Compartilhar via

Configurar o AWS Single-Account Access para logon único com a ID do Microsoft Entra

Neste artigo, você aprenderá a integrar o AWS Single-Account Access à ID do Microsoft Entra. Ao integrar o AWS Single-Account Access à ID do Microsoft Entra, você pode:

  • Controlar na Microsoft Entra ID quem tem acesso ao AWS Single-Account Access.
  • Permitir que os usuários entrem automaticamente no AWS Single-Account Access com as respectivas contas do Microsoft Entra.
  • Gerencie suas contas em um local central.

Use as informações abaixo para escolher entre o uso do aplicativo AWS Single Sign-On ou AWS Single-Account Access na galeria de aplicativos do Microsoft Entra.

Logon único do AWS

O AWS Single Sign-On foi adicionado à galeria de aplicativos do Microsoft Entra em fevereiro de 2021. Ele facilita o gerenciamento central do acesso a várias contas e aplicativos da AWS, com a entrada por meio da ID do Microsoft Entra. Faça a federação do Microsoft Entra ID com o SSO do AWS uma vez e use o SSO do AWS para gerenciar permissões em todas as suas contas AWS a partir de um único local. O SSO do AWS provisiona permissões automaticamente e as mantém atualizadas à medida que você atualiza as políticas e atribuições de acesso. Os usuários finais podem se autenticar com as credenciais do Microsoft Entra para acessar o Console da AWS, a interface de linha de comando e os aplicativos integrados do SSO da AWS.

Acesso Single-Account do AWS

O AWS Single-Account Access tem sido usado pelos clientes nos últimos anos e permite federar a ID do Microsoft Entra para uma única conta do AWS e usar a ID do Microsoft Entra para gerenciar o acesso às funções de IAM do AWS. Os administradores de IAM do AWS definem funções e políticas em cada conta do AWS. Para cada conta da AWS, os administradores do Microsoft Entra usam o IAM da AWS para federação, atribuem usuários ou grupos à conta e configuram a ID do Microsoft Entra para enviar declarações que autorizam o acesso à função.

Recurso Logon Único do AWS Acesso de Conta Única do AWS
Acesso condicional Compatível com uma única política de Acesso Condicional para todas as contas do AWS. Compatível com uma única política de Acesso Condicional para todas as contas ou políticas personalizadas para cada conta
Acesso à CLI Com suporte Com suporte
Gerenciamento de Identidades Privilegiadas Suportado Sem suporte
Centralizar o gerenciamento de conta Centralizar o gerenciamento de conta no AWS. Centralize o gerenciamento de contas no Microsoft Entra ID (provavelmente requer um aplicativo empresarial do Microsoft Entra para cada conta).
Certificado SAML Certificado único Separar certificados por aplicativo/conta

Arquitetura de Acesso de Conta Única do AWS

Captura de tela mostrando o Microsoft Entra ID e a relação com a AWS.

Você pode configurar vários identificadores para várias instâncias. Por exemplo:

  • https://signin.aws.amazon.com/saml#1

  • https://signin.aws.amazon.com/saml#2

Com esses valores, o Microsoft Entra ID remove o valor de # e envia o valor correto https://signin.aws.amazon.com/saml como a URL de público-alvo no token SAML.

É recomendável essa abordagem pelos seguintes motivos:

  • Cada aplicativo fornece a você um certificado X509 exclusivo. Cada instância de uma instância de aplicativo da AWS pode ter uma data de expiração do certificado diferente, que pode ser gerenciada individualmente por conta da AWS. A sobreposição geral do certificado é mais fácil nesse caso.

  • Você pode habilitar o provisionamento de usuário com um aplicativo da AWS no Microsoft Entra ID e, em seguida, nosso serviço busca todas as funções dessa conta da AWS. Você não precisa adicionar ou atualizar manualmente as funções da AWS no aplicativo.

  • Você pode atribuir o proprietário do aplicativo individualmente para o aplicativo. Essa pessoa pode gerenciar o aplicativo diretamente na ID do Microsoft Entra.

Observação

Use apenas o aplicativo da galeria.

Pré-requisitos

Para começar, você precisará dos seguintes itens:

  • Uma assinatura do Microsoft Entra. Se você não tiver uma assinatura, poderá obter uma conta gratuita.
  • Uma assinatura habilitada para IdP do IAM do AWS.
  • O administrador de aplicativos, assim como o administrador de aplicativos de nuvem, também pode adicionar ou gerenciar aplicativos no Microsoft Entra ID. Para obter mais informações, consulte as funções internas do Azure.

Observação

As funções não devem ser editadas manualmente na ID do Microsoft Entra ao fazer importações de função.

Descrição do cenário

Neste artigo, você configurará e testará o SSO do Microsoft Entra em um ambiente de teste.

  • O AWS Single-Account Access dá suporte ao SP e ao SSO iniciado por IDP .

Observação

O identificador desse aplicativo é um valor de cadeia de caracteres fixo; portanto apenas uma instância pode ser configurada em um locatário.

Para configurar a integração do AWS Single-Account Access no Microsoft Entra ID, você precisará adicionar o AWS Single-Account Access da galeria à sua lista de aplicativos SaaS gerenciados.

  1. Entre no Centro de administração do Microsoft Entra como pelo menos um Administrador de Aplicativos na Nuvem.
  2. Navegue até Entrar ID>Aplicativos empresariais>Novo aplicativo.
  3. Na seção Adicionar por meio da galeria , digite AWS Single-Account Access na caixa de pesquisa.
  4. Selecione AWS Single-Account Access no painel de resultados e, em seguida, adicione o aplicativo. Aguarde alguns segundos enquanto o aplicativo é adicionado ao seu locatário.

Como alternativa, você também pode usar o Assistente de Configuração de Aplicativos Empresariais. Neste assistente, você poderá adicionar um aplicativo ao arrendatário, adicionar usuários/grupos ao aplicativo, atribuir papéis e também configurar o SSO. Você pode saber mais sobre os assistentes do Microsoft 365 aqui.

Configurar e testar o SSO do Microsoft Entra para o AWS Single-Account Access

Configure e teste o SSO do Microsoft Entra com o AWS Single-Account Access usando um usuário de teste chamado B.Simon. Para que o SSO funcione, é necessário estabelecer uma relação de vínculo entre um usuário do Microsoft Entra e o usuário relacionado do AWS Single-Account Access.

Para configurar e testar o SSO do Microsoft Entra com o AWS Single-Account Access, execute as seguintes etapas:

  1. Configure o SSO do Microsoft Entra para permitir que os usuários usem esse recurso.
    1. Crie um usuário de teste do Microsoft Entra para testar o logon único do Microsoft Entra com B.Simon.
    2. Atribua o usuário de teste do Microsoft Entra para permitir que B.Simon use o logon único do Microsoft Entra.
  2. Configure o SSO do AWS Single-Account Access para definir as configurações de logon único no lado do aplicativo.
    1. Crie um usuário de teste do AWS Single-Account Access para corresponder a B.Simon no AWS Single-Account Access que esteja vinculado à representação de usuário do Microsoft Entra.
    2. Como configurar o provisionamento de função no AWS Single-Account Access
  3. Testar o SSO – para verificar se a configuração funciona.

Configurar o SSO do Microsoft Entra

Siga estas etapas para habilitar o SSO do Microsoft Entra.

  1. Entre no Centro de administração do Microsoft Entra como pelo menos um Administrador de Aplicativos na Nuvem.

  2. Navegue até o Entra ID>Aplicativos empresariais>AWS Single-Account Access>Autenticação única.

  3. Na página Selecionar um método de logon único , selecione SAML.

  4. Na página Configurar logon único com SAML, selecione o ícone de lápis em Configuração Básica do SAML para editar as configurações.

    Captura de tela mostrando Editar Configuração Básica do SAML.

  5. Na seção Configuração Básica do SAML , atualize o Identificador (ID da Entidade) e a URL de Resposta com o mesmo valor padrão: https://signin.aws.amazon.com/saml. Você deve selecionar Salvar para salvar as alterações de configuração.

  6. O aplicativo do AWS espera as declarações SAML em um formato específico, o que exige que você adicione mapeamentos de atributo personalizados de acordo com a configuração de atributos do token SAML. A captura de tela a seguir mostra a lista de atributos padrão.

    Captura de tela mostrando atributos padrão.

  7. Além do indicado acima, o aplicativo do AWS espera que mais alguns atributos sejam passados novamente na resposta SAML, os quais são mostrados abaixo. Esses atributos também são pré-populados, mas você pode examiná-los de acordo com seus requisitos.

    Nome Atributo de origem Namespace
    RoleSessionName usuário.userprincipalname https://aws.amazon.com/SAML/Attributes
    Função user.assignedroles https://aws.amazon.com/SAML/Attributes
    Duração da Sessão duraçãoDaSessãoDoUsuário https://aws.amazon.com/SAML/Attributes

    Observação

    A AWS espera funções para usuários atribuídos ao aplicativo. Configure essas funções na ID do Microsoft Entra para que os usuários possam ser atribuídos às funções apropriadas. Para entender como configurar funções na ID do Microsoft Entra, confira aqui

  8. Na página Configurar logon único com SAML , na caixa de diálogo Certificado de Autenticação SAML (Etapa 3), selecione Adicionar um certificado.

    Captura de tela mostrando Criar novo Certificado SAML.

  9. Gere um novo certificado de autenticação SAML e selecione Novo Certificado. Insira um endereço de email para notificações de certificado.

    Captura de tela mostrando Novo Certificado SAML.

  10. (Opcional) Você pode selecionar Tornar o certificado ativo.

  11. Na seção Certificado de Assinatura SAML, localize o XML de Metadados de Federação e selecione Baixar para baixar o certificado e salvá-lo em seu computador.

  12. Na seção Configurar o AWS Single-Account Access , copie as URLs apropriadas de acordo com suas necessidades.

    Captura de tela mostrando as URLs de configuração de Cópia.

Criar e atribuir um usuário de teste do Microsoft Entra

Siga as diretrizes no guia de início rápido criar e atribuir uma conta de usuário para criar uma conta de usuário de teste chamada B.Simon.

Configurar o SSO do AWS Single-Account Access

  1. Em uma janela diferente do navegador, entre no site da empresa do AWS como administrador.

  2. Na home page do AWS, pesquise o IAM e selecione-o.

    Captura de tela da página de serviços do AWS, com o IAM realçado.

  3. Vá para Gerenciamento de Acesso>Provedores de Identidade e selecione o botão Adicionar provedor.

    Captura de tela da página IAM, com Provedores de Identidade e Criar Provedor destacado.

  4. Na página Adicionar um provedor de identidade , execute as seguintes etapas:

    Captura de tela da Configuração do Provedor.

    um. Para o tipo provedor, selecione SAML.

    b. Para o nome do provedor, digite um nome de provedor (por exemplo: WAAD).

    c. Para carregar o arquivo de metadados baixado, selecione Escolher arquivo.

    d. Selecione Adicionar provedor.

  5. Selecione funções>Criar função.

    Captura de tela da página Funções.

  6. Na página Criar função , execute as seguintes etapas:

    Captura de tela da página Criar função.

    um. Escolha o tipo de entidade confiável, selecione a federação SAML 2.0.

    b. No provedor baseado em SAML 2.0, selecione o provedor SAML criado anteriormente (por exemplo: WAAD).

    c. Selecione Permitir acesso programático e ao Console de Gerenciamento do AWS.

    d. Selecione Avançar.

  7. Na caixa de diálogo Políticas de Permissões , anexe a política apropriada, de acordo com sua organização. Em seguida, selecione Avançar.

    Captura de tela da caixa de diálogo Anexar política de permissões.

  8. Na caixa de diálogo Examinar , execute as seguintes etapas:

    Captura de tela da caixa de diálogo Revisão.

    um. No nome da função, insira o nome da função.

    b. Em Descrição, insira a descrição da função.

    c. Selecione Criar função.

    d. Crie quantas funções forem necessárias e mapeie-as para o provedor de identidade.

  9. Use as credenciais de conta de serviço da AWS para buscar as funções da conta da AWS no provisionamento de usuário do Microsoft Entra. Para isso, abra a página inicial do console AWS.

  10. Na seção IAM, selecione Políticas e selecione Criar política.

    Captura de tela da seção IAM, com Políticas realçadas.

  11. Crie sua política para buscar todas as funções de contas da AWS.

    Captura de tela da página Criar política, com JSON realçado.

    um. Em Criar política, selecione a guia JSON .

    b. No documento de política, adicione o seguinte JSON:

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
            "iam:ListRoles"
            ],
            "Resource": "*"
        }
    ]
}

    c. Selecione Avançar: Tags.

  12. Você também pode adicionar as marcas necessárias na página abaixo e selecionar Avançar: Revisão.

    Captura de tela da página Criar rótulo de política.

  13. Defina a nova política. Captura de tela da página Criar política, com os campos Nome e Descrição realçados.

    um. Para Nome, insira AzureAD_SSOUserRole_Policy.

    b. Para Descrição, insira esta política permitirá buscar os perfis de contas AWS.

    c. Selecione Criar política.

  14. Crie uma conta de usuário no serviço de IAM do AWS. um. No console do IAM do AWS, selecione Usuários e selecione Adicionar usuários.

    Captura de tela do console do IAM do AWS, com usuários realçados.

    b. Na seção Especificar detalhes do usuário , insira o nome de usuário como AzureADRoleManager e selecione Avançar.

    Captura de tela da página Adicionar usuário, com o nome de usuário e o tipo de acesso realçados.

    c. Crie uma política para este usuário.

    A captura de tela mostra a página Adicionar usuário em que você pode criar uma política para o usuário.

    d. Selecione Anexar políticas existentes diretamente.

    e. Pesquise a política recém-criada na seção de filtro AzureAD_SSOUserRole_Policy.

    f. Selecione a política e selecione Avançar.

  15. Examine suas escolhas e selecione Criar usuário.

    Observação

    Certifique-se de criar e baixar a chave de acesso de terceiros para esse usuário. Essa chave é usada na seção de provisionamento de usuários no Microsoft Entra para buscar as funções do console da AWS.

  16. Para baixar as credenciais de usuário de um usuário, habilite o acesso ao console na guia Credenciais de segurança . Captura de tela mostrando as credenciais de segurança.

  17. Insira essas credenciais na seção de provisionamento de usuário do Microsoft Entra para buscar as funções do console da AWS. A captura de tela mostra o download das credenciais do usuário.

Observação

O AWS tem um conjunto de permissões/limites necessários para configurar o SSO do AWS. Para saber mais sobre os limites do AWS, consulte esta página.

Como configurar o provisionamento de função no AWS Single-Account Access

  1. No portal de gerenciamento do Microsoft Entra, no aplicativo AWS, vá para Provisionamento.

    Captura de tela do aplicativo AWS, com o Provisionamento realçado.

Nota: O nome de usuário e a senha retornados ao habilitar o acesso ao console não são o que é necessário para os valores clientsecret e Secret Token. Em vez disso, crie uma chave de acesso de terceiros para esta etapa.

  1. Insira a chave de acesso e o segredo nos campos clientsecret e Token Secreto , respectivamente.

    Captura de tela da caixa de diálogo Credenciais de Administrador.

    um. Insira a chave de acesso do usuário do AWS no campo clientsecret .

    b. Insira o segredo do usuário do AWS no campo Token Secreto .

    c. Selecione Testar Conexão.

    d. Salve a configuração selecionando Salvar.

  2. Na seção Configurações , para Status de Provisionamento, selecione Ativar. Em seguida, selecione Salvar.

    Captura de tela da seção Configurações, com On realçado.

Observação

O serviço de provisionamento importa funções apenas da AWS para a ID do Microsoft Entra. O serviço não provisiona usuários e grupos da ID do Microsoft Entra para a AWS.

Observação

Depois de salvar as credenciais de provisionamento, você deve aguardar a execução do ciclo de sincronização inicial. A conclusão da sincronização leva cerca de 40 minutos. Você pode ver o status na parte inferior da página Provisionamento , em Status Atual.

Criar usuário de teste do AWS Single-Account Access

O objetivo desta seção é criar um usuário chamado B.Simon no AWS Single-Account Access. O AWS Single-Account Access não precisa que um usuário seja criado em seu sistema para o SSO, portanto você não precisa realizar nenhuma ação aqui.

Testar SSO

Nesta seção, você vai testar a configuração de logon único do Microsoft Entra com as opções a seguir.

Iniciado pelo SP:

  • Selecione Testar este aplicativo, essa opção redireciona para a URL de Logon do AWS Single-Account Access, na qual você pode iniciar o fluxo de logon.

  • Acesse diretamente a URL de Login do AWS Single-Account Access e inicie o procedimento de login a partir daí.

Iniciado pelo IdP:

  • Selecione Testar este aplicativo e você deverá ser conectado automaticamente ao AWS Single-Account Access para o qual configurou o SSO.

Use também os Meus Aplicativos da Microsoft para testar o aplicativo em qualquer modo. Ao selecionar o bloco do AWS Single-Account Access em Meus Aplicativos, se ele estiver configurado no modo SP, você será redirecionado para a página de logon do aplicativo para iniciar o fluxo de logon e, se ele estiver configurado no modo IDP, você será conectado automaticamente ao AWS Single-Account Access, para o qual configurou o SSO. Para obter mais informações sobre meus aplicativos, consulte Introdução aos Meus Aplicativos.

Problemas conhecidos

  • A integração de provisionamento do Acesso de conta única do AWS não pode ser usada nas regiões da AWS China.

  • Na seção Provisionamento, a subseção Mapeamentos exibe a mensagem "Carregando..." e nunca mostra os mapeamentos de atributos. O único fluxo de trabalho de provisionamento com suporte hoje é a importação de funções da AWS para o Microsoft Entra ID para seleção durante a atribuição de um usuário ou um grupo. Os mapeamentos de atributo para isso são predeterminados e não são configuráveis.

  • A seção Provisionamento dá suporte apenas à inserção de um conjunto de credenciais para um locatário do AWS por vez. Todas as funções importadas são gravadas na appRoles propriedade do objeto ID servicePrincipal do Microsoft Entra para o locatário do AWS.

    Múltiplos locatários da AWS (representados por servicePrincipals) podem ser adicionados ao Microsoft Entra ID a partir da galeria para provisionamento. Há um problema conhecido, no entanto, sem ser possível gravar automaticamente todas as funções importadas de vários servicePrincipals do AWS usados para provisionamento em um único servicePrincipal usado para SSO.

    Como solução alternativa, você pode usar a API do Microsoft Graph para extrair todos os appRoles importados para cada AWS servicePrincipal em que o provisionamento está configurado. Posteriormente, você pode adicionar essas cadeias de funções ao servicePrincipal do AWS em que o SSO está configurado.

  • As funções precisarão atender aos seguintes requisitos para serem qualificadas para importação da AWS para a ID do Microsoft Entra:

    • As funções devem ter exatamente um provedor SAML definido no AWS
    • O comprimento combinado do ARN (Nome do Recurso da Amazon) para a função e o ARN para o provedor SAML associado devem ter menos de 240 caracteres.

Log de alterações

  • 12/01/2020 – aumentado o limite de extensão da função de 119 caracteres para 239 caracteres.

Conteúdo relacionado

Depois de configurar o AWS Single-Account Access, você poderá impor o controle de sessão, que fornece proteção contra exfiltração e infiltração dos dados confidenciais da sua organização em tempo real. O Controle de Sessão é uma extensão do acesso condicional. Saiba como impor o controle de sessão com o Microsoft Defender para Aplicativos de Nuvem.