Tutorial: Integrasi Microsoft Azure Active Directory dengan AWS

Dalam tutorial ini, Anda mempelajari cara mengintegrasikan Microsoft Azure Active Directory (Microsoft Azure AD) dengan Amazon Web Services (AWS) (tutorial lama).

Integrasi ini memberi Anda manfaat berikut:

  • Anda dapat mengontrol di Microsoft Azure AD siapa yang memiliki akses ke AWS.
  • Anda dapat mengaktifkan pengguna anda untuk masuk secara otomatis ke AWS dengan menggunakan akses menyeluruh (SSO) dengan akun Microsoft Azure AD mereka.
  • Anda dapat mengelola akun Anda di satu lokasi terpusat - portal Microsoft Azure.

Diagram integrasi Microsoft Azure AD dengan AWS.

Catatan

Kami menyarankan agar Anda tidak menghubungkan satu aplikasi AWS ke semua akun AWS Anda. Alih-alih, kami menyarankan agar Anda menggunakan integrasi SSO Microsoft Azure AD dengan AWS untuk mengonfigurasi beberapa instans akun AWS Anda ke beberapa instans aplikasi AWS di Microsoft Azure AD.

Kami menyarankan agar Anda tidak menghubungkan satu aplikasi AWS ke semua akun AWS Anda, karena alasan berikut:

  • Gunakan pendekatan ini hanya jika Anda memiliki sejumlah kecil akun dan peran AWS, karena model ini tidak dapat diskalakan dengan bertambahnya jumlah akun AWS dan peran di dalamnya. Pendekatan ini tidak menggunakan fungsionalitas impor-peran AWS dengan provisi pengguna Microsoft Azure AD, sehingga Anda harus menambahkan, memperbarui, atau menghapus peran secara manual.

  • Anda harus menggunakan pendekatan Microsoft Graph Explorer untuk mem-patching semua peran ke aplikasi. Kami tidak merekomendasikan penggunaan pendekatan file manifes.

  • Pelanggan melaporkan bahwa setelah mereka menambahkan ~1.200 peran aplikasi untuk satu aplikasi AWS, operasi lebih lanjut pada aplikasi mulai melemparkan kesalahan yang terkait dengan ukuran. Ada batas ukuran keras untuk objek aplikasi.

  • Anda harus memperbarui peran secara manual saat ditambahkan di salah satu akun. Sayangnya ini adalah pendekatan ganti, bukan pendekatan tambah. Selain itu, jika jumlah akun Anda bertambah, ini menjadi hubungan n × n dengan akun dan peran.

  • Semua akun AWS menggunakan file XML metadata federasi yang sama. Pada saat rollover sertifikat, memperbarui sertifikat di semua akun AWS pada saat yang sama dapat menjadi upaya besar-besaran.

Prasyarat

Untuk mengonfigurasi integrasi Microsoft Azure AD dengan AWS, Anda memerlukan item berikut:

  • Langganan Microsoft Azure AD. Jika Anda tidak memiliki langganan Microsoft Azure AD, Anda bisa mendapatkan uji coba satu bulan.
  • Langganan AWS yang diaktifkan SSO.

Catatan

Kami tidak menyarankan Anda menguji langkah-langkah dalam tutorial ini di lingkungan produksi, kecuali diperlukan.

Deskripsi skenario

Dalam tutorial ini, Anda mengonfigurasi dan menguji akses menyeluruh Azure Active Directory dalam lingkungan pengujian.

AWS mendukung SSO yang diinisiasi-SP dan yang diinisiasi-IDP.

Untuk mengonfigurasi integrasi AWS ke Microsoft Azure AD, Anda menambahkan AWS dari galeri ke daftar layanan perangkat lunak sebagai aplikasi (SaaS) terkelola.

  1. Masuk ke portal Microsoft Azure dengan menggunakan akun kerja atau sekolah, atau akun Microsoft pribadi.

  2. Pada panel kiri, pilih layanan Microsoft Azure AD yang ingin Anda kerjakan.

  3. Buka Aplikasi Perusahaan, lalu pilih Semua Aplikasi.

  4. Untuk menambah aplikasi baru, pilih Aplikasi baru.

  5. Di bagian Tambahkan dari galeri, ketik AWS di kotak pencarian.

  6. Dalam daftar hasil, pilih AWS, lalu tambahkan aplikasi. Tunggu beberapa detik, sementara aplikasi ditambahkan ke penyewa Anda.

  7. Buka panel Properti, lalu salin nilai yang ditampilkan di kotak ID Objek.

    Cuplikan layar kotak ID Objek pada panel Properti.

Mengonfigurasi dan menguji SSO MIcrosoft Azure Active Directory

Di bagian ini, Anda mengonfigurasi dan menguji akses menyeluruh Microsoft Azure AD dengan AWS berdasarkan pengguna uji bernama "Britta Simon."

Agar akses menyeluruh berfungsi, Microsoft Azure AD perlu mengetahui apa kaitan rekan pengguna di AWS dengan pengguna Microsoft Azure AD. Dengan kata lain, hubungan tautan antara pengguna Microsoft Azure AD dan pengguna yang sama di AWS perlu dibuat.

Di AWS, tetapkan nilai nama pengguna di Microsoft Azure AD sebagai nilai Nama Pengguna AWS untuk menetapkan hubungan tautan.

Untuk mengonfigurasi dan menguji akses menyeluruh Microsoft Azure AD dengan AWS, lakukan hal berikut:

  1. Konfigurasikan SSO Microsoft Azure AD untuk mengaktifkan pengguna Anda untuk menggunakan fitur ini.
  2. Konfigurasikan SSO AWS untuk mengonfigurasi pengaturan SSO di sisi aplikasi.
  3. Uji SSO - untuk memverifikasi apakah konfigurasi berfungsi.

Mengonfigurasi SSO Microsoft Azure AD

Di bagian ini, Anda mengaktifkan SSO Microsoft Azure AD di portal Microsoft Azure dan mengonfigurasi SSO di aplikasi AWS Anda dengan melakukan hal berikut:

  1. Di portal Microsoft Azure, pada panel kiri halaman integrasi aplikasi Amazon Web Services (AWS) , pilih Akses menyeluruh.

    Cuplikan layar perintah "Akses menyeluruh".

  2. Pada panel Pilih metode akses menyeluruh, pilih mode SAML/WS-Fed untuk mengaktifkan akses menyeluruh.

    Cuplikan layar panel "Pilih metode akses menyeluruh".

  3. Pada panel Siapkan Single Sign-On dengan SAML, pilih tombol Edit (ikon pensil).

    Cuplikan layar tombol Edit pada panel "Siapkan Akses Menyeluruh dengan SAML".

  4. Panel Konfigurasi SAML Dasar terbuka. Lewati bagian ini, karena aplikasi telah diintegrasikan dengan Azure. Pilih Simpan.

    Aplikasi AWS mengharapkan pernyataan SAML dalam format tertentu. Anda dapat mengelola nilai atribut ini dari bagian Atribut & Klaim Pengguna di halaman Integrasi aplikasi.

  5. Pada panel Siapkan Akses Menyeluruh dengan SAML, pilih tombol Edit.

    Cuplikan layar tombol Edit pada panel "Atribut Pengguna".

  6. Di bagian Klaim Pengguna dari panel Atribut Pengguna, konfigurasikan atribut token SAML dengan menggunakan nilai dalam tabel berikut:

    Nama Atribut sumber Ruang nama
    NamaSesiPeran pengguna.namautamapengguna https://aws.amazon.com/SAML/Attributes
    Peran user.assignedroles https://aws.amazon.com/SAML/Attributes
    DurasiSesi "berikan nilai dari 900 detik (15 menit) hingga 43.200 detik (12 jam)" https://aws.amazon.com/SAML/Attributes

    a. Pilih Tambahkan klaim baru lalu, pada panel Kelola klaim pengguna, lakukan hal berikut:

    Cuplikan layar tombol "Tambahkan klaim baru" dan "Simpan" pada panel "Klaim pengguna".

    Cuplikan layar panel "Kelola klaim pengguna".

    b. Di kotak Nama, masukkan nama atribut.

    c. Di kotak Ruangnama, masukkan nilai ruang nama.

    d. Untuk Sumber, pilih Atribut.

    e. Dalam daftar tarik-turun Atribut sumber, pilih atribut.

    f. Pilih Ok, lalu pilih Simpan.

    Catatan

    Untuk informasi selengkapnya tentang peran di Microsoft Azure AD , lihat Menambahkan peran aplikasi ke aplikasi Anda dan menerimanya di token.

  7. Di halaman Siapkan Akses Menyeluruh dengan SAML, di bagian Sertifikat Penandatanganan SAML, pilih Unduh untuk mengunduh file XML metadata federasi dan menyimpannya di komputer Anda.

    Cuplikan layar tautan unduhan "XML Metadata Federasi" pada panel "Sertifikat Penandatanganan SAML".

Mengonfigurasi SSO AWS

  1. Di jendela browser baru, masuk ke situs perusahaan AWS Anda sebagai administrator.

  2. Pilih ikon Beranda AWS.

    Cuplikan layar ikon "Beranda AWS".

  3. Pada panel Layanan AWS, pada Keamanan, Identitas & Kepatuhan, pilih IAM (Manajemen Identitas & Akses) .

    Cuplikan layar tautan "Manajemen Identitas dan Akses" pada panel "Layanan AWS".

  4. Pada panel kiri, pilih Penyedia Identitas, lalu pilih Buat Penyedia.

    Cuplikan layar tombol "Buat Penyedia".

  5. Pada panel Konfigurasikan Penyedia, lakukan hal berikut:

    Cuplikan layar panel "Konfigurasikan Penyedia".

    a. Dalam daftar tarik-turun Jenis Penyedia, pilih SAML.

    b. Di kotak Nama Penyedia, masukkan nama penyedia (mis. WAAD).

    c. Di samping kotak Dokumen Metadata, pilih Pilih File untuk mengunggah file XML metadata federasi yang diunduh ke portal Microsoft Azure.

    d. Pilih Langkah Berikutnya.

  6. Pada panel Verifikasi Informasi Penyedia, pilih Buat.

    Cuplikan layar panel "Verifikasi Informasi Penyedia".

  7. Pada panel kiri, pilih Peran, lalu pilih Buat peran.

    Cuplikan layar tombol "Buat peran" pada panel Peran.

    Catatan

    Panjang gabungan dari Nama Sumber Daya Amazon (ARN) peran dan ARN penyedia SAML untuk peran yang sedang diimpor harus 240 karakter atau lebih sedikit.

  8. Di halaman Buat peran, lakukan hal berikut:

    Cuplikan layar tombol entitas tepercaya "federasi SAML 2.0" di halaman "Buat peran".

    a. Pada Pilih jenis entitas tepercaya, pilih federasi SAML 2.0.

    b. Pada Pilih penyedia SAML 2.0, pilih penyedia SAML yang Anda buat sebelumnya (misalnya, WAAD)

    c. Pilih Izinkan akses terprogram dan Konsol Manajemen AWS.

    d. Pilih Berikutnya: Izin.

  9. Di kotak pencarian, masukkan Akses Administrator, pilih kotak centang AksesAdministrator, lalu pilih Berikutnya: Tag.

    Cuplikan layar daftar "Nama kebijakan" dengan kebijakan AksesAdministrator dipilih.

  10. Pada panel Tambahkan tag (opsional) , lakukan hal berikut:

    Cuplikan layar panel "Tambahkan tag (opsional)".

    a. Di kotak Kunci, masukkan nama kunci (misalnya, Azureadtest).

    b. Di kotak Nilai (opsional) , masukkan nilai kunci dalam format berikut: <accountname-aws-admin>. Nama akun harus dalam format semua huruf kecil.

    c. Pilih Berikutnya: Tinjau.

  11. Pada panel Tinjau, lakukan hal berikut:

    Cuplikan layar panel Tinjau, dengan kotak "Nama peran" dan "Deskripsi peran" disorot.

    a. Di kotak Nama peran, masukkan nilai dalam format berikut: <accountname-aws-admin>.

    b. Di kotak Deskripsi peran, masukkan nilai yang Anda gunakan untuk nama peran.

    c. Pilih Buat peran.

    d. Buat peran sebanyak yang Anda butuhkan, lalu petakan ke penyedia identitas.

    Catatan

    Demikian pula, Anda dapat membuat peran lain, seperti accountname-finance-admin, accountname-read-only-user, accountname-devops-user, atau accountname-tpm-user, masing-masing dengan kebijakan berbeda yang melekat padanya. Anda dapat mengubah kebijakan peran ini nanti, sesuai dengan persyaratan untuk setiap akun AWS. Sebaiknya Anda menyimpan kebijakan yang sama untuk setiap peran di seluruh akun AWS.

  12. Pastikan untuk mencatat ID akun untuk akun AWS baik dari panel properti Amazon Elastic Compute Cloud (Amazon EC2) atau dasbor IAM, seperti ditunjukkan pada cuplikan layar berikut:

    Cuplikan layar memperlihatkan di mana ID akun ditampilkan pada panel "Manajemen Identitas dan Akses".

  13. Masuk ke portal Microsoft Azure, lalu masuk ke Grup.

  14. Buat grup baru dengan nama yang sama dengan peran IAM yang Anda buat sebelumnya, lalu catat nilainya di kotak Id Objek dari masing-masing grup baru ini.

    Cuplikan layar detail akun untuk grup baru.

  15. Keluar dari akun AWS saat ini, lalu masuk ke akun lain tempat Anda ingin mengonfigurasi SSO dengan Microsoft Azure AD.

  16. Setelah Anda membuat semua peran di akun, peran tersebut ditampilkan dalam daftar Peran untuk akun tersebut.

    Cuplikan layar daftar peran, memperlihatkan nama, deskripsi, dan entitas tepercaya masing-masing peran.

Anda selanjutnya perlu menangkap semua ARN peran dan entitas tepercaya untuk semua peran di semua akun. Anda harus memetakannya secara manual dengan aplikasi Microsoft Azure AD. Untuk melakukannya:

  1. Pilih setiap peran untuk menyalin ARN peran dan nilai entitas tepercaya. Anda akan membutuhkannya untuk semua peran yang akan Anda buat di Microsoft Azure AD.

    Cuplikan layar panel Ringkasan untuk ARN peran dan entitas tepercaya.

  2. Ulangi langkah sebelumnya untuk semua peran di semua akun, lalu simpan dalam file teks dalam format berikut: <Role ARN>,<Trusted entities>.

  3. Buka Microsoft Graph Explorer, lalu lakukan hal berikut:

    a. Masuk ke situs Microsoft Graph Explorer dengan kredensial Admin Global atau Admin Bersama untuk penyewa Anda.

    b. Anda memerlukan izin yang memadai untuk membuat peran. Pilih ubah izin.

    Cuplikan layar tautan "ubah izin" pada panel Autentikasi Microsoft Graph Explorer.

    c. Dalam daftar izin, jika Anda belum memiliki izin yang diperlihatkan dalam cuplikan layar berikut, pilih satu per satu, lalu pilih Ubah Izin.

    Cuplikan layar daftar izin Microsoft Graph Explorer, dengan izin yang sesuai disorot.

    d. Masuk lagi ke Graph Explorer, dan terima ketentuan penggunaan situs.

    e. Di bagian atas panel, pilih GET untuk metode tersebut, pilih beta untuk versi, kemudian, di kotak kueri, masukkan salah satu hal berikut:

    • Untuk mengambil semua perwakilan layanan dari penyewa Anda, gunakan https://graph.microsoft.com/beta/servicePrincipals.
    • Jika Anda menggunakan beberapa direktori, gunakan https://graph.microsoft.com/beta/contoso.com/servicePrincipals, yang berisi domain primer Anda.

    Cuplikan layar panel kueri "Isi Permintaan" Microsoft Graph Explorer.

    f. Dari daftar perwakilan layanan, ambil yang perlu Anda modifikasi.

    Anda juga dapat mencari aplikasi untuk semua perwakilan layanan yang terdaftar dengan memilih Ctrl+F. Untuk mendapatkan perwakilan layanan tertentu, sertakan dalam kueri ID objek perwakilan layanan, yang Anda salin sebelumnya dari panel Properti Microsoft Azure AD, seperti diperlihatkan di sini:

    https://graph.microsoft.com/beta/servicePrincipals/<objectID>.

    Cuplikan layar memperlihatkan kueri perwakilan layanan yang menyertakan ID objek.

    g. Ekstrak properti appRoles dari objek perwakilan layanan.

    Cuplikan layar kode untuk mengekstrak properti appRoles dari objek perwakilan layanan.

    h. Anda sekarang perlu membuat peran baru untuk aplikasi Anda.

    i. Kode JSON berikut adalah contoh objek appRoles. Buat objek serupa untuk menambahkan peran yang Anda inginkan untuk aplikasi Anda.

    {
    "appRoles": [
        {
            "allowedMemberTypes": [
                "User"
            ],
            "description": "msiam_access",
            "displayName": "msiam_access",
            "id": "7dfd756e-8c27-4472-b2b7-38c17fc5de5e",
            "isEnabled": true,
            "origin": "Application",
            "value": null
        },
        {
            "allowedMemberTypes": [
                "User"
            ],
            "description": "Admin,WAAD",
            "displayName": "Admin,WAAD",
            "id": "4aacf5a4-f38b-4861-b909-bae023e88dde",
            "isEnabled": true,
            "origin": "ServicePrincipal",
            "value": "arn:aws:iam::12345:role/Admin,arn:aws:iam::12345:saml-provider/WAAD"
        },
        {
            "allowedMemberTypes": [
                "User"
            ],
            "description": "Auditors,WAAD",
            "displayName": "Auditors,WAAD",
            "id": "bcad6926-67ec-445a-80f8-578032504c09",
            "isEnabled": true,
            "origin": "ServicePrincipal",
            "value": "arn:aws:iam::12345:role/Auditors,arn:aws:iam::12345:saml-provider/WAAD"
        }    ]
    }
    

    Catatan

    Anda dapat menambahkan peran baru hanya setelah menambahkan msiam_access untuk operasi patch. Anda juga dapat menambahkan peran sebanyak yang Anda inginkan, bergantung pada kebutuhan organisasi Anda. Microsoft Azure AD mengirim nilai peran ini sebagai nilai klaim dalam respons SAML.

    j. Di Microsoft Graph Explorer, ubah metode dari GET ke PATCH. Patch objek perwakilan layanan dengan peran yang Anda inginkan dengan memperbarui properti appRoles, seperti ditunjukkan dalam contoh sebelumnya. Pilih Jalankan Kueri untuk menjalankan operasi patch. Pesan sukses mengonfirmasi pembuatan peran untuk aplikasi AWS Anda.

    Cuplikan layar panel Microsoft Graph Explorer, dengan metode diubah menjadi PATCH.

  4. Setelah perwakilan layanan di-patch dengan lebih banyak peran, Anda dapat menetapkan pengguna dan grup ke peran masing-masing. Anda melakukannya di portal Microsoft Azure dengan masuk ke aplikasi AWS lalu memilih tab Pengguna dan Grup di bagian atas.

  5. Kami menyarankan agar Anda membuat grup baru untuk setiap peran AWS sehingga Anda dapat menetapkan peran tertentu tersebut dalam grup. Pemetaan satu-ke-satu ini berarti bahwa satu grup ditetapkan ke satu peran. Anda kemudian dapat menambahkan anggota yang tergabung dalam grup tersebut.

  6. Setelah Anda membuat grup, pilih grup dan tetapkan ke aplikasi.

    Cuplikan layar panel "Pengguna dan grup".

    Catatan

    Grup berlapis tidak didukung ketika Anda menetapkan grup.

  7. Untuk menetapkan peran ke grup, pilih peran, lalu pilih Tetapkan.

    Cuplikan layar panel "Tambahkan Penetapan".

    Catatan

    Setelah menetapkan peran, Anda bisa menampilkannya dengan me-refresh sesi portal Microsoft Azure Anda.

Menguji SSO

Di bagian ini, Anda menguji konfigurasi akses menyeluruh Microsoft Azure AD menggunakan Aplikasi Saya Microsoft.

Ketika Anda memilih petak AWS di Aplikasi Saya, halaman aplikasi AWS terbuka dengan opsi untuk memilih peran.

Cuplikan layar halaman AWS untuk menguji SSO.

Anda juga dapat memverifikasi respons SAML untuk melihat peran yang diteruskan sebagai klaim.

Cuplikan layar respons SAML.

Untuk informasi selengkapnya tentang Aplikasi Saya, lihat Masuk dan memulai aplikasi dari portal Aplikasi Saya.

Langkah berikutnya

Setelah mengonfigurasi AWS Anda dapat menerapkan kontrol sesi, yang melindungi eksfiltrasi dan infiltrasi data sensitif organisasi Anda secara real-time. Kontrol sesi diperluas dari Akses Bersyarat. Untuk informasi selengkapnya, lihat Pelajari cara menerapkan kontrol sesi dengan Aplikasi Pertahanan Microsoft untuk Cloud.