Kurz: Azure Active Directory integrace s Amazon Web Services

V tomto kurzu se naučíte integrovat službu Azure Active Directory (Azure AD) s Amazon Web Services (AWS) (starší kurz).

Tato integrace poskytuje následující výhody:

  • V Azure AD můžete řídit, kdo má přístup k AWS.
  • Uživatelům můžete povolit, aby se k AWS automaticky přihlašují pomocí jednotného přihlašování (SSO) se svými účty Azure AD.
  • Účty můžete spravovat v jednom centrálním umístění, například Azure Portal.

Diagram integrace Azure AD s AWS

Poznámka

Doporučujeme nepřipojovat jednu aplikaci AWS ke všem účtům AWS. Místo toho doporučujeme použít integraci jednotného přihlašování Azure AD s AWS ke konfiguraci několika instancí účtu AWS pro více instancí aplikací AWS v Azure AD.

Doporučujeme nepřipojovat jednu aplikaci AWS ke všem účtům AWS z následujících důvodů:

  • Tento přístup použijte pouze v případě, že máte malý počet účtů a rolí AWS, protože tento model není škálovatelný, protože se zvyšuje počet účtů AWS a rolí v nich. Tento přístup při zřizování uživatelů Azure AD nepodporuje funkci importu rolí AWS, takže musíte role přidat, aktualizovat nebo odstranit ručně.

  • K opravení všech rolí do aplikace musíte použít přístup Microsoft Graph Explorer. Nedoporučujeme používat přístup k souboru manifestu.

  • Zákazníci hlásí, že po přidání ~1 200 rolí aplikace pro jednu aplikaci AWS začne jakákoli další operace v aplikaci generovat chyby související s velikostí. Pro objekt aplikace existuje omezení pevné velikosti.

  • Role musíte ručně aktualizovat tak, jak se přidávají do libovolného z účtů. Toto je bohužel metoda nahrazení, nikoli metoda připojení. Pokud se čísla vašich účtů rozrůstají, stane se z toho n n vztahů s účty a × rolemi.

  • Všechny účty AWS používají stejný soubor XML federačních metadat. Při přechodu certifikátu může být aktualizace certifikátu ve všech účtech AWS současně obrovským cvičením.

Požadavky

Ke konfiguraci integrace Azure AD s AWS potřebujete následující položky:

  • Předplatné Azure AD. Pokud nemáte předplatné Azure AD, můžete získat zkušební verzi na jeden měsíc.
  • Předplatné s podporou jednotného přihlašování AWS.

Poznámka

Nedoporučujeme testovat kroky v tomto kurzu v produkčním prostředí, pokud to není nezbytné.

Popis scénáře

V tomto kurzu nakonfigurujete a otestujete jednotné přihlašování Azure AD v testovacím prostředí.

AWS podporuje jednotné přihlašování iniciované IN ADP a IDP.

Pokud chcete nakonfigurovat integraci AWS do Azure AD, přidejte AWS z galerie do seznamu spravovaných aplikací SaaS (software jako služba).

  1. Přihlaste se k Azure Portal pomocí pracovního nebo školního účtu nebo osobního účet Microsoft.

  2. V levém podokně vyberte službu Azure AD, se kterou chcete pracovat.

  3. Přejděte na Enterprise Aplikace a pak vyberte Všechny aplikace.

  4. Pokud chcete přidat aplikaci, vyberte Nová aplikace.

  5. V části Přidat z galerie zadejte Amazon Web Services do vyhledávacího pole.

  6. V seznamu výsledků vyberte Amazon Web Services a pak přidejte aplikaci. Během několika sekund se aplikace přidá do vašeho tenanta.

  7. Přejděte do podokna Vlastnosti a zkopírujte hodnotu zobrazenou v poli ID objektu.

    Snímek obrazovky s polem ID objektu v podokně Vlastnosti

Konfigurace a testování jednotného přihlašování k Azure AD

V této části nakonfigurujete a otestujete jednotné přihlašování Azure AD s AWS na základě testovacího uživatele Britta Simon.

Aby jednotné přihlašování fungovalo, potřebuje Azure AD vědět, co je uživatel protějšku v AWS uživateli Azure AD. Jinými slovy je potřeba navázat relaci propojení mezi uživatelem Azure AD a stejným uživatelem v AWS.

V AWS přiřaďte hodnotu uživatelského jména v Azure AD jako hodnotu uživatelského jména AWS, abyste navázání relace propojení.

Pokud chcete nakonfigurovat a otestovat jednotné přihlašování Azure AD pomocí AWS, proveďte následující:

  1. Nakonfigurujte jednotné přihlašování Azure AD, aby uživatelé tuto funkci používat.
  2. Nakonfigurujte jednotné přihlašování AWS ke konfiguraci nastavení jednotného přihlašování na straně aplikace.
  3. Otestujte jednotné přihlašování a ověřte, že konfigurace funguje.

Konfigurace jednotného přihlašování v Azure AD

V této části povolíte jednotné přihlašování Azure AD v Azure Portal a nakonfigurujete jednotné přihlašování v aplikaci AWS následujícím způsobem:

  1. V Azure Portal podokně integrace aplikace Amazon Web Services (AWS) vyberte Jednotné přihlašování.

    Snímek obrazovky s příkazem Jednotné přihlašování

  2. V podokně Vybrat metodu jednotného přihlašování vyberte režim SAML/WS-Fed a povolte jednotné přihlašování.

    Snímek obrazovky s podoknem Vybrat metodu jednotného přihlašování

  3. V podokně Sign-On s SAML vyberte tlačítko Upravit (ikona tužky).

    Snímek obrazovky s tlačítkem Upravit v podokně Sign-On s SAML

  4. Otevře se podokno Základní konfigurace SAML. Tuto část přeskočte, protože aplikace je předemintegrovaná s Azure. Vyberte Uložit.

    Aplikace AWS očekává kontrolní výrazy SAML v určitém formátu. Hodnoty těchto atributů můžete spravovat v části Atributy uživatele & deklarace identity na stránce Integrace aplikace.

  5. Na stránce Set up Single Sign-On with SAML vyberte tlačítko Edit (Upravit).

    Snímek obrazovky s tlačítkem Upravit v podokně Atributy uživatele

  6. V části Deklarace identity uživatelů podokna Atributy uživatele nakonfigurujte atribut tokenu SAML pomocí hodnot v následující tabulce:

    Název Zdrojový atribut Obor názvů
    RoleSessionName user.userprincipalname https://aws.amazon.com/SAML/Attributes
    Role user.assignedroles https://aws.amazon.com/SAML/Attributes
    SessionDuration (Trvání relace) Zadejte hodnotu od 900 sekund (15 minut) do 4 3200 sekund (12 hodin). https://aws.amazon.com/SAML/Attributes

    a. Vyberte Přidat novou deklaraci identity a pak v podokně Spravovat deklarace identity uživatelů proveďte následující akce:

    Snímek obrazovky s tlačítky Přidat novou deklaraci identity a Uložit v podokně Deklarace identity uživatele

    Snímek obrazovky s podoknem Spravovat deklarace identity uživatelů

    b. Do pole Název zadejte název atributu.

    c. Do pole Obor názvů zadejte hodnotu oboru názvů.

    d. V seznamu Zdroj vyberte Atribut.

    e. V rozevíracím seznamu Source attribute (Zdrojový atribut) vyberte atribut .

    f. Vyberte OK a pak vyberte Uložit.

    Poznámka

    Další informace o rolích v Azure AD najdete v tématu Přidání aplikačních rolí do aplikace a jejich přijetí v tokenu.

  7. Na stránce Set up Single Sign-On with SAML (Nastavení jednotného přihlašování pomocí SAML) v části Saml Signing Certificate (Podpisový certifikát SAML) vyberte Download (Stáhnout), stáhněte si soubor XML federačních metadat a uložte ho do počítače.

    Snímek obrazovky s odkazem pro stažení "Federation Metadata XML" v podokně Podpisový certifikát SAML

Konfigurace jednotného přihlašování AWS

  1. V novém okně prohlížeče se přihlaste k webu společnosti AWS jako správce.

  2. Vyberte ikonu Domovská stránka AWS.

    Snímek obrazovky s ikonou AWS Home

  3. V podokně služby AWS v části Zabezpečení, Dodržování předpisů & identity vyberte IAM (Identity & Access Management).

    Snímek obrazovky s odkazem Správa identit a přístupu v podokně Služby AWS

  4. V levém podokně vyberte Zprostředkovatelé identity a pak vyberte vytvořit poskytovatele.

    Snímek obrazovky s tlačítkem vytvořit poskytovatele

  5. V podokně Konfigurovat poskytovatele udělejte toto:

    Snímek obrazovky s podoknem konfigurovat zprostředkovatele

    a. V rozevíracím seznamu Typ poskytovatele vyberte SAML.

    b. Do pole název zprostředkovatele zadejte název zprostředkovatele (například. WAAD).

    c. Vedle pole dokument metadat vyberte zvolit soubor a odešlete stažený soubor XML federačních metadat do Azure Portal.

    d. Vyberte Další krok.

  6. V podokně ověřit informace o poskytovateli vyberte vytvořit.

    Snímek obrazovky s podoknem ověřit informace o poskytovateli

  7. V levém podokně vyberte role a pak vyberte vytvořit roli.

    Snímek obrazovky s tlačítkem vytvořit roli v podokně role

    Poznámka

    Kombinovaná délka názvu role Amazon Resource Name (ARN) a poskytovatele SAML ARN pro importované role musí mít 240 nebo méně znaků.

  8. Na stránce vytvořit roli udělejte toto:

    Snímek obrazovky s tlačítkem "Důvěryhodná entita" SAML 2,0 "na stránce" vytvořit roli ".

    a. V části Vybrat typ důvěryhodné entity vyberte možnost federace SAML 2,0.

    b. V části zvolte poskytovatele saml 2,0 vyberte poskytovatele SAML, kterého jste předtím vytvořili (například WAAD).

    c. Zaškrtněte políčko povolí přístup k programovým a AWS Management Console.

    d. Vyberte Další: Oprávnění.

  9. Do vyhledávacího pole zadejte oprávnění správce, zaškrtněte políčko AdministratorAccess a potom vyberte Další: značky.

    Snímek obrazovky se seznamem název zásad se zvolenými zásadami AdministratorAccess.

  10. V podokně Přidat značky (volitelné) udělejte toto:

    Snímek obrazovky s podoknem přidat značky (volitelné)

    a. Do pole klíč zadejte název klíče (například Azureadtest).

    b. Do pole hodnota (volitelné) zadejte hodnotu klíče v následujícím formátu: <accountname-aws-admin> . Název účtu musí být malými písmeny.

    c. Vyberte Další: Kontrola.

  11. V podokně Kontrola udělejte toto:

    Snímek obrazovky s podoknem revize s zvýrazněnými rámečky "název role" a "Popis role".

    a. Do pole název role zadejte hodnotu v následujícím formátu: <accountname-aws-admin> .

    b. V poli Popis role zadejte hodnotu, kterou jste použili pro název role.

    c. Vyberte vytvořit roli.

    d. Vytvořte tolik rolí, kolik potřebujete, a namapujte je na zprostředkovatele identity.

    Poznámka

    Podobně můžete vytvořit další role, jako je například account-finance-admin, account--Only-User, account-DevOps-User nebo account-TPM-User-User, Each s připojenou jinou zásadou. Tyto zásady rolí můžete později změnit podle požadavků pro každý účet AWS. Je vhodné zachovat stejné zásady pro každou roli v rámci účtů AWS.

  12. Nezapomeňte si poznamenat ID účtu účtu AWS buď z podokna vlastností cloudu Amazon elastického cloudu (Amazon EC2), nebo pomocí řídicího panelu IAM, jak je znázorněno na následujícím snímku obrazovky:

    Snímek obrazovky zobrazující, kde se ID účtu zobrazuje v podokně Správa identit a přístupu

  13. Přihlaste se k Azure Portal a pak přejít do skupin.

  14. Vytvořte nové skupiny se stejným názvem, jako má role IAM, které jste vytvořili dříve, a pak si poznamenejte hodnotu v poli ID objektu u každé z těchto nových skupin.

    Snímek obrazovky s podrobnostmi o účtu pro novou skupinu

  15. Odhlaste se z aktuálního účtu AWS a pak se přihlaste k jinému účtu, ve kterém chcete nakonfigurovat jednotné přihlašování pomocí Azure AD.

  16. Po vytvoření všech rolí v účtech se zobrazí v seznamu rolí pro tyto účty.

    Snímek obrazovky se seznamem rolí zobrazující název, popis a důvěryhodné entity jednotlivých rolí

Dál potřebujete zachytit všechny role ARNs a důvěryhodné entity pro všechny role napříč všemi účty. Budete je muset namapovat ručně pomocí aplikace Azure AD. Postupujte následovně:

  1. Vyberte jednotlivé role pro zkopírování jejích rolí ARN a hodnot důvěryhodných entit. Budete je potřebovat pro všechny role, které vytvoříte ve službě Azure AD.

    Snímek obrazovky podokna souhrn pro role ARNs a důvěryhodné entity

  2. Předchozí krok opakujte pro všechny role ve všech účtech a pak je uložte do textového souboru v následujícím formátu: <Role ARN>,<Trusted entities> .

  3. otevřete aplikaci Microsoft Graph Explorera proveďte následující kroky:

    a. přihlaste se k webu průzkumníka Microsoft Graph pomocí přihlašovacích údajů globálního správce nebo spolusprávce pro vašeho tenanta.

    b. K vytvoření rolí potřebujete dostatečná oprávnění. Vyberte Upravit oprávnění.

    snímek obrazovky s odkazem změnit oprávnění v podokně ověřování v průzkumníkovi Microsoft Graph.

    c. Pokud ještě nemáte oprávnění, která jsou zobrazena na následujícím snímku obrazovky, vyberte v seznamu oprávnění možnost Upravit oprávnění.

    snímek obrazovky seznamu oprávnění průzkumníka Microsoft Graph se zvýrazněnými příslušnými oprávněními

    d. přihlaste se znovu k aplikaci Graph Explorer a přijměte podmínky použití webu.

    e. V horní části podokna vyberte získat pro metodu, pro verzi vyberte beta a potom do pole dotaz zadejte jednu z následujících možností:

    • K načtení všech instančních objektů z vašeho tenanta použijte https://graph.microsoft.com/beta/servicePrincipals .
    • Pokud používáte více adresářů, použijte https://graph.microsoft.com/beta/contoso.com/servicePrincipals , který obsahuje vaši primární doménu.

    snímek obrazovky s podoknem dotaz "text žádosti v průzkumníkovi Microsoft Graph.

    f. V seznamu instančních objektů získáte tu, kterou potřebujete upravit.

    Můžete také vyhledat aplikaci pro všechny uvedené objekty služby výběrem kombinace kláves CTRL + F. Pokud chcete získat konkrétní instanční objekt, zahrňte do dotazu ID objektu zabezpečení služby, které jste zkopírovali dříve v podokně vlastností Azure AD, jak je znázorněno zde:

    https://graph.microsoft.com/beta/servicePrincipals/<objectID>.

    Snímek obrazovky znázorňující dotaz objektu služby, který obsahuje ID objektu.

    například Rozbalte vlastnost appRoles z instančního objektu služby.

    Snímek obrazovky kódu pro extrakci vlastnosti appRoles z instančního objektu služby

    h. Nyní musíte pro svou aplikaci vygenerovat nové role.

    i. Následující kód JSON je příkladem objektu appRoles. Vytvořte podobný objekt pro přidání rolí, které chcete pro vaši aplikaci.

    {
    "appRoles": [
        {
            "allowedMemberTypes": [
                "User"
            ],
            "description": "msiam_access",
            "displayName": "msiam_access",
            "id": "7dfd756e-8c27-4472-b2b7-38c17fc5de5e",
            "isEnabled": true,
            "origin": "Application",
            "value": null
        },
        {
            "allowedMemberTypes": [
                "User"
            ],
            "description": "Admin,WAAD",
            "displayName": "Admin,WAAD",
            "id": "4aacf5a4-f38b-4861-b909-bae023e88dde",
            "isEnabled": true,
            "origin": "ServicePrincipal",
            "value": "arn:aws:iam::12345:role/Admin,arn:aws:iam::12345:saml-provider/WAAD"
        },
        {
            "allowedMemberTypes": [
                "User"
            ],
            "description": "Auditors,WAAD",
            "displayName": "Auditors,WAAD",
            "id": "bcad6926-67ec-445a-80f8-578032504c09",
            "isEnabled": true,
            "origin": "ServicePrincipal",
            "value": "arn:aws:iam::12345:role/Auditors,arn:aws:iam::12345:saml-provider/WAAD"
        }    ]
    }
    

    Poznámka

    Nové role můžete přidat až po přidání msiam_access pro operaci patch. V závislosti na potřebách vaší organizace můžete také přidat tolik rolí, kolik chcete. Azure AD odesílá hodnoty těchto rolí jako hodnotu deklarace v odpovědi SAML.

    j. V Microsoft Graph Exploreru změňte metodu z GET na PATCH. Opravte instanční objekt s rolemi, které chcete, aktualizací vlastnosti appRoles, jak je znázorněno v předchozím příkladu. Vyberte Spustit dotaz a spusťte operaci opravy. Zpráva o úspěšném vytvoření role pro aplikaci AWS.

    Snímek obrazovky podokna Microsoft Graph Explorer s metodou změněnou na PATCH

  4. Po opravách objektu služby s více rolemi můžete přiřadit uživatele a skupiny k jejich příslušným rolím. To můžete udělat v Azure Portal tak, že se v horní části otevře aplikace AWS a pak vyberete kartu Uživatelé a skupiny.

  5. Doporučujeme vytvořit novou skupinu pro každou roli AWS, abyste mohli přiřadit tuto konkrétní roli ve skupině. Toto mapování 1:1 znamená, že jedna skupina je přiřazená k jedné roli. Potom můžete přidat členy, kteří patří do této skupiny.

  6. Po vytvoření skupin tuto skupinu vyberte a přiřaďte ji k aplikaci.

    Snímek obrazovky s podoknem Uživatelé a skupiny

    Poznámka

    Vnořené skupiny nejsou podporované při přiřazování skupin.

  7. Pokud chcete této skupině přiřadit roli, vyberte ji a pak vyberte Přiřadit.

    Snímek obrazovky s podoknem Přidat přiřazení

    Poznámka

    Po přiřazení rolí je můžete zobrazit aktualizací vaší Azure Portal relace.

Test jednotného přihlašování

V této části otestujte konfiguraci jednotného přihlašování Azure AD pomocí služby Microsoft Moje aplikace.

Když vyberete dlaždici AWS v Moje aplikace, otevře se stránka aplikace AWS s možností výběru role.

Snímek obrazovky se stránkou AWS pro testování jednotného přihlašování

Můžete také ověřit odpověď SAML a zobrazit role předáované jako deklarace identity.

Snímek obrazovky s odpovědí SAML

Další informace o Moje aplikace najdete v tématu Přihlášení a spuštění aplikací z Moje aplikace Portal.

Další kroky

Po konfiguraci AWS můžete vynutit řízení relací, které chrání exfiltraci a infiltraci citlivých dat vaší organizace v reálném čase. Řízení relace rozšiřuje možnosti podmíněného přístupu. Další informace najdete v tématu Naučte se vynucovat řízení relací pomocí Microsoft Defenderu for Cloud Apps.