Руководство по интеграции единого входа Microsoft Entra с доступом к одной учетной записи AWS
В этом руководстве описано, как интегрировать доступ к AWS с одним учетной записью с идентификатором Microsoft Entra. Интеграция доступа AWS с одним учетной записью с идентификатором Microsoft Entra позволяет:
- Управляйте идентификатором Microsoft Entra, имеющим доступ к доступу к AWS с одной учетной записью.
- Автоматический вход пользователей в AWS с помощью учетных записей Microsoft Entra.
- Управление учетными записями в одном центральном расположении.
Общие сведения о различных приложениях AWS в коллекции приложений Microsoft Entra
Используйте приведенные ниже сведения, чтобы принять решение об использовании приложений единого входа AWS и AWS Single-Account Access в коллекции приложений Microsoft Entra.
AWS Single Sign-On
Единый вход AWS был добавлен в коллекцию приложений Microsoft Entra в феврале 2021 года. Это упрощает централизованное управление доступом к нескольким учетным записям AWS и приложениям AWS с помощью идентификатора Microsoft Entra. Федеративный идентификатор Microsoft Entra с единым входом AWS и используйте единый вход AWS для управления разрешениями во всех учетных записях AWS из одного места. AWS SSO автоматически подготавливает разрешения и сохраняет их в актуальном виде при обновлении политик и назначений доступа. Конечные пользователи могут проходить проверку подлинности с помощью учетных данных Microsoft Entra для доступа к интегрированным приложениям КОНСОЛИ AWS, интерфейса командной строки и единого входа AWS.
AWS Single-Account Access
Доступ к одной учетной записи AWS использовался клиентами за последние несколько лет и позволяет федеративный идентификатор Microsoft Entra с одной учетной записью AWS и использовать идентификатор Microsoft Entra для управления доступом к ролям AWS IAM. Администраторы AWS IAM определяют роли и политики в каждой учетной записи AWS. Для каждой учетной записи AWS администраторы Microsoft Entra федеративны с AWS IAM, назначают пользователей или группы учетной записи и настраивают идентификатор Microsoft Entra для отправки утверждений, которые разрешают доступ к роли.
Функция | AWS Single Sign-On | AWS Single-Account Access |
---|---|---|
Условный доступ | Поддерживает одну политику условного доступа для всех учетных записей AWS. | Поддерживает одну политику условного доступа для всех учетных записей или пользовательских политик для каждой учетной записи. |
Доступ к CLI | Поддерживается | Поддерживается |
Управление привилегированными пользователями | Поддерживается | Не поддерживается |
Централизованное управление учетными записями | Централизованное управление учетными записями в AWS. | Централизованное управление учетными записями в идентификаторе Microsoft Entra (скорее всего, потребуется корпоративное приложение Microsoft Entra для каждой учетной записи). |
Сертификат SAML | Единый сертификат | Отдельные сертификаты для каждого приложения или учетной записи |
Архитектура AWS Single-Account Access
Вы можете настроить идентификаторы для нескольких экземпляров. Например:
https://signin.aws.amazon.com/saml#1
https://signin.aws.amazon.com/saml#2
С этими значениями идентификатор Microsoft Entra удаляет значение #и отправляет правильное значение https://signin.aws.amazon.com/saml
в качестве URL-адреса аудитории в токене SAML.
Мы рекомендуем именно этот подход по следующим причинам:
Каждое приложение предоставляет уникальный сертификат X509. Это значит, что у всех экземпляров приложения AWS разный срок действия сертификата, и ими можно управлять отдельно для каждой учетной записи AWS. Это упрощает смену сертификатов.
Вы можете включить подготовку пользователей с помощью приложения AWS в идентификаторе Microsoft Entra, а затем наша служба извлекает все роли из этой учетной записи AWS. Не нужно вручную добавлять или обновлять роли AWS для приложения.
Вы можете назначить владельца приложения для каждого приложения. Этот пользователь может управлять приложением непосредственно в идентификаторе Microsoft Entra.
Примечание.
Убедитесь, что используется только приложение из коллекции.
Необходимые компоненты
Чтобы приступить к работе, потребуется следующее.
- Подписка Microsoft Entra. Если у вас нет подписки, вы можете получить бесплатную учетную запись.
- В AWS IAM IdP включена подписка.
- Наряду с администратором облачных приложений администратор приложения администратор приложений также может добавлять или управлять приложениями в идентификаторе Microsoft Entra. Дополнительные сведения см. в статье Встроенные роли Azure.
Примечание.
Роли не должны изменяться вручную в идентификаторе Microsoft Entra при импорте ролей.
Описание сценария
В этом руководстве описана настройка и проверка единого входа Microsoft Entra в тестовой среде.
- AWS Single-Account Access поддерживает единый вход, инициированный поставщиком услуг и поставщиком удостоверений.
Примечание.
Идентификатор этого приложения — фиксированное строковое значение, поэтому в одном клиенте можно настроить только один экземпляр.
Добавление AWS Single-Account Access из коллекции
Чтобы настроить интеграцию AWS Single-Account Access с идентификатором Microsoft Entra ID, необходимо добавить AWS Single-Account Access из коллекции в список управляемых приложений SaaS.
- Войдите в Центр администрирования Microsoft Entra как минимум администратор облачных приложений.
- Перейдите к приложениям>Identity>Applications>Enterprise. Новое приложение.
- В разделе Добавление из коллекции в поле поиска введите AWS Single-Account Access.
- Выберите AWS Single-Account Access на панели результатов и добавьте это приложение. Подождите несколько секунд, пока приложение не будет добавлено в ваш клиент.
Кроме того, можно также использовать мастер конфигурации корпоративных приложений. В этом мастере можно добавить приложение в клиент, добавить пользователей и группы в приложение, назначить роли и выполнить настройку единого входа. Подробнее о мастерах Microsoft 365.
Кроме того, можно также использовать мастер конфигурации корпоративных приложений. В этом мастере можно добавить приложение в клиент, добавить пользователей и группы в приложение, назначить роли и выполнить настройку единого входа. Более подробную информацию о мастерах O365 можно найти здесь.
Настройка и проверка единого входа Microsoft Entra для AWS с одной учетной записью
Настройте и проверьте единый вход Microsoft Entra в AWS Single-Account Access с помощью тестового пользователя B.Simon. Для обеспечения работы единого входа необходимо установить связь между пользователем Microsoft Entra и соответствующим пользователем в AWS Single-Account Access.
Чтобы настроить и проверить единый вход Microsoft Entra в AWS Single-Account Access, выполните следующие действия.
- Настройте единый вход Microsoft Entra, чтобы пользователи могли использовать эту функцию.
- Создайте тестового пользователя Microsoft Entra для тестирования единого входа Microsoft Entra с помощью B.Simon.
- Назначьте тестового пользователя Microsoft Entra, чтобы разрешить B.Simon использовать единый вход Microsoft Entra.
- Настройка единого входа в AWS Single-Account Access необходима, чтобы настроить параметры единого входа на стороне приложения.
- Создайте тестового пользователя AWS Single-Account Access, чтобы в AWS single-account Access был создан пользователь B.Simon, связанный с представлением пользователя Microsoft Entra.
- Настройка подготовки роли в AWS Single-Account Access
- Проверка единого входа позволяет убедиться в правильности конфигурации.
Настройка единого входа Microsoft Entra
Выполните следующие действия, чтобы включить единый вход Microsoft Entra.
Войдите в Центр администрирования Microsoft Entra как минимум администратор облачных приложений.
Перейдите к приложениям>Identity>Applications>Enterprise AWS с единым>входом.
На странице Выбрать метод единого входа выберите SAML.
На странице Настройка единого входа с помощью SAML щелкните значок карандаша, чтобы открыть диалоговое окно Базовая конфигурация SAML для изменения параметров.
В разделе Базовая конфигурация SAML укажите для параметров Идентификатор (идентификатор сущности) и URL-адрес ответа одно значение по умолчанию:
https://signin.aws.amazon.com/saml
. Чтобы сохранить изменения в конфигурации, нажмите Сохранить.Приложение AWS ожидает проверочные утверждения SAML в определенном формате, а значит вам нужно добавить настраиваемые сопоставления атрибутов в конфигурацию атрибутов токена SAML. На следующем снимке экрана показан список атрибутов по умолчанию.
В дополнение к описанному выше приложение AWS ожидает несколько дополнительных атрибутов в ответе SAML, как показано ниже. Эти атрибуты также заранее заполнены, но вы можете изменить их в соответствии со своими требованиями.
Имя. Атрибут источника Пространство имен RoleSessionName user.userprincipalname https://aws.amazon.com/SAML/Attributes
Роль user.assignedroles https://aws.amazon.com/SAML/Attributes
SessionDuration user.sessionduration https://aws.amazon.com/SAML/Attributes
Примечание.
AWS ожидает роли для пользователей, назначенных приложению. Настройте эти роли в идентификаторе Microsoft Entra, чтобы пользователи могли назначать соответствующие роли. Сведения о настройке ролей в идентификаторе Microsoft Entra см . здесь.
На странице Настройка единого входа с помощью SAML в диалоговом окне Сертификат SAML для подписи (шаг 3) выберите Добавить сертификат.
Создайте новый сертификат SAML для подписи и выберите Создать сертификат. Введите адрес электронной почты для получения уведомлений о сертификатах.
(Необязательно) Вы можете выбрать "Сделать сертификат активным".
В разделе Сертификат SAML для подписи найдите XML метаданных федерации и выберите Скачать, чтобы скачать сертификат и сохранить его на компьютере.
Требуемые URL-адреса можно скопировать из раздела Настройка AWS Single-Account Access.
Создание тестового пользователя Microsoft Entra
В этом разделе описано, как создать тестового пользователя B.Simon.
- Войдите в Центр администрирования Microsoft Entra как минимум администратор пользователя.
- Перейдите в раздел Удостоверение>Пользователи>Все пользователи.
- Выберите "Создать пользователя>" в верхней части экрана.
- В свойствах пользователя выполните следующие действия.
- В поле "Отображаемое имя" введите
B.Simon
. - В поле имени участника-пользователя введите username@companydomain.extensionимя пользователя. Например,
B.Simon@contoso.com
. - Установите флажок Показать пароль и запишите значение, которое отображается в поле Пароль.
- Выберите Review + create (Просмотреть и создать).
- В поле "Отображаемое имя" введите
- Нажмите кнопку создания.
Назначение тестового пользователя Microsoft Entra
В этом разделе описано, как разрешить пользователю B.Simon использовать единый вход, предоставив этому пользователю доступ к AWS Single-Account Access.
- Войдите в Центр администрирования Microsoft Entra как минимум администратор облачных приложений.
- Перейдите к приложениям>Identity>Applications>Enterprise AWS с одним учетной записью.
- На странице обзора приложения выберите "Пользователи" и "Группы".
- Выберите Добавить пользователя или группу, а затем в диалоговом окне Добавление назначения выберите Пользователи и группы.
- В диалоговом окне Пользователи и группы выберите B.Simon в списке пользователей, а затем в нижней части экрана нажмите кнопку Выбрать.
- Если пользователям необходимо назначить роль, вы можете выбрать ее из раскрывающегося списка Выберите роль. Если для этого приложения не настроена ни одна роль, будет выбрана роль "Доступ по умолчанию".
- В диалоговом окне Добавление назначения нажмите кнопку Назначить.
Настройка единого входа для AWS Single-Account Access
В другом окне браузера войдите на корпоративный сайт AWS в качестве администратора.
На домашней странице AWS найдите IAM и щелкните его.
Перейдите к управлению доступом ->Поставщики удостоверений и нажмите кнопку "Добавить поставщика".
На странице "Добавление поставщика удостоверений" выполните следующие действия.
a. Для типа поставщика выберите SAML.
b. Для имени поставщика введите имя поставщика (например, WAAD).
c. Чтобы отправить скачанный файл метаданных, выберите "Выбрать файл".
d. Нажмите кнопку "Добавить поставщика".
Выберите Roles>Create role (Роли > Создать роль).
На странице Create role (Создание роли) выполните следующие действия.
a. Выберите тип доверенной сущности, выберите федерацию SAML 2.0.
b. В разделе поставщика на основе SAML 2.0 выберите созданный ранее поставщик SAML (например, WAAD).
c. Установите флажок Allow programmatic and AWS Management Console access (Разрешить программный доступ и доступ через консоль управления AWS).
d. Выберите Далее.
В диалоговом окне "Политики разрешений" вложите соответствующую политику для каждой организации. Затем выберите Далее.
В диалоговом окне Review (Обзор) сделайте следующее:
a. В поле Role name (Имя роли) введите имя роли.
b. В поле "Описание" введите описание роли.
c. Щелкните Create Role (Создать роль).
d. Создайте столько ролей и сопоставите их с поставщиком удостоверений.
Используйте учетные данные учетной записи службы AWS для получения ролей из учетной записи AWS в подготовке пользователей Microsoft Entra. Для этого откройте главную страницу консоли AWS.
В разделе IAM выберите "Политики " и нажмите кнопку "Создать политику".
Создайте собственную политику для получения всех ролей из учетных записей AWS.
a. В разделе Create policy (Создание политики) щелкните вкладку JSON.
b. Добавьте приведенный ниже код JSON в документ политики.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "iam:ListRoles" ], "Resource": "*" } ] }
c. Нажмите кнопку " Далее": теги.
Вы также можете добавить необходимые теги на следующей странице и нажать кнопку "Далее: Проверить".
Определите новую политику.
a. В поле Name (Имя) введите AzureAD_SSOUserRole_Policy.
b. В поле Description (Описание) введите текст: Эта политика позволит получать роли из учетных записей AWS.
c. ВыберитеCreate policy (Создать политику).
Создайте учетную запись пользователя в службе IAM AWS.
a. В консоли AWS IAM выберите "Пользователи" и нажмите кнопку "Добавить пользователей".
b. В разделе "Указание сведений о пользователе" введите имя пользователя в качестве AzureADRoleManager и нажмите кнопку "Далее".
c. Создайте политику для этого пользователя.
d. Щелкните Attach existing policies directly (Подключить существующие политики напрямую).
д) Выполните поиск только что созданной политики в разделе фильтра AzureAD_SSOUserRole_Policy.
f. Выберите политику и нажмите кнопку "Далее".
Просмотрите выбранные варианты и нажмите кнопку "Создать пользователя".
Примечание. Убедитесь, что необходимо создать и скачать сторонний ключ доступа для этого пользователя. Этот ключ будет использоваться в разделе подготовки пользователей Microsoft Entra для получения ролей из консоли AWS.
Чтобы скачать учетные данные пользователя, включите доступ к консоли на вкладке "Учетные данные безопасности".
Введите эти учетные данные в раздел подготовки пользователей Microsoft Entra, чтобы получить роли из консоли AWS.
Примечание.
AWS имеет набор разрешений или ограничений, необходимых для настройки единого входа AWS. Дополнительные сведения об ограничениях AWS см. на этой странице.
Настройка подготовки роли в AWS Single-Account Access
На портале управления Microsoft Entra в приложении AWS перейдите к подготовке.
Примечание. Имя пользователя и пароль, возвращаемые при включении доступа к консоли, не нужны для значений маркера секрета и клиентов. Вместо этого создайте сторонний ключ доступа для этого шага.
Введите ключ доступа и секрет в поля clientsecret и Секретный токен соответственно.
a. Введите ключ доступа пользователя AWS в поле Секрет клиента.
b. Введите секрет пользователя AWS в поле Секретный токен.
c. Выберите Проверить подключение.
d. Сохраните параметры, щелкнув Сохранить.
В разделе Параметры выберите для параметра Состояние подготовки значение Вкл. Затем выберите Сохранить.
Примечание.
Служба подготовки импортирует роли только из AWS в идентификатор Microsoft Entra. Служба не подготавливает пользователей и группы из идентификатора Microsoft Entra в AWS.
Примечание.
После подготовки учетных данных необходимо дождаться запуска цикла начальной синхронизации. Выполнение синхронизации обычно занимает около 40 минут. Состояние отображается в нижней части страницы Подготовка в разделе Текущее состояние.
Создание тестового пользователя AWS Single-Account Access
Цель этого раздела — создать пользователя с именем B.Simon в AWS Single-Account Access. Для включения единого входа в AWS Single-Account Access не требуется создавать пользователя, поэтому здесь не нужно выполнять никаких действий.
Проверка единого входа
В этом разделе описана конфигурация единого входа Microsoft Entra с помощью следующих параметров.
Инициация поставщиком услуг:
Щелкните "Тестировать это приложение", вы будете перенаправлены по URL-адресу единого входа в AWS, где можно инициировать поток входа.
Перейдите по URL-адресу для входа в AWS Single-Account Access и инициируйте поток входа.
Вход, инициированный поставщиком удостоверений
- Щелкните "Тестировать это приложение", и вы автоматически войдете в приложение AWS Single-Account Access, для которого настроили единый вход.
Вы можете также использовать портал "Мои приложения" корпорации Майкрософт для тестирования приложения в любом режиме. Щелкнув плитку AWS Single-Account Access на портале "Мои приложения", вы попадете на страницу входа приложения для инициации потока входа (при настройке в режиме поставщика службы) или автоматически войдете в приложение AWS Single-Account Access, для которого настроен единый вход (при настройке в режиме поставщика удостоверений). Дополнительные сведения о портале "Мои приложения" см. в этой статье.
Известные проблемы
Интеграция подготовки доступа к единой учетной записи AWS не может использоваться в регионах AWS Для Китая.
В разделе Подготовка в подразделе Сопоставление отображается сообщение "Идет загрузка...", но никогда не отображаются сопоставления атрибутов. Единственный рабочий процесс подготовки, поддерживаемый сегодня, — импорт ролей из AWS в идентификатор Microsoft Entra для выбора во время назначения пользователя или группы. Сопоставления атрибутов для этого определены заранее и не настраиваются.
Раздел Подготовка поддерживает ввод только одного набора учетных данных для одного клиента AWS за раз. Все импортированные роли записываются в
appRoles
свойство объекта ИдентификатораservicePrincipal
Microsoft Entra для клиента AWS.Несколько клиентов AWS (представленных
servicePrincipals
) можно добавить в идентификатор Microsoft Entra из коллекции для подготовки. При этом существует известная проблема, когда не удается автоматически записывать все импортированные роли из несколькихservicePrincipals
AWS, используемых для объединения вservicePrincipal
и включения возможности единого входа.В качестве решения можно использовать Microsoft Graph API для извлечения всех
appRoles
, импортируемых во всеservicePrincipal
AWS с настроенной подготовкой. Потом вы сможете добавить эти строки ролей вservicePrincipal
AWS с настроенным единым входом.Роли должны соответствовать следующим требованиям, чтобы иметь право импортировать из AWS в идентификатор Microsoft Entra ID:
- Роли должны иметь только один поставщик SAML, определенный в AWS.
- Общая длина ARN (Имя ресурса Amazon) роли и ARN поставщика SAML не должна превышать 240 символов.
Журнал изменений
- 12.01.2020: увеличена максимальная длина имени роли с 119 символов до 239 символов.
Следующие шаги
После настройки AWS Single-Account Access вы сможете применить функцию управления сеансами, которая в реальном времени защищает конфиденциальные данные вашей организации от хищения и несанкционированного доступа. Управление сеансом является расширением функции условного доступа. Узнайте, как применять управление сеансами с помощью приложений Defender для облака.