Поделиться через

Интеграция единого входа Microsoft Entra с AWS для доступа к одной учетной записи

  • Статья

Из этой статьи вы узнаете, как интегрировать AWS Single-Account Access с идентификатором Microsoft Entra. При интеграции доступа к AWS с одной учетной записью с Microsoft Entra ID, вы можете:

  • Контролируйте в Microsoft Entra ID, кто имеет доступ к AWS с одной учетной записью.
  • Позвольте пользователям автоматически входить в Single-Account Access AWS с помощью их учетных записей Microsoft Entra.
  • Управляйте вашими учетными записями в одном центральном месте.

Используйте приведенные ниже сведения, чтобы принять решение об использовании приложений единого входа AWS и AWS Single-Account Access в коллекции приложений Microsoft Entra.

AWS Single Sign-On

Единый вход AWS был добавлен в коллекцию приложений Microsoft Entra в феврале 2021 года. Это упрощает централизованное управление доступом к нескольким учетным записям AWS и приложениям AWS с помощью идентификатора Microsoft Entra. Федерация Microsoft Entra ID с AWS SSO один раз, и используйте AWS SSO для управления разрешениями во всех ваших учетных записях AWS из одного места. AWS SSO автоматически подготавливает разрешения и сохраняет их в актуальном виде при обновлении политик и назначений доступа. Конечные пользователи могут аутентифицироваться с помощью учетных данных Microsoft Entra для доступа к консоли AWS, интерфейса командной строки и интегрированные приложения AWS SSO.

AWS Single-Account Access

Единый доступ к учетной записи AWS использовался клиентами на протяжении последних нескольких лет и позволяет интегрировать Microsoft Entra ID с одной учетной записью AWS, а также использовать Microsoft Entra ID для управления доступом к ролям AWS IAM. Администраторы AWS IAM определяют роли и политики в каждой учетной записи AWS. Для каждой учетной записи AWS администраторы Microsoft Entra настраивают федерацию с AWS IAM, назначают пользователей или группы на учетную запись и настраивают Microsoft Entra ID для отправки утверждений для авторизации доступа к ролям.

Функция AWS Single Sign-On AWS доступ с одной учетной записью
Условный доступ Поддерживает одну политику условного доступа для всех учетных записей AWS. Поддерживает одну политику условного доступа для всех учетных записей или пользовательских политик для каждой учетной записи.
Доступ к CLI Поддерживается Поддерживается
Управление привилегированными пользователями Поддерживается Не поддерживается
Централизованное управление учетными записями Централизованное управление учетными записями в AWS. Централизованное управление учетными записями в идентификаторе Microsoft Entra (скорее всего, потребуется корпоративное приложение Microsoft Entra для каждой учетной записи).
Сертификат SAML Единый сертификат Отдельные сертификаты для каждого приложения или учетной записи

Архитектура AWS Единого доступа к учётной записи

Снимок экрана, показывающий Microsoft Entra ID и взаимосвязь с AWS.

Вы можете настроить несколько идентификаторов для нескольких экземпляров. Например:

  • https://signin.aws.amazon.com/saml#1

  • https://signin.aws.amazon.com/saml#2

С этими значениями идентификатор Microsoft Entra удаляет значение #и отправляет правильное значение https://signin.aws.amazon.com/saml в качестве URL-адреса аудитории в токене SAML.

Мы рекомендуем именно этот подход по следующим причинам:

  • Каждое приложение предоставляет уникальный сертификат X509. Это значит, что у всех экземпляров приложения AWS разный срок действия сертификата, и ими можно управлять отдельно для каждой учетной записи AWS. В этом случае смена сертификатов происходит легче.

  • Вы можете включить автоматизацию создания пользователей в приложении AWS в Microsoft Entra ID, после чего наша служба извлечет все роли из этой учетной записи AWS. Не нужно вручную добавлять или обновлять роли AWS для приложения.

  • Вы можете назначить владельца приложения для каждого приложения. Этот пользователь может управлять приложением непосредственно в идентификаторе Microsoft Entra.

Примечание.

Убедитесь, что используется только приложение галереи.

Требования

Чтобы приступить к работе, потребуется следующее.

  • Подписка Microsoft Entra. Если у вас нет подписки, вы можете получить бесплатную учетную запись.
  • Подписка с поддержкой AWS IAM IdP.
  • Наряду с администратором облачных приложений, администратор приложений также может добавлять или управлять приложениями в Microsoft Entra ID. Дополнительные сведения см. в статье Встроенные роли Azure.

Примечание.

Роли не должны изменяться вручную в идентификаторе Microsoft Entra при импорте ролей.

Описание сценария

В этой статье описана настройка и проверка единого входа Microsoft Entra в тестовой среде.

  • AWS Single-Account Access поддерживает одноразовый вход, инициированный SP и IDP.

Примечание.

Идентификатор этого приложения — фиксированное строковое значение, поэтому в одном клиенте можно настроить только один экземпляр.

Чтобы настроить интеграцию AWS Single-Account Access с идентификатором Microsoft Entra ID, необходимо добавить AWS Single-Account Access из коллекции в список управляемых приложений SaaS.

  1. Войдите в Центр администрирования Microsoft Entra как минимум в роли Администратора облачных приложений.
  2. Перейдите к Идентификация>Приложения>Корпоративные приложения>Новое приложение.
  3. В разделе Добавление из коллекции в поле поиска введите AWS Single-Account Access.
  4. Выберите AWS Single-Account Access на панели результатов и добавьте это приложение. Подождите несколько секунд, пока приложение не будет добавлено в вашего арендатора.

Кроме того, можно также использовать мастер конфигурации корпоративных приложений. В этом мастере можно добавить приложение в тенант, добавить пользователей и группы в приложение, назначить роли и также выполнить настройку единого входа (SSO). Дополнительную информацию о мастерах Microsoft 365 можно найти здесь.

Настройка и проверка единого входа Microsoft Entra для доступа к одной учетной записи AWS

Настройте и протестируйте единый вход (SSO) Microsoft Entra с функцией доступа для одного аккаунта в AWS, используя тестового пользователя B.Simon. Для работы единого входа в систему необходимо установить связь между пользователем Microsoft Entra и соответствующим пользователем в AWS Single-Account Access.

Чтобы настроить и протестировать SSO Microsoft Entra с Single-Account Access AWS, выполните следующие действия.

  1. Настройте единый вход Microsoft Entra, чтобы пользователи могли использовать эту функцию.
    1. Создайте тестового пользователя Microsoft Entra для тестирования единого входа Microsoft Entra с помощью B.Simon.
    2. Назначьте тестового пользователя Microsoft Entra, чтобы Б.Саймон мог использовать функцию единого входа Microsoft Entra.
  2. Настройка AWS Single-Account Access SSO - для настройки параметров единого входа на стороне приложения.
    1. Создайте тестового пользователя AWS Single-Account Access, чтобы иметь аналог B.Simon в AWS Single-Account Access, связанного с представлением пользователя Microsoft Entra.
    2. Как настроить предоставление ролей в AWS Single-Account Access
  3. Проверка единого входа позволяет убедиться в правильности конфигурации.

Настройка SSO Microsoft Entra

Выполните следующие шаги, чтобы включить единую регистрацию Microsoft Entra.

  1. Войдите в Центр администрирования Microsoft Entra как минимум в роли Администратора облачных приложений.

  2. Перейдите к Идентичность>Приложения>Корпоративные приложения>AWS Single-Account Access>Единый вход.

  3. На странице Выбрать метод единого входа выберите SAML.

  4. На странице Настройка единого входа с помощью SAML щелкните значок карандаша, чтобы открыть диалоговое окно Базовая конфигурация SAML для изменения параметров.

    Снимок экрана: изменение базовой конфигурации SAML.

  5. В разделе Базовая конфигурация SAML укажите для параметров Идентификатор (идентификатор сущности) и URL-адрес ответа одно значение по умолчанию: https://signin.aws.amazon.com/saml. Чтобы сохранить изменения в конфигурации, нажмите Сохранить.

  6. Приложение AWS ожидает проверочные утверждения SAML в определенном формате, а значит вам нужно добавить настраиваемые сопоставления атрибутов в конфигурацию атрибутов токена SAML. На следующем снимке экрана показан список атрибутов по умолчанию.

    Снимок экрана: атрибуты по умолчанию.

  7. В дополнение к описанному выше приложение AWS ожидает несколько дополнительных атрибутов в ответе SAML, как показано ниже. Эти атрибуты также заранее заполнены, но вы можете изменить их в соответствии со своими требованиями.

    Имя. Атрибут источника Пространство имен
    RoleSessionName (ИмяСессииРоли) пользователь.userprincipalname https://aws.amazon.com/SAML/Attributes
    Роль user.assignedroles https://aws.amazon.com/SAML/Attributes
    Длительность сессии пользователь.продолжительностьсессии https://aws.amazon.com/SAML/Attributes

    Примечание.

    AWS ожидает предопределенные роли для пользователей, прикрепленных к приложению. Установите эти роли в службе Microsoft Entra ID, чтобы пользователям можно было назначить соответствующие роли. Сведения о настройке ролей в Microsoft Entra ID см. здесь.

  8. На странице Настройка единого входа с помощью SAML в диалоговом окне Сертификат SAML для подписи (шаг 3) выберите Добавить сертификат.

    Снимок экрана: создание сертификата SAML.

  9. Создайте новый сертификат SAML для подписи и выберите Создать сертификат. Введите адрес электронной почты для получения уведомлений о сертификатах.

    Снимок экрана: новый сертификат SAML.

  10. (Необязательно) Вы можете выбрать "Сделать сертификат активным".

  11. В разделе Сертификат SAML для подписи найдите XML метаданных федерации и выберите Скачать, чтобы скачать сертификат и сохранить его на компьютере.

  12. Требуемые URL-адреса можно скопировать из раздела Настройка AWS Single-Account Access.

    Снимок экрана, показывающий URL-адреса для конфигурации копирования.

Создание и назначение тестового пользователя Microsoft Entra

Следуйте инструкциям в руководстве по созданию и назначению учетной записи пользователя быстрого старта, чтобы создать тестовую учетную запись пользователя B.Simon.

Настройка SSO для доступа к единой учетной записи AWS

  1. В другом окне браузера войдите на корпоративный сайт AWS в качестве администратора.

  2. На домашней странице AWS найдите IAM и щелкните его.

    Снимок экрана страницы сервисов AWS, с выделением IAM.

  3. Перейдите к управлению доступом ->Поставщики удостоверений и нажмите Добавить поставщика кнопку.

    Скриншот страницы IAM с выделенными секциями

  4. На странице "Добавление поставщика удостоверений" выполните следующие действия.

    Снимок экрана: Настройка поставщика.

    a. Для типа поставщика выберите SAML.

    b. Для имени поставщика введите имя поставщика (например, WAAD).

    с. Чтобы отправить скачанный файл метаданных, выберите "Выбрать файл".

    d. Нажмите кнопку "Добавить поставщика".

  5. Выберите Роли>Создать роль.

    Снимок экрана: страница

  6. На странице Create role (Создание роли) выполните следующие действия.

    Снимок экрана: страница создания роли.

    a. Выберите тип доверенной сущности, выберите федерацию SAML 2.0.

    b. В разделе поставщика на основе SAML 2.0 выберите созданный ранее поставщик SAML (например, WAAD).

    с. Установите флажок Allow programmatic and AWS Management Console access (Разрешить программный доступ и доступ через консоль управления AWS).

    д. Выберите Далее.

  7. В диалоговом окне "Политики разрешений" вложите соответствующую политику для каждой организации. Затем выберите Далее.

    Снимок экрана: диалоговое окно

  8. В диалоговом окне Review (Обзор) сделайте следующее:

    Снимок экрана: диалоговое окно проверки.

    a. В поле Role name (Имя роли) введите имя роли.

    b. В поле "Описание" введите описание роли.

    с. Щелкните Create Role (Создать роль).

    d. Создайте столько ролей, сколько необходимо, и сопоставьте их с поставщиком удостоверений.

  9. Используйте учетные данные учётной записи сервисной службы AWS для получения ролей из учетной записи AWS в управлении доступом пользователей Microsoft Entra. Для этого откройте главную страницу консоли AWS.

  10. В разделе IAM выберите "Политики " и нажмите кнопку "Создать политику".

    Снимок экрана раздела IAM с выделенными политиками.

  11. Создайте собственную политику для получения всех ролей из учетных записей AWS.

    Снимок экрана страницы

    a. В разделе Create policy (Создание политики) щелкните вкладку JSON.

    b. Добавьте приведенный ниже код JSON в документ политики.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
            "iam:ListRoles"
            ],
            "Resource": "*"
        }
    ]
}

    c. Нажмите Далее: теги.

  12. Вы также можете добавить необходимые теги на следующей странице и нажать кнопку "Далее: Проверить".

    Снимок экрана: страница

  13. Определите новую политику.

    Снимок экрана: страница

    a. В поле Name (Имя) введите AzureAD_SSOUserRole_Policy.

    b. В поле Description (Описание) введите текст: Эта политика позволит получать роли из учетных записей AWS.

    с. ВыберитеCreate policy (Создать политику).

  14. Создайте учетную запись пользователя в службе IAM AWS.

    a. В консоли AWS IAM выберите "Пользователи" и нажмите кнопку "Добавить пользователей".

    Снимок экрана: консоль AWS IAM с выделенным элементом

    b. В разделе "Указание сведений о пользователе" введите имя пользователя в качестве AzureADRoleManager и нажмите кнопку "Далее".

    Снимок экрана страницы «Добавить пользователя» с выделенным именем пользователя и типом доступа.

    c. Создайте политику для этого пользователя.

    Снимок экрана: страница Add user (Добавление пользователя), где можно создать политику для пользователя.

    d. Щелкните Attach existing policies directly (Подключить существующие политики напрямую).

    д) Выполните поиск только что созданной политики в разделе фильтра AzureAD_SSOUserRole_Policy.

    ф. Выберите политику и нажмите кнопку "Далее".

  15. Просмотрите выбранные варианты и нажмите кнопку "Создать пользователя".

Примечание. Убедитесь, что необходимо создать и скачать сторонний ключ доступа для этого пользователя. Этот ключ будет использоваться в разделе подготовки пользователей Microsoft Entra для получения ролей из консоли AWS.

  1. Чтобы скачать учетные данные пользователя, включите доступ к консоли на вкладке "Учетные данные безопасности".

    Снимок экрана: учетные данные безопасности.

  2. Введите эти учетные данные в раздел пользовательского управления Microsoft Entra, чтобы получить роли из консоли AWS.

    Снимок экрана: скачивание учетных данных пользователя.

Примечание.

AWS имеет набор разрешений/ограничений, необходимых для настройки AWS SSO. Дополнительные сведения об ограничениях AWS см. на этой странице.

Настройка предоставления ролей в доступе к AWS с одной учетной записью

  1. На портале управления Microsoft Entra в приложении AWS перейдите к управлению ресурсами.

    Снимок экрана приложения AWS с выделенным разделом

Примечание: Имя пользователя и пароль, возвращаемые при включении доступа к консоли, не подходят для значений секрет клиента и токен. Вместо этого создайте сторонний ключ доступа для этого шага.

  1. Введите ключ доступа и секрет в поля clientsecret и Секретный токен соответственно.

    Снимок экрана: диалоговое окно

    a. Введите ключ доступа пользователя AWS в поле Секрет клиента.

    b. Введите секрет пользователя AWS в поле Секретный токен.

    с. Выберите Проверить подключение.

    d. Сохраните параметры, щелкнув Сохранить.

  2. В разделе Параметры выберите для параметра Состояние подготовки значение Вкл. Затем выберите Сохранить.

    Снимок экрана: раздел

Примечание.

Служба предоставления импортирует роли только из AWS в Microsoft Entra ID. Служба не передает пользователей и группы из Microsoft Entra ID в AWS.

Примечание.

После подготовки учетных данных необходимо дождаться запуска цикла начальной синхронизации. Выполнение синхронизации обычно занимает около 40 минут. Состояние отображается в нижней части страницы Подготовка в разделе Текущее состояние.

Создание тестового пользователя AWS Single-Account Access

Цель этого раздела — создать пользователя с именем B.Simon в AWS Single-Account Access. Доступ AWS для одной учетной записи не требует создания пользователя в системе для единого входа, поэтому здесь не нужно выполнять никаких действий.

Проверка единого входа

В этом разделе вы можете протестировать конфигурацию единого входа Microsoft Entra, используя следующие параметры.

Инициировано поставщиком услуг:

  • Щелкните "Test this application", вы будете перенаправлены по URL-адресу единого входа в AWS, где вы можете начать процесс входа.

  • Перейдите по URL-адресу для единого входа в AWS Single-Account Access и начните процесс входа.

Инициировано поставщиком удостоверений личности

  • Щелкните «Протестировать это приложение», и вы автоматически войдете в AWS Single-Account Access, для которого настроили SSO.

Вы можете также использовать портал "Мои приложения" корпорации Майкрософт для тестирования приложения в любом режиме. Щелкнув на плитке AWS Single-Account Access на портале "Мои приложения", если настроено в режиме поставщика услуг, вы будете перенаправлены на страницу входа для запуска процесса авторизации. Если настроено в режиме провайдера удостоверений, вы автоматически войдете в AWS Single-Account Access, для которого настроена единая авторизация. Дополнительные сведения о портале "Мои приложения" см. в этой статье.

Известные проблемы

  • Интеграция предоставления доступа для одной учетной записи AWS не может использоваться в регионах AWS в Китае.

  • В разделе Подготовка в подразделе Сопоставление отображается сообщение "Идет загрузка...", но никогда не отображаются сопоставления атрибутов. Единственный рабочий процесс подготовки, поддерживаемый сегодня, — импорт ролей из AWS в идентификатор Microsoft Entra для выбора во время назначения пользователя или группы. Сопоставления атрибутов для этого определены заранее и не настраиваются.

  • Раздел Подготовка поддерживает ввод только одного набора учетных данных для одного клиента AWS за раз. Все импортированные роли записываются в свойство объекта Microsoft Entra ID для клиента AWS.

    Несколько арендаторов AWS (представленных servicePrincipals) можно добавить в Microsoft Entra ID из галереи для управления доступом. Существует известная проблема, из-за которой не удается автоматически записывать все импортированные роли из нескольких AWS servicePrincipals, используемых для предоставления ресурсов, в единую servicePrincipal, используемую для единого входа.

    В качестве решения можно использовать Microsoft Graph API для извлечения всех appRoles, импортируемых в каждый AWS servicePrincipal, где настроено провизирование. Позже вы сможете добавить эти строки идентификаторов ролей в servicePrincipal AWS, где настроен единый вход.

  • Роли должны соответствовать следующим требованиям, чтобы быть пригодными для импорта из AWS в Microsoft Entra ID.

    • Роли должны содержать ровно одного поставщика SAML, определенного в AWS.
    • Общая длина ARN (Имя ресурса Amazon) для роли и связанного с ней поставщика SAML должна быть менее 240 символов.

Журнал изменений

  • 12.01.2020: увеличена максимальная длина имени роли с 119 символов до 239 символов.

Связанный контент

После настройки AWS Single-Account Access вы сможете применить функцию управления сеансами, которая в реальном времени защищает конфиденциальные данные вашей организации от хищения и несанкционированного доступа. Управление сеансом является расширением функции условного доступа. Узнайте, как применять управление сеансами с помощью приложений Defender для облака.