozvíte, jak integrovat přístup k jednoúčelovým účtům AWS s Id Microsoft Entra. Když integrujete přístup s jedním účtem AWS s ID Microsoft Entra, můžete:

  • Řízení v Microsoft Entra ID, který má přístup k přístupu k AWS Single-Account Access.
  • Povolte uživatelům automatické přihlášení k přístupu k jednomu účtu AWS pomocí jejich účtů Microsoft Entra.
  • Spravujte účty v jednom centrálním umístění.

Následující informace vám pomůžou rozhodnout, jak v galerii aplikací Microsoft Entra používat jednotné přihlašování AWS a AWS Single-Account Access.

Jednotné přihlašování AWS

Jednotné přihlašování AWS bylo přidáno do galerie aplikací Microsoft Entra v únoru 2021. Usnadňuje centrální správu přístupu k více účtům AWS a aplikacím AWS s přihlášením prostřednictvím Microsoft Entra ID. Jednou federujte ID Microsoft Entra s jednotným přihlašováním a použijte jednotné přihlašování AWS ke správě oprávnění napříč všemi účty AWS z jednoho místa. Jednotné přihlašování AWS zřídí oprávnění automaticky a udržuje je aktuální při aktualizaci zásad a přiřazení přístupu. Koncoví uživatelé se můžou ověřit pomocí svých přihlašovacích údajů Microsoft Entra pro přístup ke konzole AWS, rozhraní příkazového řádku a integrovaným aplikacím jednotného přihlašování AWS.

Přístup k jednomu účtu AWS

Přístup k jednoúčelovým účtům AWS používají zákazníci za posledních několik let a umožňuje federovat ID Microsoft Entra do jednoho účtu AWS a používat Id Microsoft Entra ke správě přístupu k rolím AWS IAM. Správci IAM AWS definují role a zásady v každém účtu AWS. Pro každý účet AWS se Microsoft Entra správci federují do AWS IAM, přiřazují uživatelům nebo skupinám k účtu a nakonfigurují ID Microsoft Entra tak, aby odesílala kontrolní výrazy, které autorizuje přístup k rolím.

Funkce Jednotné přihlašování AWS Přístup k jednomu účtu AWS
Podmíněný přístup Podporuje jednu zásadu podmíněného přístupu pro všechny účty AWS. Podporuje jednu zásadu podmíněného přístupu pro všechny účty nebo vlastní zásady na jeden účet.
Přístup k rozhraní příkazového řádku Podporováno Podporováno
Privileged Identity Management Podporuje se Nepodporováno
Centralizovaná správa účtů Centralizovaná správa účtů v AWS Centralizovaná správa účtů v Microsoft Entra ID (pravděpodobně bude vyžadovat podnikovou aplikaci Microsoft Entra na účet).
Certifikát SAML Jeden certifikát Samostatné certifikáty na aplikaci nebo účet

Architektura přístupu s jedním účtem AWS

Snímek obrazovky znázorňující vztah Microsoft Entra ID a AWS

Pro více instancí můžete nakonfigurovat více identifikátorů. Příklad:

  • https://signin.aws.amazon.com/saml#1

  • https://signin.aws.amazon.com/saml#2

S těmito hodnotami Microsoft Entra ID odebere hodnotu #a odešle správnou hodnotu https://signin.aws.amazon.com/saml jako adresu URL cílové skupiny v tokenu SAML.

Tento přístup doporučujeme z následujících důvodů:

  • Každá aplikace poskytuje jedinečný certifikát X509. Každá instance instance aplikace AWS pak může mít jiné datum vypršení platnosti certifikátu, které je možné spravovat na základě jednotlivých účtů AWS. Celková změna certifikátu je v tomto případě jednodušší.

  • Můžete povolit zřizování uživatelů pomocí aplikace AWS v Microsoft Entra ID a pak naše služba načte všechny role z tohoto účtu AWS. Role AWS v aplikaci nemusíte přidávat ani aktualizovat ručně.

  • Vlastníka aplikace můžete pro aplikaci přiřadit jednotlivě. Tato osoba může aplikaci spravovat přímo v Microsoft Entra ID.

Poznámka:

Ujistěte se, že používáte jenom aplikaci galerie.

Požadavky

Abyste mohli začít, potřebujete následující položky:

  • Předplatné Microsoft Entra. Pokud předplatné nemáte, můžete získat bezplatný účet.
  • Předplatné s povoleným předplatným AWS IAM IAM.
  • Spolu se správcem cloudových aplikací může správce aplikací také přidávat nebo spravovat aplikace v Microsoft Entra ID. Další informace najdete v tématu Předdefinované role v Azure.

Poznámka:

Role by neměly být při importu rolí ručně upravovány v MICROSOFT Entra ID.

Popis scénáře

V tomto kurzu nakonfigurujete a otestujete jednotné přihlašování Microsoft Entra v testovacím prostředí.

  • Přístup s jedním účtem AWS podporuje jednotné přihlašování iniciované službou SP a IDP .

Poznámka:

Identifikátor této aplikace je pevná řetězcová hodnota, takže v jednom tenantovi je možné nakonfigurovat pouze jednu instanci.

Pokud chcete nakonfigurovat integraci přístupu s jedním účtem AWS do Microsoft Entra ID, musíte přidat přístup jednoho účtu AWS z galerie do seznamu spravovaných aplikací SaaS.

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce cloudových aplikací.
  2. Přejděte k podnikovým aplikacím>Identita>Aplikace>– Nová aplikace.
  3. V části Přidat z galerie zadejte do vyhledávacího pole přístup K jednomu účtu AWS.
  4. Na panelu výsledků vyberte přístup k jednomu účtu AWS a pak přidejte aplikaci. Počkejte několik sekund, než se aplikace přidá do vašeho tenanta.

Alternativně můžete také použít Průvodce konfigurací podnikové aplikace. V tomto průvodci můžete do tenanta přidat aplikaci, přidat uživatele nebo skupiny do aplikace, přiřadit role a také si projít konfiguraci jednotného přihlašování. Přečtěte si další informace o průvodcích Microsoft 365.

Alternativně můžete také použít Průvodce konfigurací podnikové aplikace. V tomto průvodci můžete do tenanta přidat aplikaci, přidat uživatele nebo skupiny do aplikace, přiřadit role a také si projít konfiguraci jednotného přihlašování. Další informace o průvodcích O365 najdete tady.

Konfigurace a testování jednotného přihlašování Microsoft Entra pro přístup k jednomu účtu AWS

Nakonfigurujte a otestujte jednotné přihlašování Microsoft Entra s přístupem k jednomu účtu AWS pomocí testovacího uživatele s názvem B.Simon. Aby jednotné přihlašování fungovalo, musíte vytvořit vztah propojení mezi uživatelem Microsoft Entra a souvisejícím uživatelem v přístupu k jednomu účtu AWS.

Pokud chcete nakonfigurovat a otestovat jednotné přihlašování Microsoft Entra s přístupem k jednomu účtu AWS, proveďte následující kroky:

  1. Nakonfigurujte jednotné přihlašování Microsoft Entra – aby uživatelé mohli tuto funkci používat.
    1. Vytvoření testovacího uživatele Microsoft Entra – k otestování jednotného přihlašování Microsoft Entra pomocí B.Simon.
    2. Přiřaďte testovacího uživatele Microsoft Entra – aby B.Simon mohl používat jednotné přihlašování Microsoft Entra.
  2. Nakonfigurujte jednotné přihlašování s jedním účtem AWS – nakonfigurujte nastavení jednotného přihlašování na straně aplikace.
    1. Vytvořte testovacího uživatele AWS s jedním účtem – pokud chcete mít protějšek B.Simon v přístupu k jednomu účtu AWS, který je propojený s reprezentací uživatele Microsoft Entra.
    2. Postup konfigurace zřizování rolí v přístupu k jednomu účtu AWS
  3. Otestujte jednotné přihlašování a ověřte, jestli konfigurace funguje.

Konfigurace jednotného přihlašování Microsoft Entra

Následujícím postupem povolíte jednotné přihlašování microsoftu Entra.

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce cloudových aplikací.

  2. Přejděte k podnikovým>aplikacím>identit>AWS s jednotným přihlašováním s>jedním účtem.

  3. Na stránce Vybrat metodu jednotného přihlašování vyberte SAML.

  4. Na stránce Nastavení jednotného přihlašování pomocí SAML klikněte na ikonu tužky pro základní konfiguraci SAML a upravte nastavení.

    Snímek obrazovky s možností Upravit základní konfiguraci SAML

  5. V části Základní konfigurace SAML aktualizujte identifikátor (ID entity) i adresu URL odpovědi se stejnou výchozí hodnotou: https://signin.aws.amazon.com/saml. Chcete-li uložit změny konfigurace, musíte vybrat uložit možnost Uložit .

  6. Aplikace AWS očekává kontrolní výrazy SAML v určitém formátu, které vyžadují přidání mapování vlastních atributů do konfigurace atributů tokenu SAML. Následující snímek obrazovky ukazuje seznam výchozích atributů.

    Snímek obrazovky s výchozími atributy

  7. Kromě výše uvedeného očekává aplikace AWS několik dalších atributů, které se předávají zpět v odpovědi SAML, které jsou uvedeny níže. Tyto atributy jsou také předem vyplněné, ale můžete je zkontrolovat podle svých požadavků.

    Název Zdrojový atribut Obor názvů
    RoleSessionName user.userprincipalname https://aws.amazon.com/SAML/Attributes
    Role user.assignedroles https://aws.amazon.com/SAML/Attributes
    SessionDuration user.sessionduration https://aws.amazon.com/SAML/Attributes

    Poznámka:

    AWS očekává role pro uživatele přiřazené k aplikaci. Nastavte tyto role v MICROSOFT Entra ID, aby uživatelé mohli přiřadit příslušné role. Informace o konfiguraci rolí v ID Microsoft Entra najdete tady.

  8. Na stránce Nastavení jednotného přihlašování pomocí SAML v dialogovém okně Podpisový certifikát SAML (krok 3) vyberte Přidat certifikát.

    Snímek obrazovky znázorňující vytvoření nového certifikátu SAML

  9. Vygenerujte nový podpisový certifikát SAML a pak vyberte Nový certifikát. Zadejte e-mailovou adresu pro oznámení o certifikátu.

    Snímek obrazovky s novým certifikátem SAML

  10. (Volitelné) Můžete vybrat Nastavit certifikát jako aktivní.

  11. V části Podpisový certifikát SAML vyhledejte XML federačních metadat a vyberte Stáhnout, stáhněte certifikát a uložte ho do počítače.

  12. V části Nastavit přístup k jednomu účtu AWS zkopírujte odpovídající adresy URL podle vašeho požadavku.

    Snímek obrazovky znázorňující kopírování konfiguračních adres URL

Vytvoření testovacího uživatele Microsoft Entra

V této části vytvoříte testovacího uživatele S názvem B.Simon.

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce uživatelů.
  2. Přejděte do části Identita>Uživatelé>Všichni uživatelé.
  3. V horní části obrazovky vyberte Nový uživatel>Vytvořit nového uživatele.
  4. Ve vlastnostech uživatele postupujte takto:
    1. Do pole Zobrazovaný název zadejte B.Simon.
    2. Do pole Hlavní název uživatele zadejte .username@companydomain.extension Například B.Simon@contoso.com.
    3. Zaškrtněte políčko Zobrazit heslo a potom poznamenejte hodnotu, která se zobrazí v poli Heslo.
    4. Vyberte Zkontrolovat a vytvořit.
  5. Vyberte Vytvořit.

Přiřazení testovacího uživatele Microsoft Entra

V této části povolíte B.Simonu, aby používal jednotné přihlašování tím, že udělíte přístup k AWS Single-Account Access.

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce cloudových aplikací.
  2. Přejděte k podnikovým>aplikacím>identit>AWS s přístupem k jednomu účtu.
  3. Na stránce s přehledem aplikace vyberte Uživatelé a skupiny.
  4. Vyberte Přidat uživatele nebo skupinu a pak v dialogovém okně Přidat přiřazení vyberte Uživatelé a skupiny.
    1. V dialogovém okně Uživatelé a skupiny vyberte B.Simon ze seznamu Uživatelé a potom klikněte na tlačítko Vybrat v dolní části obrazovky.
    2. Pokud očekáváte přiřazení role uživatelům, můžete ji vybrat v rozevíracím seznamu Vybrat roli . Pokud pro tuto aplikaci nebyla nastavena žádná role, zobrazí se vybraná výchozí role pro přístup.
    3. V dialogovém okně Přidat přiřazení klikněte na tlačítko Přiřadit .

Konfigurace jednotného přihlašování s jedním účtem AWS

  1. V jiném okně prohlížeče se přihlaste k webu společnosti AWS jako správce.

  2. Na domovské stránce AWS vyhledejte IAM a klikněte na ni.

    Snímek obrazovky se stránkou služeb AWS se zvýrazněnou možností IAM

  3. Přejděte do správy přístupu -> Zprostředkovatelé identity a klikněte na tlačítko Přidat zprostředkovatele.

    Snímek obrazovky se stránkou IAM se zvýrazněnou možností Zprostředkovatelé identity a Vytvořit zprostředkovatele

  4. Na stránce Přidat zprostředkovatele identity proveďte následující kroky:

    Snímek obrazovky konfigurace zprostředkovatele

    a. Jako typ zprostředkovatele vyberte SAML.

    b. Jako název zprostředkovatele zadejte název zprostředkovatele (například WAAD).

    c. Pokud chcete nahrát stažený soubor metadat, vyberte Zvolit soubor.

    d. Klikněte na Přidat zprostředkovatele.

  5. Vyberte Role>Vytvořit roli.

    Snímek obrazovky se stránkou Role

  6. Na stránce Vytvořit roli proveďte následující kroky:

    Snímek obrazovky se stránkou Vytvořit roli

    a. Zvolte Typ důvěryhodné entity a vyberte federaci SAML 2.0.

    b. V části zprostředkovatele založeného na SAML 2.0 vyberte zprostředkovatele SAML, který jste vytvořili dříve (například WAAD).

    c. Vyberte Povolit programový přístup a přístup ke konzole pro správu AWS.

    d. Vyberte Další.

  7. V dialogovém okně Zásady oprávnění připojte příslušné zásady podle vaší organizace. Pak vyberte Další.

    Snímek obrazovky s dialogovým oknem Připojit zásady oprávnění

  8. V dialogovém okně Revize proveďte následující kroky:

    Snímek obrazovky s dialogovým oknem Revize

    a. Do pole Název role zadejte název vaší role.

    b. Do popisu zadejte popis role.

    c. Vyberte Vytvořit roli.

    d. Vytvořte libovolný počet rolí a namapujte je na zprostředkovatele identity.

  9. Pro načtení rolí z účtu AWS ve zřizování uživatelů Microsoft Entra použijte přihlašovací údaje účtu služby AWS. V takovém případě otevřete domovskou stránku konzoly AWS.

  10. V části IAM vyberte Zásady a klikněte na Vytvořit zásadu.

    Snímek obrazovky s oddílem IAM se zvýrazněnou možností Zásady

  11. Vytvořte vlastní zásadu pro načtení všech rolí z účtů AWS.

    Snímek obrazovky se stránkou Vytvořit zásadu se zvýrazněným kódem JSON

    a. V části Vytvořit zásadu vyberte kartu JSON.

    b. Do dokumentu zásad přidejte následující JSON:

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
            "iam:ListRoles"
            ],
            "Resource": "*"
        }
    ]
}

    c. Klikněte na Další: Značky.

  12. Požadované značky můžete přidat také na následující stránce a kliknout na Další: Zkontrolovat.

    Snímek obrazovky se stránkou vytvořit značku zásad

  13. Definujte novou zásadu.

    Snímek obrazovky se stránkou Vytvořit zásadu se zvýrazněnými poli Název a Popis

    a. Jako název zadejte AzureAD_SSOUserRole_Policy.

    b. Jako popis zadejte Tuto zásadu, která umožní načíst role z účtů AWS.

    c. Vyberte Vytvořit zásadu.

  14. Ve službě AWS IAM vytvořte nový uživatelský účet.

    a. V konzole AWS IAM vyberte Uživatelé a klikněte na Přidat uživatele.

    Snímek obrazovky konzoly AWS IAM se zvýrazněnou možností Uživatelé

    b. V části Zadat podrobnosti o uživateli zadejte uživatelské jméno jako AzureADRoleManager a vyberte Další.

    Snímek obrazovky se stránkou Přidat uživatele se zvýrazněným uživatelským jménem a typem přístupu

    c. Vytvořte pro tohoto uživatele novou zásadu.

    Snímek obrazovky se stránkou Přidat uživatele, kde můžete vytvořit zásadu pro uživatele

    d. Vyberte Připojit existující zásady přímo.

    e. Vyhledejte nově vytvořenou zásadu v oddílu filtru AzureAD_SSOUserRole_Policy.

    f. Vyberte zásadu a pak vyberte Další.

  15. Zkontrolujte volby a vyberte Vytvořit uživatele.

Poznámka: Ujistěte se, že chcete pro tohoto uživatele vytvořit a stáhnout přístupový klíč třetí strany. Tento klíč se použije v části zřizování uživatelů Microsoft Entra k načtení rolí z konzoly AWS.

  1. Pokud chcete stáhnout přihlašovací údaje uživatele uživatele, povolte přístup ke konzole na kartě Přihlašovací údaje zabezpečení.

    Snímek obrazovky znázorňující přihlašovací údaje zabezpečení

  2. Zadejte tyto přihlašovací údaje do části zřizování uživatelů Microsoft Entra, abyste mohli načíst role z konzoly AWS.

    Snímek obrazovky znázorňující stažení přihlašovacích údajů uživatele

Poznámka:

AWS má sadu oprávnění nebo limtů, které jsou potřeba ke konfiguraci jednotného přihlašování AWS. Další informace o limitech AWS najdete na této stránce.

Postup konfigurace zřizování rolí v přístupu k jednomu účtu AWS

  1. Na portálu pro správu Microsoft Entra přejděte v aplikaci AWS do zřizování.

    Snímek obrazovky aplikace AWS se zvýrazněnou možností Zřizování

Poznámka: Uživatelské jméno a heslo vrácené při povolování přístupu ke konzole nejsou to, co je potřeba pro hodnoty clientsecret a tajný token. Místo toho vytvořte přístupový klíč třetí strany pro tento krok.

  1. Do polí klientiecret a Token tajného klíče zadejte přístupový klíč a tajný klíč.

    Snímek obrazovky s dialogovým oknem Přihlašovací údaje správce

    a. Do pole clientsecret zadejte přístupový klíč uživatele AWS.

    b. Do pole Token tajného kódu zadejte tajný klíč uživatele AWS.

    c. Vyberte Testovat připojení.

    d. Nastavení uložte výběrem možnosti Uložit.

  2. V části Nastavení v části Stav zřizování vyberte Zapnuto. Pak vyberte Uložit.

    Snímek obrazovky s oddílem Nastavení se zvýrazněnou možností Zapnuto

Poznámka:

Služba zřizování importuje role pouze z AWS do Microsoft Entra ID. Služba nezřídí uživatele a skupiny z Microsoft Entra ID pro AWS.

Poznámka:

Po uložení přihlašovacích údajů pro zřizování musíte počkat na spuštění počátečního cyklu synchronizace. Dokončení synchronizace obvykle trvá přibližně 40 minut. Stav se zobrazí v dolní části stránky Zřizování v části Aktuální stav.

Vytvoření testovacího uživatele S jedním účtem AWS

Cílem této části je vytvořit uživatele S názvem B.Simon v přístupu k jednomu účtu AWS. Přístup k jednoúčelovým účtům AWS nepotřebuje, aby se v systému vytvořil uživatel pro jednotné přihlašování, takže tady nemusíte provádět žádnou akci.

Testování jednotného přihlašování

V této části otestujete konfiguraci jednotného přihlašování Microsoft Entra s následujícími možnostmi.

Inicializovaná aktualizace:

  • Klikněte na Otestovat tuto aplikaci, tím se přesměruje na přístupový podpis AWS s jedním účtem na adrese URL, kde můžete zahájit tok přihlášení.

  • Přejděte přímo na adresu URL jednotného přihlašování k účtu AWS a spusťte tok přihlášení odtud.

Iniciovaný protokol IDP:

  • Klikněte na Otestovat tuto aplikaci a měli byste být automaticky přihlášení k přístupu k AWS s jedním účtem, pro který jste nastavili jednotné přihlašování.

K otestování aplikace v libovolném režimu můžete také použít Microsoft Moje aplikace. Když kliknete na dlaždici AWS Single-Account Access v Moje aplikace, pokud je nakonfigurovaný v režimu SP, budete přesměrováni na přihlašovací stránku aplikace pro inicializace toku přihlášení a pokud je nakonfigurovaný v režimu IDP, měli byste být automaticky přihlášení k přístupu k AWS Single-Account Access, pro který jste nastavili jednotné přihlašování. Další informace o Moje aplikace naleznete v tématu Úvod do Moje aplikace.

Známé problémy

  • Integraci zřizování přístupu s jedním účtem AWS nejde použít v oblastech AWS China.

  • V části Zřizování se v pododdílu Mapování zobrazuje text Načítání... a nikdy nezobrazí mapování atributů. Jediným podporovaným pracovním postupem zřizování je import rolí z AWS do MICROSOFT Entra ID pro výběr během přiřazení uživatele nebo skupiny. Mapování atributů pro tento účel jsou předem určená a nejsou konfigurovatelná.

  • Oddíl Zřizování podporuje zadání pouze jedné sady přihlašovacích údajů pro jednoho tenanta AWS najednou. Všechny importované role se zapisují do appRoles vlastnosti objektu MICROSOFT Entra ID servicePrincipal pro tenanta AWS.

    Do ID Microsoft Entra je možné přidat několik tenantů AWS (reprezentovaných servicePrincipals) z galerie pro zřizování. Existuje však známý problém, kdy není možné automaticky zapisovat všechny importované role z několika AWS servicePrincipals , které se používají ke zřízení do jediného servicePrincipal používaného pro jednotné přihlašování.

    Jako alternativní řešení můžete pomocí rozhraní Microsoft Graph API extrahovat všechny appRoles importované do každého AWS servicePrincipal , kde je nakonfigurované zřizování. Tyto řetězce rolí můžete následně přidat do AWS servicePrincipal , kde je nakonfigurované jednotné přihlašování.

  • Aby role měly nárok na import z AWS do Microsoft Entra ID, musí splňovat následující požadavky:

    • Role musí mít přesně jednoho zprostředkovatele saml definovaného v AWS.
    • Celková délka ARN(Amazon Resource Name) pro roli a ARN přidruženého poskytovatele saml-provider musí být menší než 240 znaků.

Změnit protokol

  • 01/12/2020 - Zvýšené omezení délky role z 119 znaků na 239 znaků.

Další kroky

Jakmile nakonfigurujete přístup k jednomu účtu AWS, můžete vynutit řízení relací, které chrání exfiltraci a infiltraci citlivých dat vaší organizace v reálném čase. Řízení relací se rozšiřuje z podmíněného přístupu. Přečtěte si, jak vynutit řízení relací pomocí Programu Microsoft Defender for Cloud Apps.