Tutorial: Integração do SSO do Microsoft Entra ao AWS Single-Account Access

  • Artigo

Neste tutorial, você aprenderá a integrar o AWS Single-Account Access à ID do Microsoft Entra. Ao integrar o AWS Single-Account Access à ID do Microsoft Entra, você pode:

  • Controlar quem tem acesso ao AWS Single-Account Access na ID do Microsoft Entra.
  • Permitir que os usuários entrem automaticamente no AWS Single-Account Access com as respectivas contas do Microsoft Entra.
  • Gerencie suas contas em um local central.

Use as informações abaixo para escolher entre o uso do aplicativo AWS Single Sign-On ou AWS Single-Account Access na galeria de aplicativos do Microsoft Entra.

Logon Único do AWS

O AWS Single Sign-On foi adicionado à galeria de aplicativos do Microsoft Entra em fevereiro de 2021. Ele facilita o gerenciamento central do acesso a várias contas e aplicativos da AWS, com a entrada por meio da ID do Microsoft Entra. Use o SSO da AWS para federar a ID do Microsoft Entra uma vez e para gerenciar permissões em todas as suas contas da AWS em um só lugar. O SSO do AWS provisiona permissões automaticamente e as mantém atualizadas à medida que você atualiza as políticas e atribuições de acesso. Os usuários finais podem se autenticar com as credenciais do Microsoft Entra para acessar o Console da AWS, a interface de linha de comando e os aplicativos integrados do SSO da AWS.

Acesso de Conta Única do AWS

O AWS Single-Account Access tem sido usado pelos clientes nos últimos anos e permite que você use a ID do Microsoft Entra para federação com uma conta individual da AWS e use a ID do Microsoft Entra para gerenciar o acesso às funções de IAM da AWS. Os administradores de IAM do AWS definem funções e políticas em cada conta do AWS. Para cada conta da AWS, os administradores do Microsoft Entra usam o IAM da AWS para federação, atribuem usuários ou grupos à conta e configuram a ID do Microsoft Entra para enviar declarações que autorizam o acesso à função.

Recurso Logon Único do AWS Acesso de Conta Única do AWS
Acesso condicional Compatível com uma única política de Acesso Condicional para todas as contas do AWS. Compatível com uma única política de Acesso Condicional para todas as contas ou políticas personalizadas por conta
Acesso à CLI Com suporte Com suporte
Privileged Identity Management Com suporte Sem suporte
Centralizar o gerenciamento de conta Centralizar o gerenciamento de conta no AWS. Centralize o gerenciamento de contas na ID do Microsoft Entra (provavelmente, isso exigirá um aplicativo empresarial do Microsoft Entra por conta).
Certificado SAML Certificado único Separar certificados por aplicativo/conta

Arquitetura de Acesso de Conta Única do AWS

Screenshot showing Microsoft Entra ID and AWS relationship.

Você pode configurar vários identificadores para várias instâncias. Por exemplo:

  • https://signin.aws.amazon.com/saml#1

  • https://signin.aws.amazon.com/saml#2

Com esses valores, a ID do Microsoft Entra remove o valor de # e envia o valor correto https://signin.aws.amazon.com/saml como a URL de público-alvo no token SAML.

É recomendável essa abordagem pelos seguintes motivos:

  • Cada aplicativo fornece a você um certificado X509 exclusivo. Cada instância de uma instância de aplicativo da AWS pode ter uma data de expiração do certificado diferente, que pode ser gerenciada individualmente por conta da AWS. A rolagem geral do certificado é mais fácil nesse caso.

  • Você pode habilitar o provisionamento de usuário com um aplicativo da AWS na ID do Microsoft Entra e, em seguida, nosso serviço busca todas as funções dessa conta da AWS. Você não precisa adicionar ou atualizar manualmente as funções da AWS no aplicativo.

  • Você pode atribuir o proprietário do aplicativo individualmente para o aplicativo. Essa pessoa pode gerenciar o aplicativo diretamente na ID do Microsoft Entra.

Observação

Use apenas o aplicativo da galeria.

Pré-requisitos

Para começar, você precisará dos seguintes itens:

  • Uma assinatura do Microsoft Entra. Caso você não tenha uma assinatura, obtenha uma conta gratuita.
  • Uma assinatura habilitada para IdP de IAM do AWS.
  • O administrador de aplicativos, assim como o administrador de aplicativos de nuvem, também pode adicionar ou gerenciar aplicativos no Microsoft Entra ID. Para obter mais informações, veja Funções internas do Azure.

Observação

As funções não devem ser editadas manualmente no Microsoft Entra ID ao fazer importações de funções.

Descrição do cenário

Neste tutorial, você vai configurar e testar o SSO do Microsoft Entra em um ambiente de teste.

  • O AWS Single-Account Access é compatível com SSO iniciado por SP e IDP.

Observação

O identificador desse aplicativo é um valor de cadeia de caracteres fixo; portanto apenas uma instância pode ser configurada em um locatário.

Para configurar a integração do AWS Single-Account Access à ID do Microsoft Entra, você precisará adicioná-lo à lista de aplicativos SaaS gerenciados por meio da galeria.

  1. Entre no Centro de administração do Microsoft Entra como pelo menos Administrador de Aplicativo de nuvem.
  2. Navegue até Identidade>Aplicativos>Aplicativos empresariais>Novo aplicativo.
  3. Na seção Adicionar por meio da galeria, digite AWS Single-Account Access na caixa de pesquisa.
  4. Selecione AWS Single-Account Access no painel de resultados e adicione o aplicativo. Aguarde alguns segundos enquanto o aplicativo é adicionado ao seu locatário.

Opcionalmente, você também pode usar o Assistente de Configuração de Aplicativos do Enterprise. Neste assistente, você pode adicionar um aplicativo ao seu locatário, adicionar usuários/grupos ao aplicativo, atribuir funções, bem como percorrer a configuração de SSO. Saiba mais sobre os assistentes do Microsoft 365.

Opcionalmente, você também pode usar o Assistente de Configuração de Aplicativos do Enterprise. Neste assistente, você pode adicionar um aplicativo ao seu locatário, adicionar usuários/grupos ao aplicativo, atribuir funções, bem como percorrer a configuração de SSO. Você pode saber mais sobre assistentes do O365 aqui.

Configurar e testar o SSO do Microsoft Entra para o AWS Single-Account Access

Configure e teste o SSO do Microsoft Entra com o AWS Single-Account Access por meio de um usuário de teste chamado B.Fernandes. Para que o SSO funcione, é necessário estabelecer uma relação de vínculo entre um usuário do Microsoft Entra e o usuário relacionado do AWS Single-Account Access.

Para configurar e testar o SSO do Microsoft Entra com o AWS Single-Account Access, execute as seguintes etapas:

  1. Configurar o SSO do Microsoft Entra: para permitir que os usuários usem esse recurso.
    1. Crie um usuário de teste do Microsoft Entra para testar o logon único do Microsoft Entra com B.Silva.
    2. Atribuir o usuário de teste do Microsoft Entra – para permitir que B.Fernandes use o logon único do Microsoft Entra.
  2. Configurar o SSO do AWS Single-Account Access : para definir as configurações de logon único no lado do aplicativo.
    1. Criar um usuário de teste do AWS Single-Account Access – Para ter um equivalente de B.Fernandes no AWS Single-Account Access que esteja vinculado à representação de usuário do Microsoft Entra.
    2. Como configurar o provisionamento de função no AWS Single-Account Access
  3. Testar o SSO – para verificar se a configuração funciona.

Configurar o SSO do Microsoft Entra

Siga estas etapas para habilitar o SSO do Microsoft Entra.

  1. Entre no Centro de administração do Microsoft Entra como pelo menos Administrador de Aplicativo de nuvem.

  2. Navegue até Identidade>Aplicativos>Aplicativos empresariais>Acesso de conta única do AWS>Logon único.

  3. Na página Selecionar um método de logon único, escolha SAML.

  4. Na página Configurar o logon único com o SAML, clique no ícone de caneta da Configuração Básica do SAML para editar as configurações.

    Screenshot showing Edit Basic SAML Configuration.

  5. Na seção Configuração básica do SAML, atualize Identificador (ID da Entidade) e URL de Resposta com o mesmo valor padrão: https://signin.aws.amazon.com/saml. Você precisa selecionar Salvar para salvar as alterações na configuração.

  6. Quando você estiver configurando mais de uma instância, forneça um valor de identificador. Da segunda instância em diante, use o seguinte formato, incluindo um sinal # para especificar um valor SPN exclusivo.

    https://signin.aws.amazon.com/saml#2

  7. O aplicativo do AWS espera as declarações SAML em um formato específico, o que exige que você adicione mapeamentos de atributo personalizados de acordo com a configuração de atributos do token SAML. A captura de tela a seguir mostra a lista de atributos padrão.

    Screenshot showing default attributes.

  8. Além do indicado acima, o aplicativo do AWS espera que mais alguns atributos sejam passados novamente na resposta SAML, os quais são mostrados abaixo. Esses atributos também são pré-populados, mas você pode examiná-los de acordo com seus requisitos.

    Nome Atributo de origem Namespace
    RoleSessionName user.userprincipalname https://aws.amazon.com/SAML/Attributes
    Função user.assignedroles https://aws.amazon.com/SAML/Attributes
    SessionDuration user.sessionduration https://aws.amazon.com/SAML/Attributes

    Observação

    A AWS espera funções para usuários atribuídos ao aplicativo. Configure essas funções na ID do Microsoft Entra para que os usuários possam ser atribuídos às funções apropriadas. Para entender como configurar funções na ID do Microsoft Entra, acesse aqui

  9. Na página Configurar o logon único com o SAML, na caixa de diálogo Certificado de Autenticação do SAML (Etapa 3), selecione Adicionar um certificado.

    Screenshot showing Create new SAML Certificate.

  10. Gere um novo certificado de autenticação SAML e, em seguida, selecione Novo Certificado. Insira um endereço de email para notificações de certificado.

    Screenshot showing New SAML Certificate.

  11. Na seção Certificado de Autenticação SAML, localize o XML de Metadados de Federação e selecione Baixar para baixar o certificado e salvá-lo no computador.

    Screenshot showing the Certificate download link.

  12. Na seção Configurar o AWS Single-Account Access, copie as URLs apropriadas de acordo com suas necessidades.

    Screenshot showing Copy configuration URLs.

Criar um usuário de teste do Microsoft Entra

Nesta seção, você criará um usuário de teste chamado B.Fernandes.

  1. Entre no centro de administração do Microsoft Entra como, no mínimo, Administrador de Usuários.
  2. Navegue até Identidade>Usuários>Todos os usuários.
  3. Na parte superior da tela, selecione Novo usuário>Criar novo usuário.
  4. Nas propriedades do Usuário, siga estas etapas:
    1. No campo Nome de exibição, insira B.Simon.
    2. No campo Nome principal do usuário, insira o username@companydomain.extension. Por exemplo, B.Simon@contoso.com.
    3. Marque a caixa de seleção Mostrar senha e, em seguida, anote o valor exibido na caixa Senha.
    4. Selecione Examinar + criar.
  5. Selecione Criar.

Atribuir o usuário de teste do Microsoft Entra

Nesta seção, você habilitará B.Simon a usar o logon único concedendo-lhe acesso ao Acesso de conta única do AWS.

  1. Entre no Centro de administração do Microsoft Entra como pelo menos Administrador de Aplicativo de nuvem.
  2. Navegue até Identidade>Aplicativos>Aplicativos empresariais>Acesso de conta única do AWS.
  3. Na página de visão geral do aplicativo, selecione Usuários e grupos.
  4. Selecione Adicionar usuário/grupo e, em seguida, Usuários e grupos na caixa de diálogo Adicionar atribuição.
    1. Na caixa de diálogo Usuários e grupos, selecione B.Fernandes na lista Usuários e clique no botão Selecionar na parte inferior da tela.
    2. Se você estiver esperando que uma função seja atribuída aos usuários, escolha-a na lista suspensa Selecionar uma função. Se nenhuma função tiver sido configurada para esse aplicativo, você verá a função "Acesso Padrão" selecionada.
    3. Na caixa de diálogo Adicionar atribuição, clique no botão Atribuir.

Configurar o SSO do AWS Single-Account Access

  1. Em uma janela diferente do navegador, entre no site da empresa do AWS como administrador.

  2. Na home page do AWS, pesquis pore IAM e clique nele.

    Screenshot of AWS services page, with IAM highlighted.

  3. Acesse Gerenciamento de acesso ->Provedores de Identidade e clique no botão Adicionar provedor.

    Screenshot of IAM page, with Identity Providers and Create Provider highlighted.

  4. Na página Adicionar Provedor de Identidade, execute as seguintes etapas:

    Screenshot of Configure Provider.

    a. Em Tipo de provedor, selecione SAML.

    b. Em Nome do Provedor, digite um nome para o provedor (por exemplo: WAAD).

    c. Para carregar seu arquivo de metadados baixado, clique em Escolher arquivo.

    d. Clique em Adicionar provedor (Adicionar Provedor).

  5. Selecione Funções>Criar função.

    Screenshot of Roles page.

  6. Na página Criar função, realize as seguintes etapas:

    Screenshot of Create role page.

    a. Escolha Tipo de entidade confiável, selecione Federação SAML 2.0.

    b. Em Provedor baseado em SAML 2.0, selecione o Provedor SAML criado anteriormente (por exemplo: WAAD).

    c. Selecione Permitir acesso do Console de Gerenciamento do AWS e programação.

    d. Selecione Avançar.

  7. Na caixa de diálogo Políticas de permissão, anexe a política adequada conforme sua organização. Em seguida, selecione Avançar.

    Screenshot of Attach permissions policy dialog box.

  8. Na caixa de diálogo Examinar, execute as seguintes etapas:

    Screenshot of Review dialog box.

    a. Em Nome da função, insira o nome da função.

    b. Em Descrição da função, insira a descrição da função.

    c. Selecione Criar função.

    d. Crie quantas funções forem necessárias e mapeie-as para o provedor de identidade.

  9. Use as credenciais de conta de serviço da AWS para buscar as funções da conta da AWS no provisionamento de usuário do Microsoft Entra. Para isso, abra a página inicial do console AWS.

  10. Na seção IAM, selecione Políticas e clique em Criar política.

    Screenshot of IAM section, with Policies highlighted.

  11. Crie sua própria política para buscar todas as funções de contas AWS.

    Screenshot of Create policy page, with JSON highlighted.

    a. Na Criar a política, selecione a guia JSON.

    b. No documento de política, adicione o seguinte JSON:

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
            "iam:ListRoles"
            ],
            "Resource": "*"
        }
    ]
}

    c. Clique em Avançar: Marcas.

  12. Você também pode adicionar as marcas necessárias na página abaixo e clicar em Avançar: Examinar.

    Screenshot of Create policy tag page.

  13. Defina a nova política.

    Screenshot of Create policy page, with Name and Description fields highlighted.

    a. Para Nome, insira AzureAD_SSOUserRole_Policy.

    b. Para Descrição, insira Esta política permitirá buscar as funções de contas do AWS.

    c. Selecione Criar política.

  14. Crie uma conta de usuário no serviço de IAM do AWS.

    a. No console IAM do AWS, selecione Usuários e clique em Adicionar usuários.

    Screenshot of AWS IAM console, with Users highlighted.

    b. Na seção Especificar detalhes do usuário, insira o nome de usuário como AzureADRoleManager e selecione Avançar.

    Screenshot of Add user page, with User name and Access type highlighted.

    c. Crie uma política para este usuário.

    Screenshot shows the Add user page where you can create a policy for the user.

    d. Selecione Anexar políticas existentes diretamente.

    e. Pesquise a política recém-criada na seção filtro AzureAD_SSOUserRole_Policy.

    f. Selecione a política e, em seguida, Próximo.

  15. Revise suas escolhas e, em seguida, selecione Criar usuário.

  16. Para baixar as credenciais de usuário de um usuário, habilite o acesso ao console na guia Credenciais de segurança .

    Screenshot shows the Security credentials.

  17. Insira essas credenciais na seção de provisionamento de usuário do Microsoft Entra para buscar as funções do console da AWS.

    Screenshot shows the download the user credentials.

Observação

A AWS tem um conjunto de permissões/limts necessários para configurar o SSO do AWS. Para saber mais sobre os limites da AWS, consulte esta página.

Como configurar o provisionamento de função no AWS Single-Account Access

  1. No portal de gerenciamento do Microsoft Entra, no aplicativo AWS, acesse Provisionamento.

    Screenshot of AWS app, with Provisioning highlighted.

  2. Insira a chave de acesso e o segredo nos campos clientsecret e Token do Segredo, respectivamente.

    Screenshot of Admin Credentials dialog box.

    a. Insira a chave de acesso do usuário do AWS no campo Segredo do cliente.

    b. Insira o segredo do usuário do AWS no campo Segredo do Token.

    c. Selecione Testar Conexão.

    d. Salve a configuração selecionando Salvar.

  3. Na seção Configurações, para Status de Provisionamento, selecione Ativado. Em seguida, selecione Salvar.

    Screenshot of Settings section, with On highlighted.

Observação

O serviço de provisionamento importa funções apenas da AWS para a ID do Microsoft Entra. O serviço não provisiona usuários nem grupos da ID do Microsoft Entra para a AWS.

Observação

Depois de salvar as credenciais de provisionamento, você deve aguardar a execução do ciclo de sincronização inicial. A conclusão da sincronização leva cerca de 40 minutos. Você pode ver o status na parte inferior da página Provisionamento, em Status Atual.

Criar usuário de teste do AWS Single-Account Access

O objetivo desta seção é criar uma usuária chamada B.Fernandes no AWS Single-Account Access. O AWS Single-Account Access não precisa que um usuário seja criado em seu sistema para o SSO, portanto você não precisa realizar nenhuma ação aqui.

Testar o SSO

Nesta seção, você vai testar a configuração de logon único do Microsoft Entra com as opções a seguir.

Iniciado por SP:

  • Clique em Testar este aplicativo. Isso redirecionará para a URL de Logon do Acesso de conta única do AWS, onde você poderá iniciar o fluxo de logon.

  • Acesse a URL de Logon do AWS Single-Account Access diretamente e inicie o fluxo de logon nela.

Iniciado por IdP:

  • Clique em Testar este aplicativo e você será conectado automaticamente ao Acesso de conta única do AWS, para o qual configurou o SSO.

Use também os Meus Aplicativos da Microsoft para testar o aplicativo em qualquer modo. Quando você clicar no bloco do AWS Single-Account Access em Meus Aplicativos, se ele estiver configurado no modo SP, você será redirecionado à página de logon do aplicativo para iniciar o fluxo de logon e, se ele estiver configurado no modo IdP, você será conectado automaticamente ao AWS Single-Account Access, para o qual configurou o SSO. Para obter mais informações sobre os Meus Aplicativos, confira Introdução aos Meus Aplicativos.

Problemas conhecidos

  • A integração de provisionamento do Acesso de Conta Única do AWS não pode ser usada nas regiões da AWS China.

  • Na seção Provisionamento, a subseção Mapeamentos mostra uma mensagem "Carregando..." e nunca exibe os mapeamentos de atributo. O único fluxo de trabalho de provisionamento com suporte hoje é a importação de funções da AWS para a ID do Microsoft Entra para seleção durante a atribuição de um usuário ou um grupo. Os mapeamentos de atributo para isso são predeterminados e não são configuráveis.

  • A seção Provisionamento só dá suporte a um conjunto de credenciais para um locatário do AWS por vez. Todas as funções importadas são gravadas na propriedade appRoles do objeto servicePrincipal da ID do Microsoft Entra no locatário da AWS.

    Vários locatários da AWS (representados por servicePrincipals) podem ser adicionados à ID do Microsoft Entra por meio da galeria para provisionamento. Há um problema conhecido, no entanto, sem ser possível gravar automaticamente todas as funções importadas de vários servicePrincipals do AWS usados para provisionamento em um único servicePrincipal usado para SSO.

    Como alternativa, você pode usar a API do Microsoft Graph para extrair todo o appRoles importado em cada servicePrincipal do AWS em que o provisionamento é configurado. Posteriormente, você pode adicionar essas cadeias de caracteres de função ao servicePrincipal do AWS em que o SSO está configurado.

  • As funções precisarão atender aos seguintes requisitos para serem qualificadas para importação da AWS para a ID do Microsoft Entra:

    • As funções devem ter exatamente um provedor SAML definido no AWS
    • O comprimento combinado do ARN (Nome do Recurso da Amazon) para a função e o ARN para o provedor SAML associado devem ter menos de 240 caracteres.

Log de alterações

  • 12/01/2020 – aumentado o limite de extensão da função de 119 caracteres para 239 caracteres.

Próximas etapas

Depois de configurar o AWS Single-Account Access, você poderá impor o controle de sessão, que fornece proteção contra exfiltração e infiltração dos dados confidenciais da sua organização em tempo real. O Controle de Sessão é estendido do acesso condicional. Saiba como impor o controle de sessão com o Microsoft Defender for Cloud Apps.