Dela via

Självstudie: Microsoft Entra SSO-integrering med åtkomst med ett enda AWS-konto

  • Artikel

I den här självstudien får du lära dig hur du integrerar åtkomst med ett enda AWS-konto med Microsoft Entra-ID. När du integrerar AWS-åtkomst med ett enda konto med Microsoft Entra-ID kan du:

  • Kontroll i Microsoft Entra-ID som har åtkomst till åtkomst med ett enda AWS-konto.
  • Gör så att dina användare automatiskt loggas in på AWS-åtkomst med ett enda konto med sina Microsoft Entra-konton.
  • Hantera dina konton på en central plats.

Använd informationen nedan för att fatta ett beslut mellan att använda AWS-program för enkel inloggning och AWS-åtkomst med ett enda konto i Microsoft Entra-programgalleriet.

Enkel inloggning med AWS

Enkel inloggning med AWS lades till i Microsoft Entra-programgalleriet i februari 2021. Det gör det enkelt att hantera åtkomst centralt till flera AWS-konton och AWS-program med inloggning via Microsoft Entra-ID. Federera Microsoft Entra-ID med AWS SSO en gång och använd AWS SSO för att hantera behörigheter för alla dina AWS-konton från ett och samma ställe. AWS SSO etablerar behörigheter automatiskt och håller dem aktuella när du uppdaterar principer och åtkomsttilldelningar. Slutanvändare kan autentisera med sina Microsoft Entra-autentiseringsuppgifter för att få åtkomst till AWS-konsolen, kommandoradsgränssnittet och AWS SSO-integrerade program.

Åtkomst med ett enda AWS-konto

AWS-åtkomst med ett enda konto har använts av kunder under de senaste åren och gör att du kan federera Microsoft Entra-ID till ett enda AWS-konto och använda Microsoft Entra-ID för att hantera åtkomst till AWS IAM-roller. AWS IAM-administratörer definierar roller och principer i varje AWS-konto. För varje AWS-konto federerar Microsoft Entra-administratörer till AWS IAM, tilldelar användare eller grupper till kontot och konfigurerar Microsoft Entra-ID för att skicka intyg som auktoriserar rollåtkomst.

Funktion Enkel inloggning med AWS Åtkomst med ett enda AWS-konto
Villkorlig åtkomst Stöder en enda princip för villkorlig åtkomst för alla AWS-konton. Stöder en enskild princip för villkorlig åtkomst för alla konton eller anpassade principer per konto
CLI-åtkomst Stöds Stöds
Privileged Identity Management Stöds Stöds inte
Centralisera kontohantering Centralisera kontohantering i AWS. Centralisera kontohantering i Microsoft Entra-ID (kräver sannolikt ett Microsoft Entra-företagsprogram per konto).
SAML-certifikat Enskilt certifikat Separata certifikat per app/konto

AWS-arkitektur för åtkomst med ett enda konto

Screenshot showing Microsoft Entra ID and AWS relationship.

Du kan konfigurera flera identifierare för flera instanser. Till exempel:

  • https://signin.aws.amazon.com/saml#1

  • https://signin.aws.amazon.com/saml#2

Med dessa värden tar Microsoft Entra-ID bort värdet #för och skickar rätt värde https://signin.aws.amazon.com/saml som målgrupps-URL i SAML-token.

Vi rekommenderar den här metoden av följande skäl:

  • Varje program ger dig ett unikt X509-certifikat. Varje instans av en AWS-appinstans kan sedan ha ett annat förfallodatum för certifikatet, som kan hanteras på ett enskilt AWS-konto. Övergripande redundansväxling av certifikat är enklare i det här fallet.

  • Du kan aktivera användaretablering med en AWS-app i Microsoft Entra-ID och sedan hämtar vår tjänst alla roller från det AWS-kontot. Du behöver inte lägga till eller uppdatera AWS-rollerna manuellt i appen.

  • Du kan tilldela appens ägare individuellt för appen. Den här personen kan hantera appen direkt i Microsoft Entra-ID.

Kommentar

Kontrollera att du endast använder ett galleriprogram.

Förutsättningar

För att komma igång behöver du följande:

  • En Microsoft Entra-prenumeration. Om du inte har en prenumeration kan du få ett kostnadsfritt konto.
  • En AWS IAM IdP-aktiverad prenumeration.
  • Tillsammans med molnprogramadministratör kan programadministratör också lägga till eller hantera program i Microsoft Entra-ID. Mer information finns i Inbyggda roller i Azure.

Kommentar

Roller bör inte redigeras manuellt i Microsoft Entra-ID när du importerar roller.

Beskrivning av scenario

I den här självstudien konfigurerar och testar du Microsoft Entra SSO i en testmiljö.

  • AWS-åtkomst med ett enda konto stöder SP- och IDP-initierad enkel inloggning.

Kommentar

Identifieraren för det här programmet är ett fast strängvärde så att endast en instans kan konfigureras i en klientorganisation.

För att konfigurera integreringen av AWS-åtkomst med ett enda konto i Microsoft Entra-ID måste du lägga till AWS-åtkomst med ett enda konto från galleriet i din lista över hanterade SaaS-appar.

  1. Logga in på administrationscentret för Microsoft Entra som minst molnprogramadministratör.
  2. Bläddra till Identity>Applications Enterprise-program>>Nytt program.
  3. I avsnittet Lägg till från galleriet skriver du AWS Single-Account Access i sökrutan.
  4. Välj AWS-åtkomst med ett enda konto i resultatpanelen och lägg sedan till appen. Vänta några sekunder medan appen läggs till i din klientorganisation.

Du kan också använda guiden Konfiguration av företagsappar. I den här guiden kan du lägga till ett program i din klientorganisation, lägga till användare/grupper i appen, tilldela roller samt gå igenom SSO-konfigurationen. Läs mer om Microsoft 365-guider.

Du kan också använda guiden Konfiguration av företagsappar. I den här guiden kan du lägga till ett program i din klientorganisation, lägga till användare/grupper i appen, tilldela roller samt gå igenom SSO-konfigurationen. Du kan läsa mer om O365-guider här.

Konfigurera och testa Microsoft Entra SSO för åtkomst med ett enda AWS-konto

Konfigurera och testa Microsoft Entra SSO med AWS-åtkomst med ett enda konto med hjälp av en testanvändare med namnet B.Simon. För att enkel inloggning ska fungera måste du upprätta en länkrelation mellan en Microsoft Entra-användare och den relaterade användaren i åtkomst med ett enda AWS-konto.

Utför följande steg för att konfigurera och testa Microsoft Entra SSO med AWS-åtkomst med ett enda konto:

  1. Konfigurera Microsoft Entra SSO – så att användarna kan använda den här funktionen.
    1. Skapa en Microsoft Entra-testanvändare – för att testa enkel inloggning med Microsoft Entra med B.Simon.
    2. Tilldela Microsoft Entra-testanvändaren – för att göra det möjligt för B.Simon att använda enkel inloggning med Microsoft Entra.
  2. Konfigurera enkel inloggning för AWS med enkel åtkomst – för att konfigurera inställningarna för enkel inloggning på programsidan.
    1. Skapa en testanvändare för AWS-åtkomst med ett konto – för att ha en motsvarighet till B.Simon i AWS-åtkomst med ett enda konto som är länkad till Microsoft Entra-representationen av användaren.
    2. Så här konfigurerar du rolletablering i åtkomst med ett enda AWS-konto
  3. Testa enkel inloggning – för att kontrollera om konfigurationen fungerar.

Konfigurera enkel inloggning med Microsoft Entra

Följ de här stegen för att aktivera Enkel inloggning i Microsoft Entra.

  1. Logga in på administrationscentret för Microsoft Entra som minst molnprogramadministratör.

  2. Bläddra till Identity>Applications>Enterprise-program>AWS enkel inloggning med>enkel inloggning med ett konto.

  3. På sidan Välj en enkel inloggningsmetod väljer du SAML.

  4. På sidan Konfigurera enkel inloggning med SAML klickar du på pennikonen för Grundläggande SAML-konfiguration för att redigera inställningarna.

    Screenshot showing Edit Basic SAML Configuration.

  5. I avsnittet Grundläggande SAML-konfiguration uppdaterar du både identifierare (entitets-ID) och svars-URL med samma standardvärde: https://signin.aws.amazon.com/saml. Du måste välja Spara för att spara konfigurationsändringarna.

  6. När du konfigurerar fler än en instans anger du ett identifierarvärde. Från den andra instansen och framåt använder du följande format, inklusive ett # tecken för att ange ett unikt SPN-värde.

    https://signin.aws.amazon.com/saml#2

  7. AWS-programmet förväntar sig SAML-försäkran i ett visst format, vilket kräver att du lägger till anpassade attributmappningar i konfigurationen av SAML-tokenattribut. I följande skärmbild visas listan över standardattribut.

    Screenshot showing default attributes.

  8. Utöver ovanstående förväntar sig AWS-programmet att få fler attribut skickas tillbaka i SAML-svar som visas nedan. Dessa attribut är också ifyllda i förväg, men du kan granska dem enligt dina behov.

    Name Källattribut Namnområde
    RoleSessionName user.userprincipalname https://aws.amazon.com/SAML/Attributes
    Roll user.assignedroles https://aws.amazon.com/SAML/Attributes
    SessionDuration user.sessionduration https://aws.amazon.com/SAML/Attributes

    Kommentar

    AWS förväntar sig roller för användare som tilldelats till programmet. Konfigurera dessa roller i Microsoft Entra-ID så att användarna kan tilldelas lämpliga roller. Information om hur du konfigurerar roller i Microsoft Entra-ID finns här

  9. På sidan Konfigurera enkel inloggning med SAML går du till dialogrutan SAML-signeringscertifikat (steg 3) och väljer Lägg till ett certifikat.

    Screenshot showing Create new SAML Certificate.

  10. Generera ett nytt SAML-signeringscertifikat och välj sedan Nytt certifikat. Ange en e-postadress för certifikataviseringar.

    Screenshot showing New SAML Certificate.

  11. I avsnittet SAML-signeringscertifikat letar du reda på XML för federationsmetadata och väljer Ladda ned för att ladda ned certifikatet och spara det på datorn.

    Screenshot showing the Certificate download link.

  12. I avsnittet Konfigurera åtkomst med ett enda AWS-konto kopierar du lämpliga URL:er baserat på dina behov.

    Screenshot showing Copy configuration URLs.

Skapa en Microsoft Entra-testanvändare

I det här avsnittet skapar du en testanvändare med namnet B.Simon.

  1. Logga in på administrationscentret för Microsoft Entra som minst användaradministratör.
  2. Gå till Identitet>Användare>Alla användare.
  3. Välj Ny användare>Skapa ny användare överst på skärmen.
  4. Följ dessa steg i användaregenskaperna :
    1. I fältet Visningsnamn anger du B.Simon.
    2. I fältet Användarens huvudnamn anger du username@companydomain.extension. Exempel: B.Simon@contoso.com
    3. Markera kryssrutan Visa lösenord och skriv sedan ned det värde som visas i rutan Lösenord.
    4. Välj Granska + skapa.
  5. Välj Skapa.

Tilldela Microsoft Entra-testanvändaren

I det här avsnittet gör du det möjligt för B.Simon att använda enkel inloggning genom att ge åtkomst till AWS-åtkomst med ett enda konto.

  1. Logga in på administrationscentret för Microsoft Entra som minst molnprogramadministratör.
  2. Bläddra till Identity>Applications Enterprise-program>>AWS–åtkomst med ett enda konto.
  3. På appens översiktssida väljer du Användare och grupper.
  4. Välj Lägg till användare/grupp och välj sedan Användare och grupper i dialogrutan Lägg till tilldelning .
    1. I dialogrutan Användare och grupper väljer du B.Simon i listan Användare och klickar sedan på knappen Välj längst ned på skärmen.
    2. Om du förväntar dig att en roll ska tilldelas till användarna kan du välja den i listrutan Välj en roll . Om ingen roll har konfigurerats för den här appen visas rollen "Standardåtkomst" markerad.
    3. I dialogrutan Lägg till tilldelning klickar du på knappen Tilldela.

Konfigurera enkel inloggning med enkel åtkomst för AWS

  1. I ett annat webbläsarfönster loggar du in på din AWS-företagswebbplats som administratör.

  2. På AWS-startsidan söker du efter IAM och klickar på den.

    Screenshot of AWS services page, with IAM highlighted.

  3. Gå till Åtkomsthantering –> Identitetsprovidrar och klicka på knappen Lägg till provider .

    Screenshot of IAM page, with Identity Providers and Create Provider highlighted.

  4. På sidan Lägg till en identitetsprovider utför du följande steg:

    Screenshot of Configure Provider.

    a. Som Providertyp väljer du SAML.

    b. Som Providernamn skriver du ett providernamn (till exempel: WAAD).

    c. Om du vill ladda upp den nedladdade metadatafilen väljer du Välj fil.

    d. Klicka på Lägg till provider.

  5. Välj Roller>Skapa roll.

    Screenshot of Roles page.

  6. På sidan Skapa roll utför du följande steg:

    Screenshot of Create role page.

    a. Välj Betrodd entitetstyp och välj SAML 2.0-federation.

    b. Under SAML 2.0-baserad provider väljer du den SAML-provider som du skapade tidigare (till exempel WAAD).

    c. Välj Allow programmatic and AWS Management Console access (Tillåt programmatisk åtkomst och AWS-hanteringskonsolåtkomst).

    d. Välj Nästa.

  7. I dialogrutan Behörighetsprinciper bifogar du rätt princip per organisation. Välj sedan Nästa.

    Screenshot of Attach permissions policy dialog box.

  8. Utför följande steg i dialogrutan Granska :

    Screenshot of Review dialog box.

    a. I Rollnamn anger du ditt rollnamn.

    b. I Beskrivning anger du rollbeskrivningen.

    c. Välj Skapa roll.

    d. Skapa så många roller som behövs och mappa dem till identitetsprovidern.

  9. Använd autentiseringsuppgifterna för AWS-tjänstkontot för att hämta rollerna från AWS-kontot i Microsoft Entra-användaretablering. För detta öppnar du AWS-konsolstarten.

  10. I avsnittet IAM väljer du Principer och klickar på Skapa princip.

    Screenshot of IAM section, with Policies highlighted.

  11. Skapa en egen princip för att hämta alla roller från AWS-konton.

    Screenshot of Create policy page, with JSON highlighted.

    a. I Skapa princip väljer du fliken JSON .

    b. Lägg till följande JSON i principdokumentet:

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
            "iam:ListRoles"
            ],
            "Resource": "*"
        }
    ]
}

    c. Klicka på Nästa: Taggar.

  12. Du kan också lägga till de taggar som krävs på sidan nedan och klicka på Nästa: Granska.

    Screenshot of Create policy tag page.

  13. Definiera den nya principen.

    Screenshot of Create policy page, with Name and Description fields highlighted.

    a. Som Namn anger du AzureAD_SSOUserRole_Policy.

    b. Som Beskrivning anger du Den här principen tillåter att rollerna hämtas från AWS-konton.

    c. Välj Skapa princip.

  14. Skapa ett nytt användarkonto i AWS IAM-tjänsten.

    a. I AWS IAM-konsolen väljer du Användare och klickar på Lägg till användare.

    Screenshot of AWS IAM console, with Users highlighted.

    b. I avsnittet Ange användarinformation anger du användarnamnet som AzureADRoleManager och väljer Nästa.

    Screenshot of Add user page, with User name and Access type highlighted.

    c. Skapa en ny princip för den här användaren.

    Screenshot shows the Add user page where you can create a policy for the user.

    d. Välj Koppla befintliga principer direkt.

    e. Sök efter den nyligen skapade principen i filteravsnittet AzureAD_SSOUserRole_Policy.

    f. Välj principen och välj sedan Nästa.

  15. Granska dina val och välj Skapa användare.

  16. Om du vill ladda ned användarens autentiseringsuppgifter för en användare aktiverar du konsolåtkomsten på fliken Säkerhetsautentiseringsuppgifter .

    Screenshot shows the Security credentials.

  17. Ange dessa autentiseringsuppgifter i avsnittet Microsoft Entra-användaretablering för att hämta rollerna från AWS-konsolen.

    Screenshot shows the download the user credentials.

Kommentar

AWS har en uppsättning behörigheter/limtar som krävs för att konfigurera enkel inloggning med AWS. Mer information om AWS-gränser finns på den här sidan.

Så här konfigurerar du rolletablering i åtkomst med ett enda AWS-konto

  1. I Microsoft Entra-hanteringsportalen går du till Etablering i AWS-appen.

    Screenshot of AWS app, with Provisioning highlighted.

  2. Ange åtkomstnyckeln och hemligheten i fälten clientsecret respektive Secret Token .

    Screenshot of Admin Credentials dialog box.

    a. Ange AWS-användaråtkomstnyckeln i fältet clientsecret.

    b. Ange AWS-användarhemligheten i fältet Hemlig token.

    c. Välj Testanslutning.

    d. Spara inställningen genom att välja Spara.

  3. I avsnittet Inställningar väljer du för Etableringsstatus. Välj sedan Spara.

    Screenshot of Settings section, with On highlighted.

Kommentar

Etableringstjänsten importerar endast roller från AWS till Microsoft Entra ID. Tjänsten etablerar inte användare och grupper från Microsoft Entra-ID till AWS.

Kommentar

När du har sparat etableringsautentiseringsuppgifterna måste du vänta tills den första synkroniseringscykeln har körts. Synkroniseringen tar vanligtvis cirka 40 minuter att slutföra. Du kan se statusen längst ned på sidan Etablering under Aktuell status.

Skapa en AWS-testanvändare för åtkomst med ett enda konto

Målet med det här avsnittet är att skapa en användare med namnet B.Simon i AWS Single-Account Access. Åtkomst med ett enda AWS-konto behöver inte en användare skapas i deras system för enkel inloggning, så du behöver inte utföra någon åtgärd här.

Testa enkel inloggning

I det här avsnittet testar du konfigurationen av enkel inloggning med Microsoft Entra med följande alternativ.

SP-initierad:

  • Klicka på Testa det här programmet. Detta omdirigeras till AWS-url för enkel inloggning där du kan initiera inloggningsflödet.

  • Gå till inloggnings-URL:en för enkel inloggning med AWS och initiera inloggningsflödet därifrån.

IDP-initierad:

  • Klicka på Testa det här programmet så bör du automatiskt loggas in på AWS-åtkomst med ett enda konto som du har konfigurerat enkel inloggning för.

Du kan också använda Microsoft Mina appar för att testa programmet i valfritt läge. När du klickar på AWS-panelen åtkomst med ett enda konto i Mina appar, om du konfigureras i SP-läge, omdirigeras du till programinloggningssidan för att initiera inloggningsflödet och om det konfigureras i IDP-läge bör du automatiskt loggas in på AWS-åtkomst med ett enda konto som du har konfigurerat enkel inloggning för. Mer information om Mina appar finns i Introduktion till Mina appar.

Kända problem

  • Etableringsintegrering av AWS-åtkomst med ett enda konto kan inte användas i AWS China-regionerna.

  • I avsnittet Etablering visar underavsnittet Mappningar en "Läser in..." meddelande och visar aldrig attributmappningarna. Det enda etableringsarbetsflöde som stöds idag är import av roller från AWS till Microsoft Entra-ID för val under en användar- eller grupptilldelning. Attributmappningarna för detta är förutbestämda och kan inte konfigureras.

  • Avsnittet Etablering stöder endast inmatning av en uppsättning autentiseringsuppgifter för en AWS-klientorganisation i taget. Alla importerade roller skrivs till appRoles egenskapen för Microsoft Entra ID-objektet servicePrincipal för AWS-klientorganisationen.

    Flera AWS-klienter (representeras av servicePrincipals) kan läggas till i Microsoft Entra-ID från galleriet för etablering. Det finns dock ett känt problem med att inte automatiskt kunna skriva alla importerade roller från flera AWS servicePrincipals som används för etablering till den enda servicePrincipal som används för enkel inloggning.

    Som en lösning kan du använda Microsoft Graph API för att extrahera alla appRoles importerade till varje AWS servicePrincipal där etableringen är konfigurerad. Därefter kan du lägga till dessa rollsträngar i AWS servicePrincipal där enkel inloggning har konfigurerats.

  • Roller måste uppfylla följande krav för att vara berättigade att importeras från AWS till Microsoft Entra-ID:

    • Roller måste ha exakt en saml-provider definierad i AWS
    • Den kombinerade längden på ARN(Amazon Resource Name) för rollen och ARN för den associerade saml-providern måste vara mindre än 240 tecken.

Ändringslogg

  • 2020-01-12 – Ökad längdgräns för roller från 119 tecken till 239 tecken.

Nästa steg

När du har konfigurerat åtkomst med ett enda AWS-konto kan du framtvinga sessionskontroll, vilket skyddar exfiltrering och infiltration av organisationens känsliga data i realtid. Sessionskontrollen utökas från villkorsstyrd åtkomst. Lär dig hur du framtvingar sessionskontroll med Microsoft Defender för molnet Apps.