Dela via

Självstudie: Microsoft Entra SSO-integrering med AWS IAM Identity Center

  • Artikel

I den här självstudien lär du dig att integrera AWS IAM Identity Center (efterföljare till enkel inloggning med AWS) med Microsoft Entra ID. När du integrerar AWS IAM Identity Center med Microsoft Entra-ID kan du:

  • Kontroll i Microsoft Entra-ID som har åtkomst till AWS IAM Identity Center.
  • Gör så att dina användare automatiskt loggas in på AWS IAM Identity Center med sina Microsoft Entra-konton.
  • Hantera dina konton på en central plats.

Obs! När du använder AWS-organisationer är det viktigt att delegera ett annat konto som Identity Center-administrationskontot, aktivera IAM Identity Center på det och konfigurera Entra ID SSO med det kontot, inte rothanteringskontot. Detta säkerställer en säkrare och hanterbar installation.

Förutsättningar

För att komma igång behöver du följande:

  • En Microsoft Entra-prenumeration. Om du inte har en prenumeration kan du få ett kostnadsfritt konto.
  • En AWS-organisationskonfiguration med ett annat konto delegerat som Identity Center-administrationskonto.
  • AWS IAM Identity Center aktiverat på det delegerade Identity Center-administrationskontot.

Beskrivning av scenario

I den här självstudien konfigurerar och testar du Microsoft Entra SSO i en testmiljö.

Obs! Se till att du delegerade ett annat konto som Identity Center-administrationskontot och aktiverade IAM Identity Center på det innan du fortsätter med följande steg.

För att konfigurera integreringen av AWS IAM Identity Center i Microsoft Entra ID måste du lägga till AWS IAM Identity Center från galleriet till din lista över hanterade SaaS-appar.

  1. Logga in på administrationscentret för Microsoft Entra som minst molnprogramadministratör.
  2. Bläddra till Identity>Applications Enterprise-program>>Nytt program.
  3. I avsnittet Lägg till från galleriet skriver du AWS IAM Identity Center i sökrutan.
  4. Välj AWS IAM Identity Center i resultatpanelen och lägg sedan till appen. Vänta några sekunder medan appen läggs till i din klientorganisation.

Du kan också använda guiden Konfiguration av företagsappar. I den här guiden kan du lägga till ett program i din klientorganisation, lägga till användare/grupper i appen, tilldela roller och gå igenom SSO-konfigurationen. Läs mer om Microsoft 365-guider.

Konfigurera och testa Microsoft Entra SSO för AWS IAM Identity Center

Konfigurera och testa Microsoft Entra SSO med AWS IAM Identity Center med hjälp av en testanvändare med namnet B.Simon. För att enkel inloggning ska fungera måste du upprätta en länkrelation mellan en Microsoft Entra-användare och den relaterade användaren i AWS IAM Identity Center.

Utför följande steg för att konfigurera och testa Microsoft Entra SSO med AWS IAM Identity Center:

  1. Konfigurera Microsoft Entra SSO – så att användarna kan använda den här funktionen.
    1. Skapa en Microsoft Entra-testanvändare – för att testa enkel inloggning med Microsoft Entra med B.Simon.
    2. Tilldela Microsoft Entra-testanvändaren – för att göra det möjligt för B.Simon att använda enkel inloggning med Microsoft Entra.
  2. Konfigurera AWS IAM Identity Center SSO – för att konfigurera inställningarna för enkel inloggning på programsidan.
    1. Skapa AWS IAM Identity Center-testanvändare – för att ha en motsvarighet till B.Simon i AWS IAM Identity Center som är länkad till Microsoft Entra-representationen av användaren.
  3. Testa enkel inloggning – för att kontrollera om konfigurationen fungerar.

Konfigurera enkel inloggning med Microsoft Entra

Följ de här stegen för att aktivera Enkel inloggning i Microsoft Entra.

  1. Logga in på administrationscentret för Microsoft Entra som minst molnprogramadministratör.

  2. Bläddra till Identity>Applications>Enterprise-program> AWS IAM Identity Center>Enkel inloggning.

  3. På sidan Välj en enkel inloggningsmetod väljer du SAML.

  4. På sidan Konfigurera enkel inloggning med SAML klickar du på pennikonen för Grundläggande SAML-konfiguration för att redigera inställningarna.

    Redigera grundläggande SAML-konfiguration

  5. Om du har en metadatafil för tjänstleverantören utför du följande steg i avsnittet Grundläggande SAML-konfiguration :

    a. Klicka på Ladda upp metadatafil.

    b. Klicka på mapplogotypen för att välja den metadatafil som beskrivs för nedladdning i avsnittet Konfigurera AWS IAM Identity Center SSO och klicka på Lägg till.

    image2

    c. När metadatafilen har laddats upp fylls värdena för Identifierare och Svars-URL automatiskt i avsnittet Grundläggande SAML-konfiguration.

    Kommentar

    Om värdena identifierare och svars-URL inte fylls i automatiskt fyller du i värdena manuellt enligt dina behov.

    Kommentar

    När du ändrar identitetsprovider i AWS (dvs. från AD till extern provider, till exempel Microsoft Entra ID) ändras AWS-metadata och måste laddas upp på nytt till Azure för att enkel inloggning ska fungera korrekt.

  6. Om du inte har en metadatafil för tjänstprovidern utför du följande steg i avsnittet Grundläggande SAML-konfiguration . Utför följande steg om du vill konfigurera programmet i IDP-initierat läge:

    a. I textrutan Identifierare skriver du en URL med följande mönster: https://<REGION>.signin.aws.amazon.com/platform/saml/<ID>

    b. Skriv en URL med följande mönster i textrutan Svars-URL: https://<REGION>.signin.aws.amazon.com/platform/saml/acs/<ID>

  7. Klicka på Ange ytterligare URL:er och gör följande om du vill konfigurera appen i SP-initierat läge:

    I textrutan Inloggnings-URL skriver du in en URL med följande mönster: https://portal.sso.<REGION>.amazonaws.com/saml/assertion/<ID>

    Kommentar

    Dessa värden är inte verkliga. Uppdatera värdena med den faktiska identifieraren, svars-URL och inloggnings-URL. Kontakta supportteamet för AWS IAM Identity Center-klienten för att hämta dessa värden. Du kan också referera till de mönster som visas i avsnittet Grundläggande SAML-konfiguration .

  8. AWS IAM Identity Center-programmet förväntar sig SAML-försäkran i ett visst format, vilket kräver att du lägger till anpassade attributmappningar i konfigurationen av SAML-tokenattribut. I följande skärmbild visas listan över standardattribut.

    bild

    Kommentar

    Om ABAC är aktiverat i AWS IAM Identity Center kan de ytterligare attributen skickas som sessionstaggar direkt till AWS-konton.

  9. På sidan Konfigurera enkel inloggning med SAML går du till avsnittet SAML-signeringscertifikat och letar upp XML för federationsmetadata och väljer Ladda ned för att ladda ned certifikatet och spara det på datorn.

    Skärmbild som visar länken För nedladdning av certifikat.

  10. I avsnittet Konfigurera AWS IAM Identity Center kopierar du lämpliga URL:er baserat på dina behov.

    Skärmbild som visar hur du kopierar lämplig URL för konfigurationen.

Skapa en Microsoft Entra-testanvändare

I det här avsnittet skapar du en testanvändare med namnet B.Simon.

  1. Logga in på administrationscentret för Microsoft Entra som minst användaradministratör.
  2. Gå till Identitet>Användare>Alla användare.
  3. Välj Ny användare>Skapa ny användare överst på skärmen.
  4. Följ dessa steg i användaregenskaperna :
    1. I fältet Visningsnamn anger du B.Simon.
    2. I fältet Användarens huvudnamn anger du username@companydomain.extension. Exempel: B.Simon@contoso.com
    3. Markera kryssrutan Visa lösenord och skriv sedan ned värdet som visas i rutan Lösenord .
    4. Välj Granska + skapa.
  5. Välj Skapa.

Tilldela Microsoft Entra-testanvändaren

I det här avsnittet gör du det möjligt för B.Simon att använda enkel inloggning genom att ge åtkomst till AWS IAM Identity Center.

  1. Logga in på administrationscentret för Microsoft Entra som minst molnprogramadministratör.
  2. Bläddra till Identity>Applications Enterprise-program>>AWS IAM Identity Center.
  3. På appens översiktssida väljer du Användare och grupper.
  4. Välj Lägg till användare/grupp och välj sedan Användare och grupper i dialogrutan Lägg till tilldelning .
    1. I dialogrutan Användare och grupper väljer du B.Simon i listan Användare och klickar sedan på knappen Välj längst ned på skärmen.
    2. Om du förväntar dig att en roll ska tilldelas till användarna kan du välja den i listrutan Välj en roll . Om ingen roll har konfigurerats för den här appen visas rollen "Standardåtkomst" markerad.
    3. I dialogrutan Lägg till tilldelning klickar du på knappen Tilldela.

Konfigurera enkel inloggning i AWS IAM Identity Center

  1. I ett annat webbläsarfönster loggar du in på din AWS IAM Identity Center-företagswebbplats som administratör

  2. Gå till Services –> Security, Identity, & Compliance –> AWS IAM Identity Center.

  3. I det vänstra navigeringsfönstret väljer du Inställningar.

  4. På sidan Inställningar letar du upp identitetskälla, klickar på åtgärdsmenyn och väljer Ändra identitetskälla.

    Skärmbild för tjänsten för ändring av identitetskälla.

  5. På sidan Ändra identitetskälla väljer du Extern identitetsprovider.

    Skärmbild för att välja avsnittet extern identitetsprovider.

  6. Utför stegen nedan i avsnittet Konfigurera extern identitetsprovider :

    Skärmbild för avsnittet ladda ned och ladda upp metadata.

    a. I avsnittet Tjänstleverantörsmetadata letar du upp SAML-metadata för AWS SSO, väljer Ladda ned metadatafil för att ladda ned metadatafilen och sparar den på datorn och använder den här metadatafilen för att ladda upp den Azure Portal.

    b. Kopiera värdet för inloggnings-URL för AWS-åtkomstportalen och klistra in det här värdet i textrutan Inloggnings-URL i avsnittet Grundläggande SAML-konfiguration.

    c. I avsnittet Metadata för identitetsprovider väljer du Välj fil för att ladda upp metadatafilen som du laddade ned.

    d. Välj Nästa: Granska.

  7. I textrutan skriver du ACCEPT för att ändra identitetskällan.

    Skärmbild för Att bekräfta konfigurationen.

  8. Klicka på Ändra identitetskälla.

Skapa AWS IAM Identity Center-testanvändare

  1. Öppna AWS IAM Identity Center-konsolen.

  2. I det vänstra navigeringsfönstret väljer du Användare.

  3. På sidan Användare väljer du Lägg till användare.

  4. Följ dessa steg på sidan Lägg till användare:

    a. I fältet Användarnamn anger du B.Simon.

    b. I fältet E-postadress anger du username@companydomain.extension. Exempel: B.Simon@contoso.com

    c. I fältet Bekräftad e-postadress anger du e-postadressen igen från föregående steg.

    d. I fältet Förnamn anger du Britta.

    e. I fältet Efternamn anger du Simon.

    f. I fältet Visningsnamn anger du B.Simon.

    g. Välj Nästa och sedan Nästa igen.

    Kommentar

    Kontrollera att användarnamnet och e-postadressen som anges i AWS IAM Identity Center matchar användarens Microsoft Entra-inloggningsnamn. På så sätt kan du undvika autentiseringsproblem.

  5. Välj Lägg till användare.

  6. Därefter tilldelar du användaren till ditt AWS-konto. Det gör du genom att välja AWS-konton i det vänstra navigeringsfönstret i AWS IAM Identity Center-konsolen.

  7. På sidan AWS-konton väljer du fliken AWS-organisation. Markera kryssrutan bredvid det AWS-konto som du vill tilldela användaren. Välj sedan Tilldela användare.

  8. På sidan Tilldela användare letar du upp och markerar kryssrutan bredvid användaren B.Simon. Välj sedan Nästa: Behörighetsuppsättningar.

  9. Under avsnittet Välj behörighetsuppsättningar markerar du kryssrutan bredvid den behörighetsuppsättning som du vill tilldela användaren B.Simon. Om du inte har någon befintlig behörighetsuppsättning väljer du Skapa ny behörighetsuppsättning.

    Kommentar

    Behörighetsuppsättningar definierar den åtkomstnivå som användare och grupper har till ett AWS-konto. Mer information om behörighetsuppsättningar finns på sidan AWS IAM Identity Center Multi Account Permissions (Flerkontobehörigheter för AWS IAM Identity Center).

  10. Välj Slutför.

Kommentar

AWS IAM Identity Center stöder även automatisk användaretablering. Mer information finns här om hur du konfigurerar automatisk användaretablering.

Testa enkel inloggning

I det här avsnittet testar du konfigurationen av enkel inloggning med Microsoft Entra med följande alternativ.

SP-initierad:

  • Klicka på Testa det här programmet. Detta omdirigeras till inloggnings-URL:en för AWS IAM IDENTITY Center där du kan initiera inloggningsflödet.

  • Gå till inloggnings-URL:en för AWS IAM Identity Center direkt och initiera inloggningsflödet därifrån.

IDP-initierad:

  • Klicka på Testa det här programmet så bör du automatiskt loggas in på AWS IAM Identity Center som du har konfigurerat enkel inloggning för.

Du kan också använda Microsoft Mina appar för att testa programmet i valfritt läge. När du klickar på panelen AWS IAM Identity Center i Mina appar omdirigeras du om du konfigureras i SP-läge till inloggningssidan för programmet för att initiera inloggningsflödet och om det konfigureras i IDP-läge bör du automatiskt loggas in på AWS IAM Identity Center som du har konfigurerat enkel inloggning för. Mer information om Mina appar finns i Introduktion till Mina appar.

Nästa steg

När du har konfigurerat AWS IAM Identity Center kan du framtvinga sessionskontroll, vilket skyddar exfiltrering och infiltration av organisationens känsliga data i realtid. Sessionskontrollen utökas från villkorlig åtkomst. Lär dig hur du framtvingar sessionskontroll med Microsoft Defender för molnet Apps.