Bagikan melalui

Tutorial: Integrasi SSO Microsoft Entra dengan AWS IAM Identity Center

  • Artikel

Dalam tutorial ini, Anda akan mempelajari cara mengintegrasikan AWS IAM Identity Center (penerus AWS Single Sign-On) dengan ID Microsoft Entra. Saat mengintegrasikan AWS IAM Identity Center dengan MICROSOFT Entra ID, Anda dapat:

  • Mengontrol di MICROSOFT Entra ID siapa yang memiliki akses ke AWS IAM Identity Center.
  • Memungkinkan pengguna Anda untuk masuk secara otomatis ke AWS IAM Identity Center dengan akun Microsoft Entra mereka.
  • Kelola akun Anda di satu lokasi pusat.

Catatan: Saat menggunakan AWS Organizations, penting untuk mendelegasikan akun lain sebagai akun Administrasi Pusat Identitas, mengaktifkan IAM Identity Center di dalamnya, dan menyiapkan SSO Id Entra dengan akun tersebut, bukan akun manajemen root. Ini memastikan pengaturan yang lebih aman dan dapat dikelola.

Prasyarat

Untuk memulai, Anda membutuhkan item berikut:

  • Langganan Microsoft Entra. Jika tidak memiliki langganan, Anda bisa mendapatkan akun gratis.
  • Penyiapan AWS Organizations dengan akun lain yang didelegasikan sebagai akun Administrasi Pusat Identitas.
  • AWS IAM Identity Center diaktifkan pada akun Administrasi Pusat Identitas yang didelegasikan.

Deskripsi Skenario

Dalam tutorial ini, Anda mengonfigurasi dan menguji Microsoft Entra SSO di lingkungan pengujian.

Catatan: Pastikan Anda mendelegasikan akun lain sebagai akun Administrasi Pusat Identitas dan mengaktifkan IAM Identity Center di atasnya sebelum melanjutkan langkah-langkah berikut.

  • AWS IAM Identity Center mendukung SSO yang dimulai SP dan IDP.

  • AWS IAM Identity Center mendukung Provisi pengguna otomatis.

Untuk mengonfigurasi integrasi AWS IAM Identity Center ke MICROSOFT Entra ID, Anda perlu menambahkan AWS IAM Identity Center dari galeri ke daftar aplikasi SaaS terkelola Anda.

  1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Aplikasi Cloud.
  2. Telusuri aplikasi Identity>Applications>Enterprise Aplikasi> baru.
  3. Di bagian Tambahkan dari galeri, ketik AWS IAM Identity Center di kotak penelusuran.
  4. Pilih AWS IAM Identity Center dari panel hasil, lalu tambahkan aplikasi. Tunggu beberapa saat selagi aplikasi ditambahkan ke penyewa Anda.

Atau, Anda juga dapat menggunakan Wizard App Configuration Enterprise. Dalam wizard ini, Anda dapat menambahkan aplikasi ke penyewa Anda, menambahkan pengguna/grup ke aplikasi, menetapkan peran, dan menelusuri konfigurasi SSO juga. Pelajari selengkapnya tentang wizard Microsoft 365.

Mengonfigurasi dan menguji Microsoft Entra SSO untuk AWS IAM Identity Center

Konfigurasikan dan uji SSO Microsoft Entra dengan AWS IAM Identity Center menggunakan pengguna uji bernama B.Simon. Agar SSO berfungsi, Anda perlu membuat hubungan tautan antara pengguna Microsoft Entra dan pengguna terkait di AWS IAM Identity Center.

Untuk mengonfigurasi dan menguji SSO Microsoft Entra dengan AWS IAM Identity Center, lakukan langkah-langkah berikut:

  1. Konfigurasikan SSO Microsoft Entra - untuk memungkinkan pengguna Anda menggunakan fitur ini.
    1. Buat pengguna uji Microsoft Entra - untuk menguji akses menyeluruh Microsoft Entra dengan B.Simon.
    2. Tetapkan pengguna uji Microsoft Entra - untuk mengaktifkan B.Simon untuk menggunakan akses menyeluruh Microsoft Entra.
  2. Konfigurasikan SSO AWS IAM Identity Center - untuk mengonfigurasi pengaturan akses menyeluruh di sisi aplikasi.
    1. Buat pengguna uji AWS IAM Identity Center - untuk memiliki mitra B.Simon di AWS IAM Identity Center yang ditautkan ke representasi Microsoft Entra pengguna.
  3. Uji SSO - untuk memverifikasi apakah konfigurasi berfungsi.

Mengonfigurasi SSO Microsoft Entra

Ikuti langkah-langkah ini untuk mengaktifkan SSO Microsoft Entra.

  1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Aplikasi Cloud.

  2. Telusuri aplikasi >Identity>Applications>Enterprise akses menyeluruh AWS IAM Identity Center.>

  3. Di halaman Pilih metode akses menyeluruh, pilih SAML.

  4. Di halaman Menyiapkan akses menyeluruh dengan SAML, klik ikon pensil untuk Konfigurasi SAML Dasar untuk mengedit pengaturan.

    Mengedit Konfigurasi SAML Dasar

  5. Jika Anda memiliki file metadata Penyedia layanan, di bagian Konfigurasi SAML Dasar, lakukan langkah-langkah berikut:

    a. Klik Unggah file metadata.

    b. Klik logo folder untuk memilih file metadata yang dijelaskan untuk diunduh di bagian Konfigurasikan SSO AWS IAM Identity Center dan klik Tambahkan.

    gambar2

    c. Setelah file metadata berhasil diunggah, nilai Pengidentifikasi dan URL Balasan terisi secara otomatis pada bagian Konfigurasi SAML Dasar.

    Catatan

    Jika Pengidentifikasi dan nilai URL Balasan tidak terisi secara otomatis, maka isikan nilai secara manual sesuai kebutuhan Anda.

    Catatan

    Saat mengubah penyedia identitas di AWS (yaitu, dari AD ke penyedia eksternal seperti ID Microsoft Entra) metadata AWS akan berubah dan perlu dimuat ulang ke Azure agar SSO berfungsi dengan benar.

  6. Jika Anda tidak memiliki file metadata Penyedia Layanan, lakukan langkah-langkah berikut pada bagian Konfigurasi SAML Dasar, jika Anda ingin mengonfigurasi aplikasi dalam mode yang diinisiasi IDP, lakukan langkah-langkah berikut:

    a. Di kotak teks Pengidentifikasi, ketik URL menggunakan pola berikut: https://<REGION>.signin.aws.amazon.com/platform/saml/<ID>

    b. Dalam kotak teks URL Balasan, ketik URL menggunakan pola berikut: https://<REGION>.signin.aws.amazon.com/platform/saml/acs/<ID>

  7. Klik Atur URL tambahan dan lakukan langkah berikut jika Anda ingin mengonfigurasikan aplikasi dalam mode yang diinisiasi SP:

    Di kotak teks URL Masuk, ketik URL menggunakan pola berikut: https://portal.sso.<REGION>.amazonaws.com/saml/assertion/<ID>

    Catatan

    Nilai-nilai ini tidak nyata. Perbarui nilai-nilai ini dengan Pengidentifikasi, URL Balasan, dan URL Masuk yang sebenarnya. Hubungi Tim dukungan Klien AWS IAM Identity Center untuk mendapatkan nilai ini. Anda juga dapat merujuk ke pola yang ditampilkan di bagian Konfigurasi SAML Dasar.

  8. Aplikasi AWS IAM Identity Center mengharapkan pernyataan SAML dalam format tertentu, yang mengharuskan Anda untuk menambahkan pemetaan atribut kustom ke konfigurasi atribut token SAML Anda. Cuplikan layar berikut menampilkan daftar atribut default.

    gambar

    Catatan

    Jika ABAC diaktifkan di AWS IAM Identity Center, atribut tambahan dapat diteruskan sebagai tag sesi langsung ke akun AWS.

  9. Di halaman Siapkan akses menyeluruh dengan SAML, di bagian Sertifikat Penandatanganan SAML, temukan XML Metadata Federasi dan pilih Unduh untuk mengunduh sertifikat dan menyimpannya di komputer Anda.

    Cuplikan layar memperlihatkan tautan Unduhan sertifikat.

  10. Pada bagian Siapkan AWS IAM Identity Center, salin URL yang sesuai berdasarkan kebutuhan Anda.

    Cuplikan layar memperlihatkan untuk menyalin URL yang sesuai konfigurasi.

Membuat pengguna uji Microsoft Entra

Di bagian ini, Anda akan membuat pengguna uji bernama B.Simon.

  1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Pengguna.
  2. Telusuri ke Pengguna>Identitas>Semua pengguna.
  3. Pilih Pengguna>baru Buat pengguna baru, di bagian atas layar.
  4. Di properti Pengguna, ikuti langkah-langkah berikut:
    1. Di bidang Nama tampilan, masukkan B.Simon.
    2. Di bidang Nama prinsipal pengguna, masukkan username@companydomain.extension. Contohnya,B.Simon@contoso.com.
    3. Pilih kotak centang Perlihatkan sandi, kemudian ketik nilai yang ditampilkan dalam kotak Sandi.
    4. Pilih Tinjau + buat.
  5. Pilih Buat.

Menetapkan pengguna uji Microsoft Entra

Di bagian ini, Anda akan mengaktifkan B.Simon untuk menggunakan akses menyeluruh dengan memberikan akses ke AWS IAM Identity Center.

  1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Aplikasi Cloud.
  2. Telusuri aplikasi >Identity>Applications>Enterprise AWS IAM Identity Center.
  3. Di halaman gambaran umum aplikasi, pilih Pengguna dan grup.
  4. Pilih Tambahkan pengguna/grup, kemudian pilih Pengguna dan grup dalam dialog Tambahkan Penugasan.
    1. Dalam dialog Pengguna dan grup, pilih B.Simon dari daftar Pengguna, lalu klik tombol Pilih di bagian bawah layar.
    2. Jika Anda ingin suatu peran ditetapkan ke pengguna, Anda dapat memilihnya dari menu tarik-turun Pilih peran. Jika tidak ada peran yang disiapkan untuk aplikasi ini, Anda akan melihat peran "Akses Default" dipilih.
    3. Dalam dialog Tambah Penugasan, klik tombol Tetapkan.

Mengonfigurasi SSO AWS IAM Identity Center

  1. Di jendela browser web yang berbeda, masuk ke situs perusahaan AWS IAM Identity Center Anda sebagai administrator

  2. Buka Layanan -> Keamanan, Identitas, & Kepatuhan -> AWS IAM Identity Center.

  3. Di panel navigasi kiri, pilih Pengaturan.

  4. Pada halaman Pengaturan, temukan Sumber identitas, klik menu drop-downTindakan, dan pilih Ubah sumber identitas.

    Cuplikan layar untuk layanan perubahan sumber identitas.

  5. Pada halaman Ubah sumber identitas, pilih Penyedia identitas eksternal.

    Cuplikan layar untuk memilih bagian penyedia identitas eksternal.

  6. Lakukan langkah-langkah di bawah ini di bagian Konfigurasi penyedia identitas eksternal:

    Cuplikan layar untuk bagian unduh dan unggah metadata.

    a. Di bagian Metadata penyedia layanan, temukan Metadata SAML AWS SSO, pilih Unduh file metadata untuk mengunduh file metadata dan simpan di komputer Anda dan gunakan file metadata ini untuk diunggah di portal Azure.

    b. Salin nilai URL masuk portal akses AWS, tempelkan nilai ini ke dalam kotak teks URL Masuk di bagian Konfigurasi SAML Dasar.

    c. Di bagian Metadata penyedia identitas, pilih Pilih file untuk mengunggah file metadata yang Anda unduh.

    d. Pilih Berikutnya: Ulasan.

  7. Dalam kotak teks, ketik ACCEPT untuk mengubah sumber identitas.

    Cuplikan layar untuk Mengonfirmasi konfigurasi.

  8. Klik Ubah sumber identitas.

Membuat pengguna uji AWS IAM Identity Center

  1. Buka Konsol AWS IAM Identity Center.

  2. Di panel navigasi kiri, pilih Pengguna.

  3. Pada halaman Pengguna, pilih Tambahkan pengguna.

  4. Pada halaman Tambahkan pengguna, ikuti langkah-langkah berikut ini:

    a. Pada bidang Nama pengguna, masukkan B.Simon.

    b. Di bidang Alamat email, masukkan username@companydomain.extension. Contohnya,B.Simon@contoso.com.

    c. Di bidang Alamat email yang dikonfirmasi, masukkan kembali alamat email dari langkah sebelumnya.

    d. Di bidang Nama depan, masukkan Britta.

    e. Di bidang Nama belakang, masukkan Simon.

    f. Di bidang Nama tampilan, masukkan B.Simon.

    g. Pilih Berikutnya, lalu Berikutnya lagi.

    Catatan

    Pastikan nama pengguna dan alamat email yang dimasukkan di AWS IAM Identity Center cocok dengan nama masuk Microsoft Entra pengguna. Ini akan membantu Anda menghindari masalah autentikasi.

  5. Pilih Tambahkan pengguna.

  6. Selanjutnya, Anda akan menetapkan pengguna ke akun AWS Anda. Untuk melakukannya, di panel navigasi kiri konsol AWS IAM Identity Center, pilih akun AWS.

  7. Pada halaman Akun AWS, pilih tab organisasi AWS, centang kotak di samping akun AWS yang ingin Anda tetapkan kepada pengguna. Lalu pilih Tetapkan pengguna.

  8. Pada halaman Tetapkan Pengguna, temukan, dan centang kotak di samping pengguna B.Simon. Lalu pilih Berikutnya: Set izin.

  9. Di bawah bagian pilih set izin, centang kotak di samping set izin yang ingin Anda tetapkan untuk pengguna B.Simon. Jika Anda tidak memiliki set izin yang sudah ada, pilih Buat set izin baru.

    Catatan

    Set izin menentukan tingkat akses yang harus dilakukan pengguna dan grup ke akun AWS. Untuk mempelajari lebih lanjut tentang kumpulan izin, lihat halaman Izin Multi Akun AWS IAM Identity Center.

  10. Pilih Selesai.

Catatan

AWS IAM Identity Center juga mendukung penyediaan pengguna otomatis, Anda dapat menemukan detail selengkapnya di sini tentang cara mengonfigurasi provisi pengguna otomatis.

Menguji akses menyeluruh

Di bagian ini, Anda menguji konfigurasi akses menyeluruh Microsoft Entra dengan opsi berikut.

Diinisiasi SP:

  • Klik Uji aplikasi ini, ini akan dialihkan ke URL masuk AWS IAM Identity Center tempat Anda dapat memulai alur masuk.

  • Buka URL masuk AWS IAM Identity Center secara langsung dan mulai alur masuk dari sana.

Diinisiasi IDP:

  • Klik Uji aplikasi ini, dan Anda akan secara otomatis masuk ke AWS IAM Identity Center tempat Anda menyiapkan SSO.

Anda juga dapat menggunakan Aplikasi Saya Microsoft untuk menguji aplikasi dalam mode apa pun. Saat Anda mengklik petak peta AWS IAM Identity Center di Aplikasi Saya, jika dikonfigurasi dalam mode SP Anda akan diarahkan ke halaman masuk aplikasi untuk memulai alur login dan jika dikonfigurasi dalam mode IDP, Anda harus secara otomatis masuk ke AWS IAM Identity Center tempat Anda menyiapkan SSO. Untuk informasi selengkapnya tentang Aplikasi Saya, lihat Pengantar Aplikasi Saya.

Langkah berikutnya

Setelah Anda mengonfigurasi AWS IAM Identity Center, Anda dapat menerapkan kontrol sesi, yang melindungi eksfiltrasi dan infiltrasi data sensitif organisasi Anda secara real time. Kontrol sesi diperluas dari Akses Bersyarat. Pelajari cara menegakkan kontrol sesi dengan Microsoft Defender untuk Cloud Apps.