Share via

Руководство по интеграции единого входа Microsoft Entra с доступом к одной учетной записи AWS

  • Статья

В этом руководстве вы узнаете, как интегрировать ДОСТУП с одной учетной записью AWS с идентификатором Microsoft Entra. Интеграция доступа AWS с одним учетной записью с идентификатором Microsoft Entra позволяет:

  • Управляйте идентификатором Microsoft Entra, имеющим доступ к доступу к AWS с одной учетной записью.
  • Автоматический вход пользователей в AWS с помощью учетных записей Microsoft Entra.
  • Управление учетными записями в одном центральном расположении.

Используйте приведенные ниже сведения, чтобы принять решение об использовании приложений единого входа AWS и AWS Single-Account Access в коллекции приложений Microsoft Entra.

AWS Single Sign-On

Единый вход AWS был добавлен в коллекцию приложений Microsoft Entra в феврале 2021 года. Это упрощает централизованное управление доступом к нескольким учетным записям AWS и приложениям AWS с помощью идентификатора Microsoft Entra. Федеративный идентификатор Microsoft Entra с единым входом AWS и используйте единый вход AWS для управления разрешениями во всех учетных записях AWS из одного места. AWS SSO автоматически подготавливает разрешения и сохраняет их в актуальном виде при обновлении политик и назначений доступа. Конечные пользователи могут проходить проверку подлинности с помощью учетных данных Microsoft Entra для доступа к интегрированным приложениям КОНСОЛИ AWS, интерфейса командной строки и единого входа AWS.

AWS Single-Account Access

Доступ к одной учетной записи AWS использовался клиентами за последние несколько лет и позволяет федеративный идентификатор Microsoft Entra с одной учетной записью AWS и использовать идентификатор Microsoft Entra для управления доступом к ролям AWS IAM. Администраторы AWS IAM определяют роли и политики в каждой учетной записи AWS. Для каждой учетной записи AWS администраторы Microsoft Entra федеративны с AWS IAM, назначают пользователей или группы учетной записи и настраивают идентификатор Microsoft Entra для отправки утверждений, которые разрешают доступ к роли.

Функция AWS Single Sign-On AWS Single-Account Access
Условный доступ Поддерживает одну политику условного доступа для всех учетных записей AWS. Поддерживает одну политику условного доступа для всех учетных записей или пользовательских политик для каждой учетной записи.
Доступ к CLI Поддерживается Поддерживается
Управление привилегированными пользователями Поддерживается Не поддерживается
Централизованное управление учетными записями Централизованное управление учетными записями в AWS. Централизованное управление учетными записями в идентификаторе Microsoft Entra (скорее всего, потребуется корпоративное приложение Microsoft Entra для каждой учетной записи).
Сертификат SAML Единый сертификат Отдельные сертификаты для каждого приложения или учетной записи

Архитектура AWS Single-Account Access

Screenshot showing Microsoft Entra ID and AWS relationship.

Вы можете настроить идентификаторы для нескольких экземпляров. Например:

  • https://signin.aws.amazon.com/saml#1

  • https://signin.aws.amazon.com/saml#2

С этими значениями идентификатор Microsoft Entra удаляет значение #и отправляет правильное значение https://signin.aws.amazon.com/saml в качестве URL-адреса аудитории в токене SAML.

Мы рекомендуем именно этот подход по следующим причинам:

  • Каждое приложение предоставляет уникальный сертификат X509. Это значит, что у всех экземпляров приложения AWS разный срок действия сертификата, и ими можно управлять отдельно для каждой учетной записи AWS. Это упрощает смену сертификатов.

  • Вы можете включить подготовку пользователей с помощью приложения AWS в идентификаторе Microsoft Entra, а затем наша служба извлекает все роли из этой учетной записи AWS. Не нужно вручную добавлять или обновлять роли AWS для приложения.

  • Вы можете назначить владельца приложения для каждого приложения. Этот пользователь может управлять приложением непосредственно в идентификаторе Microsoft Entra.

Примечание.

Убедитесь, что используется только приложение из коллекции.

Необходимые компоненты

Чтобы приступить к работе, потребуется следующее.

  • Подписка Microsoft Entra. Если у вас нет подписки, вы можете получить бесплатную учетную запись.
  • В AWS IAM IdP включена подписка.
  • Наряду с облачным приложением Администратор istrator приложение Администратор istrator также может добавлять или управлять приложениями в идентификаторе Microsoft Entra. Дополнительные сведения см. в статье Встроенные роли Azure.

Примечание.

Роли не должны изменяться вручную в идентификаторе Microsoft Entra при импорте ролей.

Описание сценария

В этом руководстве описана настройка и проверка единого входа Microsoft Entra в тестовой среде.

  • AWS Single-Account Access поддерживает единый вход, инициированный поставщиком услуг и поставщиком удостоверений.

Примечание.

Идентификатор этого приложения — фиксированное строковое значение, поэтому в одном клиенте можно настроить только один экземпляр.

Чтобы настроить интеграцию AWS Single-Account Access с идентификатором Microsoft Entra ID, необходимо добавить AWS Single-Account Access из коллекции в список управляемых приложений SaaS.

  1. Войдите в Центр администрирования Microsoft Entra как минимум облачные приложения Администратор istrator.
  2. Перейдите к приложениям>Identity>Applications>Enterprise. Новое приложение.
  3. В разделе Добавление из коллекции в поле поиска введите AWS Single-Account Access.
  4. Выберите AWS Single-Account Access на панели результатов и добавьте это приложение. Подождите несколько секунд, пока приложение не будет добавлено в ваш клиент.

Кроме того, можно также использовать мастер конфигурации корпоративных приложений. В этом мастере можно добавить приложение в клиент, добавить пользователей и группы в приложение, назначить роли, а также просмотреть конфигурацию единого входа. Подробнее о мастерах Microsoft 365.

Кроме того, можно также использовать мастер конфигурации корпоративных приложений. В этом мастере можно добавить приложение в клиент, добавить пользователей и группы в приложение, назначить роли, а также просмотреть конфигурацию единого входа. Более подробную информацию о мастерах O365 можно найти здесь.

Настройка и проверка единого входа Microsoft Entra для AWS с одной учетной записью

Настройте и проверьте единый вход Microsoft Entra в AWS Single-Account Access с помощью тестового пользователя B.Simon. Для обеспечения работы единого входа необходимо установить связь между пользователем Microsoft Entra и соответствующим пользователем в AWS Single-Account Access.

Чтобы настроить и проверить единый вход Microsoft Entra в AWS Single-Account Access, выполните следующие действия.

  1. Настройте единый вход Microsoft Entra, чтобы пользователи могли использовать эту функцию.
    1. Создайте тестового пользователя Microsoft Entra для тестирования единого входа Microsoft Entra с помощью B.Simon.
    2. Назначьте тестового пользователя Microsoft Entra, чтобы разрешить B.Simon использовать единый вход Microsoft Entra.
  2. Настройка единого входа в AWS Single-Account Access необходима, чтобы настроить параметры единого входа на стороне приложения.
    1. Создайте тестового пользователя AWS Single-Account Access, чтобы в AWS single-account Access был создан пользователь B.Simon, связанный с представлением пользователя Microsoft Entra.
    2. Настройка подготовки роли в AWS Single-Account Access
  3. Проверка единого входа позволяет убедиться в правильности конфигурации.

Настройка единого входа Microsoft Entra

Выполните следующие действия, чтобы включить единый вход Microsoft Entra.

  1. Войдите в Центр администрирования Microsoft Entra как минимум облачные приложения Администратор istrator.

  2. Перейдите к приложениям>Identity>Applications>Enterprise AWS с единым>входом.

  3. На странице Выбрать метод единого входа выберите SAML.

  4. На странице Настройка единого входа с помощью SAML щелкните значок карандаша, чтобы открыть диалоговое окно Базовая конфигурация SAML для изменения параметров.

    Screenshot showing Edit Basic SAML Configuration.

  5. В разделе Базовая конфигурация SAML укажите для параметров Идентификатор (идентификатор сущности) и URL-адрес ответа одно значение по умолчанию: https://signin.aws.amazon.com/saml. Чтобы сохранить изменения в конфигурации, нажмите Сохранить.

  6. Если вы настраиваете более одного экземпляра, укажите значение идентификатора. Для второго и последующих экземпляров используйте следующий формат (включая знак #), чтобы указать уникальное значение имени субъекта-службы.

    https://signin.aws.amazon.com/saml#2

  7. Приложение AWS ожидает проверочные утверждения SAML в определенном формате, а значит вам нужно добавить настраиваемые сопоставления атрибутов в конфигурацию атрибутов токена SAML. На следующем снимке экрана показан список атрибутов по умолчанию.

    Screenshot showing default attributes.

  8. В дополнение к описанному выше приложение AWS ожидает несколько дополнительных атрибутов в ответе SAML, как показано ниже. Эти атрибуты также заранее заполнены, но вы можете изменить их в соответствии со своими требованиями.

    Имя. Атрибут источника Пространство имен
    RoleSessionName user.userprincipalname https://aws.amazon.com/SAML/Attributes
    Role user.assignedroles https://aws.amazon.com/SAML/Attributes
    SessionDuration user.sessionduration https://aws.amazon.com/SAML/Attributes

    Примечание.

    AWS ожидает роли для пользователей, назначенных приложению. Настройте эти роли в идентификаторе Microsoft Entra, чтобы пользователи могли назначать соответствующие роли. Сведения о настройке ролей в идентификаторе Microsoft Entra см . здесь.

  9. На странице Настройка единого входа с помощью SAML в диалоговом окне Сертификат SAML для подписи (шаг 3) выберите Добавить сертификат.

    Screenshot showing Create new SAML Certificate.

  10. Создайте новый сертификат SAML для подписи и выберите Создать сертификат. Введите адрес электронной почты для получения уведомлений о сертификатах.

    Screenshot showing New SAML Certificate.

  11. В разделе Сертификат SAML для подписи найдите XML метаданных федерации и выберите Скачать, чтобы скачать сертификат и сохранить его на компьютере.

    Screenshot showing the Certificate download link.

  12. Требуемые URL-адреса можно скопировать из раздела Настройка AWS Single-Account Access.

    Screenshot showing Copy configuration URLs.

Создание тестового пользователя Microsoft Entra

В этом разделе описано, как создать тестового пользователя B.Simon.

  1. Войдите в Центр администрирования Microsoft Entra как минимум пользователь Администратор istrator.
  2. Перейдите в раздел Удостоверение>Пользователи>Все пользователи.
  3. Выберите "Создать пользователя>" в верхней части экрана.
  4. В свойствах пользователя выполните следующие действия.
    1. В поле "Отображаемое имя" введите B.Simon.
    2. В поле имени участника-пользователя введите username@companydomain.extensionимя пользователя. Например, B.Simon@contoso.com.
    3. Установите флажок Показать пароль и запишите значение, которое отображается в поле Пароль.
    4. Выберите Review + create (Просмотреть и создать).
  5. Нажмите кнопку создания.

Назначение тестового пользователя Microsoft Entra

В этом разделе описано, как разрешить пользователю B.Simon использовать единый вход, предоставив этому пользователю доступ к AWS Single-Account Access.

  1. Войдите в Центр администрирования Microsoft Entra как минимум облачные приложения Администратор istrator.
  2. Перейдите к приложениям>Identity>Applications>Enterprise AWS с одним учетной записью.
  3. На странице обзора приложения выберите "Пользователи" и "Группы".
  4. Выберите Добавить пользователя или группу, а затем в диалоговом окне Добавление назначения выберите Пользователи и группы.
    1. В диалоговом окне Пользователи и группы выберите B.Simon в списке пользователей, а затем в нижней части экрана нажмите кнопку Выбрать.
    2. Если пользователям необходимо назначить роль, вы можете выбрать ее из раскрывающегося списка Выберите роль. Если для этого приложения не настроена ни одна роль, будет выбрана роль "Доступ по умолчанию".
    3. В диалоговом окне Добавление назначения нажмите кнопку Назначить.

Настройка единого входа для AWS Single-Account Access

  1. В другом окне браузера войдите на корпоративный сайт AWS в качестве администратора.

  2. На домашней странице AWS найдите IAM и щелкните его.

    Screenshot of AWS services page, with IAM highlighted.

  3. Перейдите к управлению доступом ->Поставщики удостоверений и нажмите кнопку "Добавить поставщика".

    Screenshot of IAM page, with Identity Providers and Create Provider highlighted.

  4. На странице "Добавление поставщика удостоверений" выполните следующие действия.

    Screenshot of Configure Provider.

    a. Для типа поставщика выберите SAML.

    b. Для имени поставщика введите имя поставщика (например, WAAD).

    c. Чтобы отправить скачанный файл метаданных, выберите "Выбрать файл".

    d. Нажмите кнопку "Добавить поставщика".

  5. Выберите Roles>Create role (Роли > Создать роль).

    Screenshot of Roles page.

  6. На странице Create role (Создание роли) выполните следующие действия.

    Screenshot of Create role page.

    a. Выберите тип доверенной сущности, выберите федерацию SAML 2.0.

    b. В разделе поставщика на основе SAML 2.0 выберите созданный ранее поставщик SAML (например, WAAD).

    c. Установите флажок Allow programmatic and AWS Management Console access (Разрешить программный доступ и доступ через консоль управления AWS).

    d. Выберите Далее.

  7. В диалоговом окне "Политики разрешений" вложите соответствующую политику для каждой организации. Затем выберите Далее.

    Screenshot of Attach permissions policy dialog box.

  8. В диалоговом окне Review (Обзор) сделайте следующее:

    Screenshot of Review dialog box.

    a. В поле Role name (Имя роли) введите имя роли.

    b. В поле "Описание" введите описание роли.

    c. Щелкните Create Role (Создать роль).

    d. Создайте столько ролей и сопоставите их с поставщиком удостоверений.

  9. Используйте учетные данные учетной записи службы AWS для получения ролей из учетной записи AWS в подготовке пользователей Microsoft Entra. Для этого откройте главную страницу консоли AWS.

  10. В разделе IAM выберите "Политики " и нажмите кнопку "Создать политику".

    Screenshot of IAM section, with Policies highlighted.

  11. Создайте собственную политику для получения всех ролей из учетных записей AWS.

    Screenshot of Create policy page, with JSON highlighted.

    a. В разделе Create policy (Создание политики) щелкните вкладку JSON.

    b. Добавьте приведенный ниже код JSON в документ политики.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
            "iam:ListRoles"
            ],
            "Resource": "*"
        }
    ]
}

    c. Нажмите кнопку " Далее": теги.

  12. Вы также можете добавить необходимые теги на следующей странице и нажать кнопку "Далее: Проверить".

    Screenshot of Create policy tag page.

  13. Определите новую политику.

    Screenshot of Create policy page, with Name and Description fields highlighted.

    a. В поле Name (Имя) введите AzureAD_SSOUserRole_Policy.

    b. В поле Description (Описание) введите текст: Эта политика позволит получать роли из учетных записей AWS.

    c. ВыберитеCreate policy (Создать политику).

  14. Создайте учетную запись пользователя в службе IAM AWS.

    a. В консоли AWS IAM выберите "Пользователи" и нажмите кнопку "Добавить пользователей".

    Screenshot of AWS IAM console, with Users highlighted.

    b. В разделе "Указание сведений о пользователе" введите имя пользователя в качестве AzureADRoleManager и нажмите кнопку "Далее".

    Screenshot of Add user page, with User name and Access type highlighted.

    c. Создайте политику для этого пользователя.

    Screenshot shows the Add user page where you can create a policy for the user.

    d. Щелкните Attach existing policies directly (Подключить существующие политики напрямую).

    д) Выполните поиск только что созданной политики в разделе фильтра AzureAD_SSOUserRole_Policy.

    f. Выберите политику и нажмите кнопку "Далее".

  15. Просмотрите выбранные варианты и нажмите кнопку "Создать пользователя".

  16. Чтобы скачать учетные данные пользователя, включите доступ к консоли на вкладке "Учетные данные безопасности".

    Screenshot shows the Security credentials.

  17. Введите эти учетные данные в раздел подготовки пользователей Microsoft Entra, чтобы получить роли из консоли AWS.

    Screenshot shows the download the user credentials.

Примечание.

AWS имеет набор разрешений или ограничений, необходимых для настройки единого входа AWS. Дополнительные сведения об ограничениях AWS см. на этой странице.

Настройка подготовки роли в AWS Single-Account Access

  1. На портале управления Microsoft Entra в приложении AWS перейдите к подготовке.

    Screenshot of AWS app, with Provisioning highlighted.

  2. Введите ключ доступа и секрет в поля clientsecret и Секретный токен соответственно.

    Screenshot of Admin Credentials dialog box.

    a. Введите ключ доступа пользователя AWS в поле Секрет клиента.

    b. Введите секрет пользователя AWS в поле Секретный токен.

    c. Выберите Проверить подключение.

    d. Сохраните параметры, щелкнув Сохранить.

  3. В разделе Параметры выберите для параметра Состояние подготовки значение Вкл. Затем выберите Сохранить.

    Screenshot of Settings section, with On highlighted.

Примечание.

Служба подготовки импортирует роли только из AWS в идентификатор Microsoft Entra. Служба не подготавливает пользователей и группы из идентификатора Microsoft Entra в AWS.

Примечание.

После подготовки учетных данных необходимо дождаться запуска цикла начальной синхронизации. Выполнение синхронизации обычно занимает около 40 минут. Состояние отображается в нижней части страницы Подготовка в разделе Текущее состояние.

Создание тестового пользователя AWS Single-Account Access

Цель этого раздела — создать пользователя с именем B.Simon в AWS Single-Account Access. Для включения единого входа в AWS Single-Account Access не требуется создавать пользователя, поэтому здесь не нужно выполнять никаких действий.

Проверка единого входа

В этом разделе описана конфигурация единого входа Microsoft Entra с помощью следующих параметров.

Инициация поставщиком услуг:

  • Щелкните "Тестировать это приложение", вы будете перенаправлены по URL-адресу единого входа в AWS, где можно инициировать поток входа.

  • Перейдите по URL-адресу для входа в AWS Single-Account Access и инициируйте поток входа.

Вход, инициированный поставщиком удостоверений

  • Щелкните "Тестировать это приложение", и вы автоматически войдете в приложение AWS Single-Account Access, для которого настроили единый вход.

Вы можете также использовать портал "Мои приложения" корпорации Майкрософт для тестирования приложения в любом режиме. Щелкнув плитку AWS Single-Account Access на портале "Мои приложения", вы попадете на страницу входа приложения для инициации потока входа (при настройке в режиме поставщика службы) или автоматически войдете в приложение AWS Single-Account Access, для которого настроен единый вход (при настройке в режиме поставщика удостоверений). Дополнительные сведения о портале "Мои приложения" см. в этой статье.

Известные проблемы

  • Интеграция подготовки доступа к единой учетной записи AWS не может использоваться в регионах AWS Для Китая.

  • В разделе Подготовка в подразделе Сопоставление отображается сообщение "Идет загрузка...", но никогда не отображаются сопоставления атрибутов. Единственный рабочий процесс подготовки, поддерживаемый сегодня, — импорт ролей из AWS в идентификатор Microsoft Entra для выбора во время назначения пользователя или группы. Сопоставления атрибутов для этого определены заранее и не настраиваются.

  • Раздел Подготовка поддерживает ввод только одного набора учетных данных для одного клиента AWS за раз. Все импортированные роли записываются в appRoles свойство объекта Идентификатора servicePrincipal Microsoft Entra для клиента AWS.

    Несколько клиентов AWS (представленных servicePrincipals) можно добавить в идентификатор Microsoft Entra из коллекции для подготовки. При этом существует известная проблема, когда не удается автоматически записывать все импортированные роли из нескольких servicePrincipals AWS, используемых для объединения в servicePrincipal и включения возможности единого входа.

    В качестве решения можно использовать Microsoft Graph API для извлечения всех appRoles, импортируемых во все servicePrincipal AWS с настроенной подготовкой. Потом вы сможете добавить эти строки ролей в servicePrincipal AWS с настроенным единым входом.

  • Роли должны соответствовать следующим требованиям, чтобы иметь право импортировать из AWS в идентификатор Microsoft Entra ID:

    • Роли должны иметь только один поставщик SAML, определенный в AWS.
    • Общая длина ARN (Имя ресурса Amazon) роли и ARN поставщика SAML не должна превышать 240 символов.

Журнал изменений

  • 12.01.2020: увеличена максимальная длина имени роли с 119 символов до 239 символов.

Следующие шаги

После настройки AWS Single-Account Access вы сможете применить функцию управления сеансами, которая в реальном времени защищает конфиденциальные данные вашей организации от хищения и несанкционированного доступа. Управление сеансом является расширением функции условного доступа. Узнайте, как применять управление сеансами с помощью приложений Defender для облака.