Partilhar via

Tutorial: Integração do Microsoft Entra SSO com o AWS Single-Account Access

  • Artigo

Neste tutorial, você aprenderá como integrar o AWS Single-Account Access ao Microsoft Entra ID. Ao integrar o AWS Single-Account Access ao Microsoft Entra ID, você pode:

  • Controle no Microsoft Entra ID quem tem acesso ao AWS Single-Account Access.
  • Permita que seus usuários façam login automaticamente no AWS Single-Account Access com suas contas do Microsoft Entra.
  • Gerencie suas contas em um local central.

Use as informações abaixo para tomar uma decisão entre usar os aplicativos AWS Single Sign-On e AWS Single-Account Access na galeria de aplicativos do Microsoft Entra.

Logon único da AWS

O AWS Single Sign-On foi adicionado à galeria de aplicativos do Microsoft Entra em fevereiro de 2021. Ele facilita o gerenciamento centralizado do acesso a várias contas e aplicativos da AWS, com login por meio do Microsoft Entra ID. Federar o ID do Microsoft Entra com o AWS SSO uma vez e usar o AWS SSO para gerenciar permissões em todas as suas contas da AWS de um só lugar. O AWS SSO provisiona permissões automaticamente e as mantém atualizadas à medida que você atualiza políticas e atribuições de acesso. Os usuários finais podem se autenticar com suas credenciais do Microsoft Entra para acessar o Console AWS, a interface de linha de comando e os aplicativos integrados ao AWS SSO.

Acesso de conta única da AWS

O AWS Single-Account Access tem sido usado por clientes nos últimos anos e permite federar o ID do Microsoft Entra em uma única conta da AWS e usar o ID do Microsoft Entra para gerenciar o acesso às funções do AWS IAM. Os administradores do AWS IAM definem funções e políticas em cada conta da AWS. Para cada conta da AWS, os administradores do Microsoft Entra federam-se ao AWS IAM, atribuem usuários ou grupos à conta e configuram o ID do Microsoft Entra para enviar asserções que autorizam o acesso à função.

Caraterística Logon único da AWS Acesso de conta única da AWS
Acesso Condicional Oferece suporte a uma única política de acesso condicional para todas as contas da AWS. Suporta uma única política de Acesso Condicional para todas as contas ou políticas personalizadas por conta
Acesso à CLI Suportado Suportado
Privileged Identity Management Suportado Não suportado
Centralize o gerenciamento de contas Centralize o gerenciamento de contas na AWS. Centralize o gerenciamento de contas no Microsoft Entra ID (provavelmente exigirá um aplicativo empresarial Microsoft Entra por conta).
Certificado SAML Certificado único Certificados separados por aplicativo/conta

Arquitetura de acesso de conta única da AWS

Screenshot showing Microsoft Entra ID and AWS relationship.

Você pode configurar vários identificadores para várias instâncias. Por exemplo:

  • https://signin.aws.amazon.com/saml#1

  • https://signin.aws.amazon.com/saml#2

Com esses valores, o Microsoft Entra ID remove o valor de , e envia o valor https://signin.aws.amazon.com/saml correto como a URL de #audiência no token SAML.

Recomendamos essa abordagem pelos seguintes motivos:

  • Cada aplicativo fornece um certificado X509 exclusivo. Cada instância de uma instância de aplicativo da AWS pode ter uma data de expiração de certificado diferente, que pode ser gerenciada com base em uma conta individual da AWS. A substituição geral do certificado é mais fácil neste caso.

  • Você pode habilitar o provisionamento de usuários com um aplicativo da AWS no Microsoft Entra ID e, em seguida, nosso serviço busca todas as funções dessa conta da AWS. Não é necessário adicionar ou atualizar manualmente as funções da AWS no aplicativo.

  • Você pode atribuir o proprietário do aplicativo individualmente para o aplicativo. Essa pessoa pode gerenciar o aplicativo diretamente no Microsoft Entra ID.

Nota

Certifique-se de usar apenas um aplicativo de galeria.

Pré-requisitos

Para começar, você precisa dos seguintes itens:

  • Uma assinatura do Microsoft Entra. Se não tiver uma subscrição, pode obter uma conta gratuita.
  • Uma assinatura habilitada para AWS IAM IdP.
  • Junto com o Cloud Application Administrator, o Application Administrator também pode adicionar ou gerenciar aplicativos no Microsoft Entra ID. Para obter mais informações, veja Funções incorporadas do Azure.

Nota

As funções não devem ser editadas manualmente no Microsoft Entra ID ao fazer importações de funções.

Descrição do cenário

Neste tutorial, você configura e testa o Microsoft Entra SSO em um ambiente de teste.

  • O AWS Single-Account Access é compatível com SSO iniciado por SP e IDP .

Nota

O identificador deste aplicativo é um valor de cadeia de caracteres fixo para que apenas uma instância possa ser configurada em um locatário.

Para configurar a integração do AWS Single-Account Access ao Microsoft Entra ID, você precisa adicionar o AWS Single-Account Access da galeria à sua lista de aplicativos SaaS gerenciados.

  1. Entre no centro de administração do Microsoft Entra como pelo menos um administrador de aplicativos na nuvem.
  2. Navegue até Identity>Applications>Enterprise applications>Novo aplicativo.
  3. Na seção Adicionar da galeria, digite AWS Single-Account Access na caixa de pesquisa.
  4. Selecione AWS Single-Account Access no painel de resultados e adicione o aplicativo. Aguarde alguns segundos enquanto o aplicativo é adicionado ao seu locatário.

Como alternativa, você também pode usar o Assistente de Configuração de Aplicativo Empresarial. Neste assistente, você pode adicionar um aplicativo ao seu locatário, adicionar usuários/grupos ao aplicativo, atribuir funções, bem como percorrer a configuração do SSO. Saiba mais sobre os assistentes do Microsoft 365.

Como alternativa, você também pode usar o Assistente de Configuração de Aplicativo Empresarial. Neste assistente, você pode adicionar um aplicativo ao seu locatário, adicionar usuários/grupos ao aplicativo, atribuir funções, bem como percorrer a configuração do SSO. Você pode saber mais sobre os assistentes do O365 aqui.

Configurar e testar o Microsoft Entra SSO para acesso a conta única da AWS

Configure e teste o Microsoft Entra SSO com o AWS Single-Account Access usando um usuário de teste chamado B.Simon. Para que o SSO funcione, você precisa estabelecer uma relação de vínculo entre um usuário do Microsoft Entra e o usuário relacionado no AWS Single-Account Access.

Para configurar e testar o Microsoft Entra SSO com o AWS Single-Account Access, execute as seguintes etapas:

  1. Configure o Microsoft Entra SSO - para permitir que seus usuários usem esse recurso.
    1. Crie um usuário de teste do Microsoft Entra - para testar o logon único do Microsoft Entra com B.Simon.
    2. Atribua o usuário de teste do Microsoft Entra - para permitir que B.Simon use o logon único do Microsoft Entra.
  2. Configure o AWS Single-Account Access SSO - para configurar as configurações de logon único no lado do aplicativo.
    1. Crie um usuário de teste do AWS Single-Account Access - para ter um equivalente de B.Simon no AWS Single-Account Access vinculado à representação do usuário do Microsoft Entra.
    2. Como configurar o provisionamento de funções no AWS Single-Account Access
  3. Teste SSO - para verificar se a configuração funciona.

Configurar o Microsoft Entra SSO

Siga estas etapas para habilitar o Microsoft Entra SSO.

  1. Entre no centro de administração do Microsoft Entra como pelo menos um administrador de aplicativos na nuvem.

  2. Navegue até Identity>Applications>Enterprise applications>AWS Single-Account Access>Single sign-on.

  3. Na página Selecione um método de logon único, selecione SAML.

  4. Na página Configurar logon único com SAML, clique no ícone de lápis para Configuração Básica de SAML para editar as configurações.

    Screenshot showing Edit Basic SAML Configuration.

  5. Na seção Configuração Básica do SAML, atualize o Identificador (ID da Entidade) e a URL de Resposta com o mesmo valor padrão: https://signin.aws.amazon.com/saml. Você deve selecionar Salvar para salvar as alterações de configuração.

  6. Quando você estiver configurando mais de uma instância, forneça um valor de identificador. A partir da segunda instância, use o seguinte formato, incluindo um # sinal para especificar um valor de SPN exclusivo.

    https://signin.aws.amazon.com/saml#2

  7. O aplicativo da AWS espera as asserções SAML em um formato específico, o que exige que você adicione mapeamentos de atributos personalizados à sua configuração de atributos de token SAML. A captura de tela a seguir mostra a lista de atributos padrão.

    Screenshot showing default attributes.

  8. Além disso, o aplicativo da AWS espera que mais alguns atributos sejam passados de volta na resposta SAML, que são mostrados abaixo. Esses atributos também são pré-preenchidos, mas você pode revisá-los de acordo com suas necessidades.

    Nome Atributo Source Espaço de Nomes
    RoleSessionName user.userprincipalname https://aws.amazon.com/SAML/Attributes
    Role user.assignedroles https://aws.amazon.com/SAML/Attributes
    Duração da Sessão user.sessionduration https://aws.amazon.com/SAML/Attributes

    Nota

    A AWS espera funções para usuários atribuídos ao aplicativo. Configure essas funções no Microsoft Entra ID para que os usuários possam receber as funções apropriadas. Para entender como configurar funções no Microsoft Entra ID, consulte aqui

  9. Na página Configurar logon único com SAML, na caixa de diálogo Certificado de Assinatura SAML (Etapa 3), selecione Adicionar um certificado.

    Screenshot showing Create new SAML Certificate.

  10. Gere um novo certificado de assinatura SAML e selecione Novo Certificado. Insira um endereço de e-mail para notificações de certificado.

    Screenshot showing New SAML Certificate.

  11. Na seção Certificado de Assinatura SAML , localize XML de Metadados de Federação e selecione Download para baixar o certificado e salvá-lo em seu computador.

    Screenshot showing the Certificate download link.

  12. Na seção Configurar o acesso a uma única conta da AWS, copie o(s) URL(s) apropriado(s) com base em sua necessidade.

    Screenshot showing Copy configuration URLs.

Criar um usuário de teste do Microsoft Entra

Nesta seção, você criará um usuário de teste chamado B.Simon.

  1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Usuário.
  2. Aceder a Identidade>Utilizadores>Todos os Utilizadores.
  3. Selecione Novo usuário>Criar novo usuário, na parte superior da tela.
  4. Nas propriedades do usuário , siga estas etapas:
    1. No campo Nome para exibição , digite B.Simon.
    2. No campo Nome principal do usuário, digite o username@companydomain.extensionarquivo . Por exemplo, B.Simon@contoso.com.
    3. Marque a caixa de seleção Mostrar senha e anote o valor exibido na caixa Senha .
    4. Selecione Rever + criar.
  5. Selecione Criar.

Atribuir o usuário de teste do Microsoft Entra

Nesta seção, você permitirá que o B.Simon use o logon único concedendo acesso ao AWS Single-Account Access.

  1. Entre no centro de administração do Microsoft Entra como pelo menos um administrador de aplicativos na nuvem.
  2. Navegue até Identity>Applications>Enterprise applications>AWS Single-Account Access.
  3. Na página de visão geral do aplicativo, selecione Usuários e grupos.
  4. Selecione Adicionar usuário/grupo e, em seguida, selecione Usuários e grupos na caixa de diálogo Adicionar atribuição .
    1. Na caixa de diálogo Usuários e grupos, selecione B.Simon na lista Usuários e clique no botão Selecionar na parte inferior da tela.
    2. Se você estiver esperando que uma função seja atribuída aos usuários, poderá selecioná-la na lista suspensa Selecionar uma função . Se nenhuma função tiver sido configurada para este aplicativo, você verá a função "Acesso padrão" selecionada.
    3. Na caixa de diálogo Adicionar atribuição, clique no botão Atribuir.

Configurar o SSO de acesso de conta única da AWS

  1. Em uma janela diferente do navegador, faça logon no site da empresa da AWS como administrador.

  2. Na página inicial da AWS, pesquise por IAM e clique nele.

    Screenshot of AWS services page, with IAM highlighted.

  3. Vá para Gerenciamento de acesso ->Provedores de identidade e clique no botão Adicionar provedor.

    Screenshot of IAM page, with Identity Providers and Create Provider highlighted.

  4. Na página Adicionar um provedor de identidade, execute as seguintes etapas:

    Screenshot of Configure Provider.

    a. Em Tipo de provedor, selecione SAML.

    b. Em Nome do provedor, digite um nome de provedor (por exemplo: WAAD).

    c. Para carregar o arquivo de metadados baixado, selecione Escolher arquivo.

    d. Clique em Adicionar provedor.

  5. Selecione Funções>Criar função.

    Screenshot of Roles page.

  6. Na página Criar função, execute as seguintes etapas:

    Screenshot of Create role page.

    a. Escolha Tipo de entidade confiável, selecione Federação SAML 2.0.

    b. Em Provedor baseado em SAML 2.0, selecione o provedor SAML criado anteriormente (por exemplo: WAAD).

    c. Selecione Permitir acesso programático e ao Console de Gerenciamento da AWS.

    d. Selecione Seguinte.

  7. Na caixa de diálogo Políticas de permissões , anexe a política apropriada, de acordo com sua organização. Em seguida, selecione Seguinte.

    Screenshot of Attach permissions policy dialog box.

  8. Na caixa de diálogo Revisão, execute as seguintes etapas:

    Screenshot of Review dialog box.

    a. Em Nome da função, insira o nome da função.

    b. Em Descrição, insira a descrição da função.

    c. Selecione Criar função.

    d. Crie quantas funções forem necessárias e mapeie-as para o provedor de identidade.

  9. Use as credenciais da conta de serviço da AWS para buscar as funções da conta da AWS no provisionamento de usuários do Microsoft Entra. Para isso, abra a página inicial do console da AWS.

  10. Na seção IAM, selecione Políticas e clique em Criar política.

    Screenshot of IAM section, with Policies highlighted.

  11. Crie sua própria política para buscar todas as funções das contas da AWS.

    Screenshot of Create policy page, with JSON highlighted.

    a. Em Criar política, selecione a guia JSON .

    b. No documento de política, adicione o seguinte JSON:

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
            "iam:ListRoles"
            ],
            "Resource": "*"
        }
    ]
}

    c. Clique em Avançar : Tags.

  12. Você também pode adicionar as tags necessárias na página abaixo e clicar em Avançar: Revisão.

    Screenshot of Create policy tag page.

  13. Defina a nova política.

    Screenshot of Create policy page, with Name and Description fields highlighted.

    a. Em Nome, digite AzureAD_SSOUserRole_Policy.

    b. Em Descrição, insira Esta política permitirá buscar as funções das contas da AWS.

    c. Selecione Criar política.

  14. Crie uma nova conta de usuário no serviço do AWS IAM.

    a. No console do AWS IAM, selecione Usuários e clique em Adicionar usuários.

    Screenshot of AWS IAM console, with Users highlighted.

    b. Na seção Especificar detalhes do usuário, insira o nome de usuário como AzureADRoleManager e selecione Avançar.

    Screenshot of Add user page, with User name and Access type highlighted.

    c. Crie uma nova política para este usuário.

    Screenshot shows the Add user page where you can create a policy for the user.

    d. Selecione Anexar políticas existentes diretamente.

    e. Procure a política recém-criada na seção de filtro AzureAD_SSOUserRole_Policy.

    f. Selecione a política e, em seguida, selecione Avançar.

  15. Reveja as suas escolhas e selecione Criar utilizador.

  16. Para baixar as credenciais de usuário de um usuário, habilite o acesso ao console na guia Credenciais de segurança.

    Screenshot shows the Security credentials.

  17. Insira essas credenciais na seção de provisionamento de usuários do Microsoft Entra para buscar as funções no console da AWS.

    Screenshot shows the download the user credentials.

Nota

A AWS tem um conjunto de permissões/limts necessárias para configurar o AWS SSO. Para saber mais informações sobre os limites da AWS, consulte esta página.

Como configurar o provisionamento de funções no AWS Single-Account Access

  1. No portal de gerenciamento do Microsoft Entra, no aplicativo da AWS, vá para Provisionamento.

    Screenshot of AWS app, with Provisioning highlighted.

  2. Insira a chave de acesso e o segredo nos campos clientsecret e Secret Token , respectivamente.

    Screenshot of Admin Credentials dialog box.

    a. Insira a chave de acesso do usuário da AWS no campo clientsecret .

    b. Insira o segredo do usuário da AWS no campo Token secreto.

    c. Selecione Testar Ligação.

    d. Salve a configuração selecionando Salvar.

  3. Na seção Configurações, para Status de provisionamento, selecione Ativado. Em seguida, selecione Guardar.

    Screenshot of Settings section, with On highlighted.

Nota

O serviço de provisionamento importa funções somente da AWS para o Microsoft Entra ID. O serviço não provisiona usuários e grupos do Microsoft Entra ID para a AWS.

Nota

Depois de salvar as credenciais de provisionamento, você deve aguardar a execução do ciclo de sincronização inicial. A sincronização geralmente leva cerca de 40 minutos para ser concluída. Você pode ver o status na parte inferior da página Provisionamento , em Status atual.

Criar usuário de teste do AWS Single-Account Access

O objetivo desta seção é criar um usuário chamado B.Simon no AWS Single-Account Access. O AWS Single-Account Access não precisa que um usuário seja criado em seu sistema para SSO, portanto, você não precisa executar nenhuma ação aqui.

SSO de teste

Nesta seção, você testa sua configuração de logon único do Microsoft Entra com as seguintes opções.

SP iniciado:

  • Clique em Testar este aplicativo, isso redirecionará para o URL de login do AWS Single-Account Access, onde você poderá iniciar o fluxo de login.

  • Acesse diretamente o URL de login do AWS Single-Account Access e inicie o fluxo de login a partir daí.

IDP iniciado:

  • Clique em Testar este aplicativo e você deve estar automaticamente conectado ao AWS Single-Account Access para o qual configurou o SSO.

Você também pode usar o Microsoft My Apps para testar o aplicativo em qualquer modo. Ao clicar no bloco AWS Single-Account Access em My Apps, se configurado no modo SP, você será redirecionado para a página de login do aplicativo para iniciar o fluxo de login e, se configurado no modo IDP, deverá fazer login automaticamente no AWS Single-Account Access para o qual configurou o SSO. Para obter mais informações sobre os Meus Aplicativos, consulte Introdução aos Meus Aplicativos.

Problemas conhecidos

  • A integração de provisionamento do AWS Single-Account Access não pode ser usada nas regiões da AWS na China.

  • Na seção Provisionamento, a subseção Mapeamentos mostra um "Carregando..." e nunca exibe os mapeamentos de atributos. O único fluxo de trabalho de provisionamento suportado atualmente é a importação de funções da AWS para o Microsoft Entra ID para seleção durante uma atribuição de usuário ou grupo. Os mapeamentos de atributos para isso são predeterminados e não são configuráveis.

  • A seção Provisionamento oferece suporte apenas à inserção de um conjunto de credenciais para um locatário da AWS de cada vez. Todas as funções importadas são gravadas na appRoles propriedade do objeto ID servicePrincipal do Microsoft Entra para o locatário da AWS.

    Vários locatários da AWS (representados por servicePrincipals) podem ser adicionados ao ID do Microsoft Entra na galeria para provisionamento. No entanto, há um problema conhecido por não ser possível gravar automaticamente todas as funções importadas das várias AWS servicePrincipals usadas para provisionamento no único servicePrincipal usado para SSO.

    Como solução alternativa, você pode usar a API do Microsoft Graph para extrair todos os importados para cada AWS servicePrincipal onde o appRoles provisionamento está configurado. Posteriormente, você pode adicionar essas cadeias de caracteres de função à AWS servicePrincipal onde o SSO está configurado.

  • As funções devem atender aos seguintes requisitos para serem qualificadas para serem importadas da AWS para o Microsoft Entra ID:

    • As funções devem ter exatamente um provedor saml definido na AWS
    • O comprimento combinado do ARN (Amazon Resource Name) para a função e do ARN para o provedor saml associado deve ter menos de 240 caracteres.

Registo de alterações

  • 01/12/2020 - Aumento do limite de comprimento de função de 119 caracteres para 239 caracteres.

Próximos passos

Depois de configurar o AWS Single-Account Access, você pode aplicar o Session Control, que protege a exfiltração e a infiltração dos dados confidenciais da sua organização em tempo real. O Controle de Sessão se estende do Acesso Condicional. Saiba como impor o controlo de sessão com o Microsoft Defender for Cloud Apps.