Tutorial: Integrasi SSO Microsoft Entra dengan AWS IAM Identity Center

Dalam tutorial ini, Anda akan mempelajari cara mengintegrasikan AWS IAM Identity Center (penerus AWS Single Sign-On) dengan ID Microsoft Entra. Saat mengintegrasikan AWS IAM Identity Center dengan MICROSOFT Entra ID, Anda dapat:

• Mengontrol di MICROSOFT Entra ID siapa yang memiliki akses ke AWS IAM Identity Center.
• Memungkinkan pengguna Anda untuk masuk secara otomatis ke AWS IAM Identity Center dengan akun Microsoft Entra mereka.
• Kelola akun Anda di satu lokasi pusat.

Prasyarat

Untuk memulai, Anda membutuhkan item berikut:

• Langganan Microsoft Entra. Jika tidak memiliki langganan, Anda bisa mendapatkan akun gratis.
• Langganan yang diaktifkan AWS IAM Identity Center.

Deskripsi Skenario

Dalam tutorial ini, Anda mengonfigurasi dan menguji Microsoft Entra SSO di lingkungan pengujian.

• AWS IAM Identity Center mendukung SSO yang dimulai SP dan IDP.

• AWS IAM Identity Center mendukung Provisi pengguna otomatis.

Menambahkan AWS IAM Identity Center dari galeri

Untuk mengonfigurasi integrasi AWS IAM Identity Center ke MICROSOFT Entra ID, Anda perlu menambahkan AWS IAM Identity Center dari galeri ke daftar aplikasi SaaS terkelola Anda.

1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Aplikasi Cloud.
2. Telusuri aplikasi Identity>Applications>Enterprise Aplikasi> baru.
3. Di bagian Tambahkan dari galeri, ketik AWS IAM Identity Center di kotak penelusuran.
4. Pilih AWS IAM Identity Center dari panel hasil, lalu tambahkan aplikasi. Tunggu beberapa saat selagi aplikasi ditambahkan ke penyewa Anda.

Atau, Anda juga dapat menggunakan Wizard App Configuration Enterprise. Dalam wizard ini, Anda dapat menambahkan aplikasi ke penyewa Anda, menambahkan pengguna/grup ke aplikasi, menetapkan peran, serta menelusuri konfigurasi SSO juga. Pelajari selengkapnya tentang wizard Microsoft 365.

Mengonfigurasi dan menguji Microsoft Entra SSO untuk AWS IAM Identity Center

Konfigurasikan dan uji SSO Microsoft Entra dengan AWS IAM Identity Center menggunakan pengguna uji bernama B.Simon. Agar SSO berfungsi, Anda perlu membuat hubungan tautan antara pengguna Microsoft Entra dan pengguna terkait di AWS IAM Identity Center.

Untuk mengonfigurasi dan menguji SSO Microsoft Entra dengan AWS IAM Identity Center, lakukan langkah-langkah berikut:

1. Konfigurasikan SSO Microsoft Entra - untuk memungkinkan pengguna Anda menggunakan fitur ini.
   1. Buat pengguna uji Microsoft Entra - untuk menguji akses menyeluruh Microsoft Entra dengan B.Simon.
   2. Tetapkan pengguna uji Microsoft Entra - untuk mengaktifkan B.Simon untuk menggunakan akses menyeluruh Microsoft Entra.
2. Konfigurasikan SSO AWS IAM Identity Center - untuk mengonfigurasi pengaturan akses menyeluruh di sisi aplikasi.
   1. Buat pengguna uji AWS IAM Identity Center - untuk memiliki mitra B.Simon di AWS IAM Identity Center yang ditautkan ke representasi Microsoft Entra pengguna.
3. Uji SSO - untuk memverifikasi apakah konfigurasi berfungsi.

Mengonfigurasi SSO Microsoft Entra

Ikuti langkah-langkah ini untuk mengaktifkan SSO Microsoft Entra.

1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Aplikasi Cloud.

2. Telusuri aplikasi >Identity>Applications>Enterprise akses menyeluruh AWS IAM Identity Center.>

3. Di halaman Pilih metode akses menyeluruh, pilih SAML.

4. Di halaman Menyiapkan akses menyeluruh dengan SAML, klik ikon pensil untuk Konfigurasi SAML Dasar untuk mengedit pengaturan.

   

5. Jika Anda memiliki file metadata Penyedia layanan, di bagian Konfigurasi SAML Dasar, lakukan langkah-langkah berikut:

   a. Klik Unggah file metadata.

   b. Klik logo folder untuk memilih file metadata yang dijelaskan untuk diunduh di bagian Configure AWS IAM Identity Center SSO dan klik Tambahkan.

   

   c. Setelah file metadata berhasil diunggah, nilai Pengidentifikasi dan URL Balasan terisi secara otomatis pada bagian Konfigurasi SAML Dasar.

   Catatan

   Jika Pengidentifikasi dan nilai URL Balasan tidak terisi secara otomatis, maka isikan nilai secara manual sesuai kebutuhan Anda.

   Catatan

   Saat mengubah penyedia identitas di AWS (yaitu dari AD ke penyedia eksternal seperti ID Microsoft Entra) metadata AWS akan berubah dan perlu dimuat ulang ke Azure agar SSO berfungsi dengan benar.

6. Jika Anda tidak memiliki file metadata Penyedia Layanan, lakukan langkah-langkah berikut pada bagian Konfigurasi SAML Dasar, jika Anda ingin mengonfigurasi aplikasi dalam mode yang diinisiasi IDP, lakukan langkah-langkah berikut:

   a. Di kotak teks Pengidentifikasi, ketik URL menggunakan pola berikut: https://<REGION>.signin.aws.amazon.com/platform/saml/<ID>

   b. Dalam kotak teks URL Balasan, ketik URL menggunakan pola berikut: https://<REGION>.signin.aws.amazon.com/platform/saml/acs/<ID>

7. Klik Atur URL tambahan dan lakukan langkah berikut jika Anda ingin mengonfigurasikan aplikasi dalam mode yang diinisiasi SP:

   Di kotak teks URL Masuk, ketik URL menggunakan pola berikut: https://portal.sso.<REGION>.amazonaws.com/saml/assertion/<ID>

   Catatan

   Nilai-nilai ini tidak nyata. Perbarui nilai-nilai ini dengan Pengidentifikasi, URL Balasan, dan URL Masuk yang sebenarnya. Hubungi Tim dukungan Klien AWS IAM Identity Center untuk mendapatkan nilai ini. Anda juga dapat merujuk ke pola yang ditampilkan di bagian Konfigurasi SAML Dasar.

8. Aplikasi AWS IAM Identity Center mengharapkan pernyataan SAML dalam format tertentu, yang mengharuskan Anda untuk menambahkan pemetaan atribut kustom ke konfigurasi atribut token SAML Anda. Cuplikan layar berikut menampilkan daftar atribut default.

   

   Catatan

   Jika ABAC diaktifkan di AWS IAM Identity Center, atribut tambahan dapat diteruskan sebagai tag sesi langsung ke akun AWS.

9. Di halaman Siapkan akses menyeluruh dengan SAML, di bagian Sertifikat Penandatanganan SAML, temukan XML Metadata Federasi dan pilih Unduh untuk mengunduh sertifikat dan menyimpannya di komputer Anda.

   

10. Pada bagian Siapkan AWS IAM Identity Center, salin URL yang sesuai berdasarkan kebutuhan Anda.

    

Membuat pengguna uji Microsoft Entra

Di bagian ini, Anda akan membuat pengguna uji bernama B.Simon.

1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Pengguna.
2. Telusuri ke Pengguna>Identitas>Semua pengguna.
3. Pilih Pengguna>baru Buat pengguna baru, di bagian atas layar.
4. Di properti Pengguna, ikuti langkah-langkah berikut:
   1. Di bidang Nama tampilan, masukkan B.Simon.
   2. Di bidang Nama prinsipal pengguna, masukkan username@companydomain.extension. Contohnya:B.Simon@contoso.com
   3. Pilih kotak centang Tampilkan kata sandi, lalu tulis nilai yang ditampilkan di kotak Kata sandi.
   4. Pilih Tinjau + buat.
5. Pilih Buat.

Menetapkan pengguna uji Microsoft Entra

Di bagian ini, Anda akan mengaktifkan B.Simon untuk menggunakan akses menyeluruh dengan memberikan akses ke AWS IAM Identity Center.

1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Aplikasi Cloud.
2. Telusuri aplikasi >Identity>Applications>Enterprise AWS IAM Identity Center.
3. Di halaman gambaran umum aplikasi, pilih Pengguna dan grup.
4. Pilih Tambahkan pengguna/grup, kemudian pilih Pengguna dan grup dalam dialog Tambahkan Penugasan.
   1. Dalam dialog Pengguna dan grup, pilih B.Simon dari daftar Pengguna, lalu klik tombol Pilih di bagian bawah layar.
   2. Jika Anda ingin suatu peran ditetapkan ke pengguna, Anda dapat memilihnya dari menu tarik-turun Pilih peran. Jika tidak ada peran yang disiapkan untuk aplikasi ini, Anda akan melihat peran "Akses Default" yang dipilih.
   3. Dalam dialog Tambah Penugasan, klik tombol Tetapkan.

Mengonfigurasi SSO AWS IAM Identity Center

1. Di jendela browser web yang berbeda, masuk ke situs perusahaan AWS IAM Identity Center Anda sebagai administrator

2. Buka Layanan -> Keamanan, Identitas, & Kepatuhan -> AWS IAM Identity Center.

3. Di panel navigasi kiri, pilih Pengaturan.

4. Pada halaman Pengaturan, temukan Sumber identitas, klik menu drop-downTindakan, dan pilih Ubah sumber identitas.

   

5. Pada halaman Ubah sumber identitas, pilih Penyedia identitas eksternal.

   

6. Lakukan langkah-langkah di bawah ini di bagian Konfigurasi penyedia identitas eksternal:

   

   a. Di bagian Metadata penyedia layanan, temukan Metadata SAML AWS SSO, pilih Unduh file metadata untuk mengunduh file metadata dan simpan di komputer Anda dan gunakan file metadata ini untuk diunggah di portal Azure.

   b. Salin nilai URL masuk portal akses AWS, tempelkan nilai ini ke dalam kotak teks URL Masuk di bagian Konfigurasi SAML Dasar.

   c. Di bagian Metadata penyedia identitas, pilih Pilih file untuk mengunggah file metadata yang telah Anda unduh.

   d. Pilih Berikutnya: Ulasan.

7. Dalam kotak teks, ketik ACCEPT untuk mengubah sumber identitas.

   

8. Klik Ubah sumber identitas.

Membuat pengguna uji AWS IAM Identity Center

1. Buka Konsol AWS IAM Identity Center.

2. Di panel navigasi kiri, pilih Pengguna.

3. Pada halaman Pengguna, pilih Tambahkan pengguna.

4. Pada halaman Tambahkan pengguna, ikuti langkah-langkah berikut ini:

   a. Pada bidang Nama pengguna, masukkan B.Simon.

   b. Di bidang Alamat email, masukkan username@companydomain.extension. Contohnya, B.Simon@contoso.com.

   c. Di bidang Konfirmasi alamat email, masukkan kembali alamat email dari langkah sebelumnya.

   d. Di bidang Nama depan, masukkan Britta.

   e. Di bidang Nama belakang, masukkan Simon.

   f. Di bidang Nama tampilan, masukkan B.Simon.

   g. Pilih Berikutnya, lalu Berikutnya lagi.

   Catatan

   Pastikan nama pengguna dan alamat email yang dimasukkan di AWS IAM Identity Center cocok dengan nama masuk Microsoft Entra pengguna. Ini akan membantu Anda menghindari masalah autentikasi.

5. Pilih Tambahkan pengguna.

6. Selanjutnya, Anda akan menetapkan pengguna ke akun AWS Anda. Untuk melakukannya, di panel navigasi kiri konsol AWS IAM Identity Center, pilih akun AWS.

7. Pada halaman Akun AWS, pilih tab organisasi AWS, centang kotak di samping akun AWS yang ingin Anda tetapkan kepada pengguna. Lalu pilih Tetapkan pengguna.

8. Pada halaman Tetapkan Pengguna, temukan dan centang kotak di samping pengguna B.Simon. Lalu pilih Berikutnya: Set izin.

9. Di bawah bagian pilih set izin, centang kotak di samping set izin yang ingin Anda tetapkan untuk pengguna B.Simon. Jika Anda tidak memiliki set izin yang sudah ada, pilih Buat set izin baru.

   Catatan

   Set izin menentukan tingkat akses yang harus dilakukan pengguna dan grup ke akun AWS. Untuk mempelajari lebih lanjut tentang kumpulan izin, lihat halaman Izin Multi Akun AWS IAM Identity Center.

10. Pilih Selesai.

Catatan

AWS IAM Identity Center juga mendukung penyediaan pengguna otomatis, Anda dapat menemukan detail selengkapnya di sini tentang cara mengonfigurasi provisi pengguna otomatis.

Menguji akses menyeluruh

Di bagian ini, Anda menguji konfigurasi akses menyeluruh Microsoft Entra dengan opsi berikut.

Diinisiasi SP:

• Klik Uji aplikasi ini, ini akan dialihkan ke URL masuk AWS IAM Identity Center tempat Anda dapat memulai alur masuk.

• Buka URL masuk AWS IAM Identity Center secara langsung dan mulai alur masuk dari sana.

Diinisiasi IDP:

• Klik Uji aplikasi ini, dan Anda akan secara otomatis masuk ke AWS IAM Identity Center tempat Anda menyiapkan SSO.

Anda juga dapat menggunakan Aplikasi Saya Microsoft untuk menguji aplikasi dalam mode apa pun. Saat Anda mengklik petak peta AWS IAM Identity Center di Aplikasi Saya, jika dikonfigurasi dalam mode SP Anda akan diarahkan ke halaman masuk aplikasi untuk memulai alur login dan jika dikonfigurasi dalam mode IDP, Anda harus secara otomatis masuk ke AWS IAM Identity Center tempat Anda menyiapkan SSO. Untuk informasi selengkapnya tentang Aplikasi Saya, lihat Pengantar Aplikasi Saya.

Langkah berikutnya

Setelah Anda mengonfigurasi AWS IAM Identity Center, Anda dapat menerapkan kontrol sesi, yang melindungi eksfiltrasi dan infiltrasi data sensitif organisasi Anda secara real time. Kontrol sesi diperluas dari Akses Bersyarat. Pelajari cara menegakkan kontrol sesi dengan Microsoft Defender untuk Cloud Apps.