Руководство по интеграции Единого входа Microsoft Entra с AWS IAM Identity Center
В этом руководстве описано, как интегрировать Центр удостоверений AWS IAM (преемник единого входа AWS) с идентификатором Microsoft Entra. Интеграция ЦЕНТРА удостоверений AWS IAM с идентификатором Microsoft Entra можно:
- Контроль доступа к Центру удостоверений AWS IAM с помощью идентификатора Microsoft Entra.
- Включите автоматический вход пользователей в Центр удостоверений AWS IAM с помощью учетных записей Microsoft Entra.
- Управление учетными записями в одном центральном расположении.
Примечание. При использовании организаций AWS важно делегировать другую учетную запись в качестве учетной записи администрирования Центра удостоверений Центра удостоверений IAM и настроить единый вход Entra ID с этой учетной записью, а не корневой учетной записью управления. Это обеспечивает более безопасную и управляемую настройку.
Необходимые компоненты
Чтобы приступить к работе, потребуется следующее.
- Подписка Microsoft Entra. Если у вас нет подписки, вы можете получить бесплатную учетную запись.
- Настройка AWS Organizations с другой учетной записью, делегированной в качестве учетной записи администрирования Центра удостоверений.
- Центр удостоверений AWS IAM включен в делегированной учетной записи администрирования Центра удостоверений.
Описание сценария
В этом руководстве описана настройка и проверка единого входа Microsoft Entra в тестовой среде.
Примечание. Убедитесь, что вы делегировали другую учетную запись в качестве учетной записи администрирования Центра удостоверений Центра удостоверений и включили центр удостоверений IAM, прежде чем продолжить следующие действия.
AWS IAM Identity Center поддерживает единый вход, инициированный поставщиком услуг и поставщиком удостоверений.
AWS IAM Identity Center поддерживает автоматическую подготовку пользователей.
Добавление AWS IAM Identity Center из коллекции
Чтобы настроить интеграцию AWS IAM Identity Center с идентификатором Microsoft Entra ID, необходимо добавить Центр удостоверений AWS IAM из коллекции в список управляемых приложений SaaS.
- Войдите в Центр администрирования Microsoft Entra как минимум администратор облачных приложений.
- Перейдите к приложениям>Identity>Applications>Enterprise. Новое приложение.
- В разделе Добавление из коллекции в поле поиска введите AWS IAM Identity Center.
- Выберите AWS IAM Identity Center в области результатов и добавьте это приложение. Подождите несколько секунд, пока приложение не будет добавлено в ваш клиент.
Кроме того, можно также использовать мастер конфигурации корпоративных приложений. В этом мастере можно добавить приложение в клиент, добавить пользователей и группы в приложение, назначить роли и просмотреть конфигурацию единого входа. Подробнее о мастерах Microsoft 365.
Настройка и проверка единого входа Microsoft Entra для AWS IAM Identity Center
Настройте и проверьте единый вход Microsoft Entra в AWS IAM Identity Center с помощью тестового пользователя B.Simon. Для обеспечения работы единого входа необходимо установить связь между пользователем Microsoft Entra и соответствующим пользователем в Центре удостоверений AWS IAM.
Чтобы настроить и проверить единый вход Microsoft Entra в AWS IAM Identity Center, выполните следующие действия.
- Настройте единый вход Microsoft Entra, чтобы пользователи могли использовать эту функцию.
- Создайте тестового пользователя Microsoft Entra для тестирования единого входа Microsoft Entra с помощью B.Simon.
- Назначьте тестового пользователя Microsoft Entra, чтобы разрешить B.Simon использовать единый вход Microsoft Entra.
- Настройка единого входа в AWS IAM Identity Center необходима, чтобы настроить параметры единого входа на стороне приложения.
- Создание тестового пользователя AWS IAM Identity Center требуется для того, чтобы в AWS IAM Identity Center был создан пользователь B.Simon, связанный с представлением пользователя Microsoft Entra.
- Проверка единого входа позволяет убедиться в правильности конфигурации.
Настройка единого входа Microsoft Entra
Выполните следующие действия, чтобы включить единый вход Microsoft Entra.
Войдите в Центр администрирования Microsoft Entra как минимум администратор облачных приложений.
Перейдите к> приложениям>Identity Applications>Enterprise AWS IAM Identity Center>с единым входом.
На странице Выбрать метод единого входа выберите SAML.
На странице Настройка единого входа с помощью SAML щелкните значок карандаша, чтобы открыть диалоговое окно Базовая конфигурация SAML для изменения параметров.
Если у вас есть файл метаданных поставщика службы, выполните следующие действия в разделе Базовая конфигурация SAML:
a. Щелкните Отправить файл метаданных.
b. Щелкните логотип папки, чтобы выбрать файл метаданных, который описан для скачивания в разделе "Настройка единого входа в Центр удостоверений AWS IAM" и нажмите кнопку "Добавить".
c. После успешной передачи файла метаданных значения Идентификатор и URL-адрес ответа в разделе "Базовая конфигурация SAML" заполнятся автоматически.
Примечание.
Если поля Идентификатор и URL-адрес ответа не заполняются значениями автоматически, введите их вручную в соответствии со своими требованиями.
Примечание.
При изменении поставщика удостоверений в AWS (то есть от AD к внешнему поставщику, например Идентификатору Microsoft Entra) метаданные AWS изменятся и необходимо повторно загрузить в Azure для правильной работы единого входа.
Если у вас нет файла метаданных, предоставленного поставщиком удостоверений, в разделе Базовая конфигурация SAML выполните описанные ниже действия. Если вы хотите настроить приложение в режиме, инициируемом поставщиком удостоверений, выполните следующие действия:
a. В текстовом поле Идентификатор введите URL-адрес в следующем формате:
https://<REGION>.signin.aws.amazon.com/platform/saml/<ID>
.b. В текстовом поле URL-адрес ответа введите URL-адрес в следующем формате:
https://<REGION>.signin.aws.amazon.com/platform/saml/acs/<ID>
.Чтобы настроить приложение для работы в режиме, инициируемом поставщиком услуг, щелкните Задать дополнительные URL-адреса и выполните следующие действия.
В текстовом поле URL-адрес входа введите URL-адрес в формате
https://portal.sso.<REGION>.amazonaws.com/saml/assertion/<ID>
.Примечание.
Эти значения приведены для примера. Замените их фактическими значениями идентификатора, URL-адреса ответа и URL-адреса входа. Чтобы получить их, обратитесь в группу поддержки клиентов AWS IAM Identity Center. Вы также можете ссылаться на шаблоны, показанные в разделе "Базовая конфигурация SAML".
Приложение AWS IAM Identity Center ожидает утверждения SAML в определенном формате, который требует добавить настраиваемые сопоставления атрибутов в конфигурацию атрибутов токена SAML. На следующем снимке экрана показан список атрибутов по умолчанию.
Примечание.
Если в AWS IAM Identity Center включен механизм ABAC, дополнительные атрибуты могут передаваться как теги сеанса непосредственно в учетные записи AWS.
На странице Настройка единого входа с помощью SAML в разделе Сертификат подписи SAML найдите элемент XML метаданных федерации и выберите Скачать, чтобы скачать сертификат и сохранить его на компьютере.
Требуемые URL-адреса можно скопировать из раздела Настройка AWS IAM Identity Center.
Создание тестового пользователя Microsoft Entra
В этом разделе описано, как создать тестового пользователя B.Simon.
- Войдите в Центр администрирования Microsoft Entra как минимум администратор пользователя.
- Перейдите в раздел Удостоверение>Пользователи>Все пользователи.
- Выберите "Создать пользователя>" в верхней части экрана.
- В свойствах пользователя выполните следующие действия.
- В поле "Отображаемое имя" введите
B.Simon
. - В поле имени участника-пользователя введите username@companydomain.extensionимя пользователя. Например,
B.Simon@contoso.com
. - Установите флажок Показать пароль и запишите значение, которое отображается в поле Пароль.
- Выберите Review + create (Просмотреть и создать).
- В поле "Отображаемое имя" введите
- Нажмите кнопку создания.
Назначение тестового пользователя Microsoft Entra
В этом разделе описано, как разрешить пользователю B.Simon использовать единый вход, предоставив этому пользователю доступ к ЦЕНТРу удостоверений AWS IAM.
- Войдите в Центр администрирования Microsoft Entra как минимум администратор облачных приложений.
- Перейдите в Центр удостоверений AWS IAM Identity Center для приложений>Identity>Application>Enterprise.
- На странице обзора приложения выберите "Пользователи" и "Группы".
- Выберите Добавить пользователя или группу, а затем в диалоговом окне Добавление назначения выберите Пользователи и группы.
- В диалоговом окне Пользователи и группы выберите B.Simon в списке пользователей, а затем в нижней части экрана нажмите кнопку Выбрать.
- Если пользователям необходимо назначить роль, вы можете выбрать ее из раскрывающегося списка Выберите роль. Если для этого приложения не настроена роль, вы увидите выбранную роль "Доступ по умолчанию".
- В диалоговом окне Добавление назначения нажмите кнопку Назначить.
Настройка единого входа для AWS IAM Identity Center
В другом окне веб-браузера войдите на корпоративный сайт Центра удостоверений AWS IAM в качестве администратора.
Перейдите в центр удостоверений AWS IAM:> безопасность, удостоверение и соответствие> требованиям.
На панели навигации слева выберите элемент Settings (Параметры).
На странице Settings (Параметры) найдите Identity source (Источник удостоверений), выберите раскрывающееся меню Actions (Действия) и выберите identity source (Источник удостоверений).
На странице изменения источника удостоверений щелкните External identity provider (Внешний поставщик удостоверений).
Выполните следующие действия в разделе Configure external identity provider (Настройка внешнего поставщика удостоверений).
a. В разделе Service provider metadata (Поставщик метаданных службы) найдите метаданные SAML для единого входа AWS и щелкните Download metadata file (Скачать файл метаданных), чтобы скачать файл метаданных. После этого сохраните его на компьютере, а затем отправьте на портал Azure.
b. Скопируйте значение URL-адреса входа на портале AWS, вставьте это значение в текстовое поле URL-адреса входа в разделе "Базовая конфигурация SAML".
c. В разделе метаданных поставщика удостоверений выберите "Выбрать файл", чтобы отправить скачанный файл метаданных.
d. Щелкните элемент Next: Review (Далее: проверка).
В текстовое поле введите Accept (Принять), чтобы изменить источник удостоверений.
Щелкните Change identity source (Изменить источник удостоверений).
Создание тестового пользователя AWS IAM Identity Center
Откройте консоль AWS IAM Identity Center.
На панели навигации слева выберите элемент Users (Пользователи).
На странице Users (Пользователи) щелкните команду Add user (Добавить пользователя).
На странице Add user (Добавление пользователя) выполните следующие действия:
a. В поле Username (Имя пользователя) введите B.Simon.
b. В поле Email address (Адрес электронной почты) введите
username@companydomain.extension
. Например,B.Simon@contoso.com
.c. В поле "Подтвержденный адрес электронной почты" повторно войдите на адрес электронной почты из предыдущего шага.
d. В поле First name (Имя) введите
Britta
.д) В поле Last name (Фамилия) введите
Simon
.f. В поле Display name (Отображаемое имя) введите
B.Simon
.ж. Выберите Далее и еще раз Далее.
Примечание.
Убедитесь, что имя пользователя и адрес электронной почты, введенные в Центре удостоверений AWS IAM, совпадают с именем входа в Microsoft Entra. Это поможет избежать проблем с проверкой подлинности.
Нажмите кнопку "Добавить пользователя".
Затем вы назначите пользователя учетной записи AWS. Для этого на панели навигации слева в консоли AWS IAM Identity Center выберите элемент AWS accounts (Учетные записи AWS).
На странице AWS Accounts (Учетные записи AWS) выберите вкладку AWS organization (Организация AWS). Затем установите флажок рядом с учетной записью AWS, которую хотите назначить этому пользователю. Затем выберите элемент Assign users (Назначить пользователей).
На странице "Назначение пользователей" найдите и установите флажок рядом с пользователем B.Simon. Затем выберите элемент Next: Permission sets (Далее: наборы разрешений).
В разделе выбора наборов разрешений установите флажок рядом с набором разрешений, который хотите назначить пользователю B.Simon. Если у вас нет готовых наборов разрешений, щелкните элемент Create new permission set (Создать набор разрешений).
Примечание.
Наборы разрешений определяют уровень доступа к учетной записи AWS, который получают пользователи и группы. Дополнительные сведения о наборах разрешений см. на странице Разрешения AWS IAM Identity Center для нескольких учетных записей.
Нажмите кнопку Готово.
Примечание.
AWS IAM Identity Center также поддерживает автоматическую подготовку пользователей. Дополнительные сведения о настройке автоматической подготовки пользователей можно найти здесь.
Проверка единого входа
В этом разделе описана конфигурация единого входа Microsoft Entra с помощью следующих параметров.
Инициация поставщиком услуг:
Щелкните "Тестировать это приложение", вы будете перенаправлены по URL-адресу входа в Центр удостоверений AWS IAM, где можно инициировать поток входа.
Перейдите по URL-адресу для входа в AWS IAM Identity Center и инициируйте поток входа.
Вход, инициированный поставщиком удостоверений
- Щелкните "Тестировать это приложение", и вы автоматически войдете в центр удостоверений AWS IAM, для которого настроили единый вход.
Вы можете также использовать портал "Мои приложения" корпорации Майкрософт для тестирования приложения в любом режиме. Щелкнув плитку AWS IAM Identity Center на портале "Мои приложения", вы будете перенаправлены на страницу входа приложения для инициации потока входа (при настройке в режиме поставщика услуг) или автоматически войдете в приложение AWS IAM Identity Center, для которого настроен единый вход (при настройке в режиме поставщика удостоверений). Дополнительные сведения о портале "Мои приложения" см. в этой статье.
Следующие шаги
После настройки AWS IAM Identity Center вы можете применить функцию управления сеансами, которая в реальном времени защищает конфиденциальные данные вашей организации от кражи и несанкционированного доступа. Управление сеансом является расширением функции условного доступа. Узнайте, как применять управление сеансами с помощью приложений Defender для облака.