Självstudie: Azure Active Directory enkel inloggning (SSO) med AWS Single-Account Access

  • Artikel
  • 12 minuter för att läsa

I den här självstudien lär du dig att integrera AWS Single-Account Access med Azure Active Directory (Azure AD). När du integrerar AWS Single-Account Access med Azure AD kan du:

  • I Azure AD kan du styra vem som har åtkomst till AWS Single-Account Access.
  • Gör så att dina användare automatiskt loggas in på AWS Single-Account Access med sina Azure AD-konton.
  • Hantera dina konton på en central plats – Azure Portal.

Använd informationen nedan för att fatta ett beslut mellan att använda AWS Single Sign-On och AWS Single-Account Access-program i Azure AD-programgalleriet.

Enkel inloggning för AWS

Enkel inloggning för AWS lades till i Azure AD-programgalleriet i februari 2021. Det gör det enkelt att hantera åtkomst centralt till flera AWS-konton och AWS-program, med inloggning via Microsoft Azure AD. Federera Microsoft Azure AD med AWS SSO en gång och använd AWS SSO för att hantera behörigheter för alla dina AWS-konton från en enda plats. Enkel inloggning med AWS tillser behörigheter automatiskt och håller dem uppdaterade när du uppdaterar principer och åtkomsttilldelningar. Slutanvändare kan autentisera med sina Autentiseringsuppgifter för Azure AD för att få åtkomst till AWS-konsolen, kommandoradsgränssnittet och AWS SSO-integrerade program.

AWS Single-Account Access

AWS Single-Account Access har använts av kunder under de senaste åren och gör att du kan federera Azure AD till ett enda AWS-konto och använda Azure AD för att hantera åtkomst till AWS IAM-roller. AWS IAM-administratörer definierar roller och principer i varje AWS-konto. För varje AWS-konto federerar Azure AD-administratörer till AWS IAM, tilldelar användare eller grupper till kontot och konfigurerar Azure AD för att skicka försäkran som auktoriserar rollåtkomst.

Funktion Enkel AWS-Sign-On AWS Single-Account Access
Villkorlig åtkomst Stöder en princip för villkorlig åtkomst för alla AWS-konton. Stöder en princip för villkorlig åtkomst för alla konton eller anpassade principer per konto
CLI-åtkomst Stöds Stöds
Privileged Identity Management Stöds inte ännu Stöds inte ännu
Centralisera kontohantering Centralisera kontohantering i AWS. Centralisera kontohantering i Azure AD (kräver troligen ett Azure AD-företagsprogram per konto).
SAML-certifikat Enskilt certifikat Separata certifikat per app/konto

AWS Single-Account Access-arkitektur

Diagram över Azure AD- och AWS-relation

Du kan konfigurera flera identifierare för flera instanser. Ett exempel:

  • https://signin.aws.amazon.com/saml#1

  • https://signin.aws.amazon.com/saml#2

Med dessa värden tar Azure AD bort värdet för och skickar rätt värde som # https://signin.aws.amazon.com/saml målgrupps-URL i SAML-token.

Vi rekommenderar den här metoden av följande skäl:

  • Varje program ger dig ett unikt X509-certifikat. Varje instans av en AWS-appinstans kan sedan ha olika utgångsdatum för certifikat, som kan hanteras på ett enskilt AWS-konto. Övergripande certifikatsrover är enklare i det här fallet.

  • Du kan aktivera användareablering med en AWS-app i Azure AD, och sedan hämtar vår tjänst alla roller från det AWS-kontot. Du behöver inte lägga till eller uppdatera AWS-rollerna i appen manuellt.

  • Du kan tilldela appens ägare individuellt för appen. Den här personen kan hantera appen direkt i Azure AD.

Anteckning

Se till att du endast använder ett galleriprogram.

Förutsättningar

För att komma igång behöver du följande:

  • En Azure AD-prenumeration. Om du inte har en prenumeration kan du skaffa ett kostnadsfritt konto.
  • En AWS-prenumeration med enkel inloggning (SSO).

Anteckning

Roller bör inte redigeras manuellt i Azure AD när du utför rollimporter.

Scenariobeskrivning

I den här självstudien konfigurerar och testar du enkel inloggning med Azure AD i en testmiljö.

  • AWS Single-Account Access har stöd för SP- och IDP-initierad enkel inloggning.

Anteckning

Identifierare för det här programmet är ett fast strängvärde så att endast en instans kan konfigureras i en klientorganisation.

För att konfigurera integreringen av AWS Single-Account Access i Azure AD måste du lägga till AWS Single-Account Access från galleriet till din lista över hanterade SaaS-appar.

  1. Logga in på Azure Portal med ett arbetskonto, ett skolkonto eller ett personligt Microsoft-konto.
  2. I Azure Portal du efter och väljer Azure Active Directory.
  3. I den Azure Active Directory översiktsmenyn väljer du Företagsprogram > Alla program.
  4. Välj Nytt program för att lägga till ett program.
  5. I avsnittet Lägg till från galleriet skriver du AWS Single-Account Access i sökrutan.
  6. Välj AWS Single-Account Access från resultatpanelen och lägg sedan till appen. Vänta några sekunder medan appen läggs till i din klientorganisation.

Konfigurera och testa enkel inloggning med Azure AD för AWS Single-Account Access

Konfigurera och testa enkel inloggning med Azure AD med AWS Single-Account Access med hjälp av en testanvändare med namnet B.Simon. För att enkel inloggning ska fungera måste du upprätta en länkrelation mellan en Azure AD-användare och den relaterade användaren i AWS Single-Account Access.

Utför följande steg för att konfigurera och testa enkel inloggning med Azure AD Single-Account AWS Single-Account Access:

  1. Konfigurera enkel inloggning med Azure AD – så att användarna kan använda den här funktionen.
    1. Skapa en Azure AD-testanvändare – för att testa enkel inloggning med Azure AD med B.Simon.
    2. Tilldela Azure AD-testanvändaren – så att B.Simon kan använda enkel inloggning med Azure AD.
  2. Konfigurera enkel inloggning Single-Account för AWS-åtkomst – för att konfigurera inställningarna för enkel inloggning på programsidan.
    1. Skapa AWS Single-Account Access-testanvändare – för att ha en motsvarighet för B.Simon i AWS Single-Account Access som är länkad till en Azure AD-representation av användaren.
    2. Så här konfigurerar du rolletablering i AWS Single-Account Access
  3. Testa enkel inloggning – för att kontrollera om konfigurationen fungerar.

Konfigurera Azure AD SSO

Följ dessa steg för att aktivera enkel inloggning med Azure AD i Azure Portal.

  1. I Azure Portal går du till programintegreringssidan för AWS Single-Account Access och går till avsnittet Hantera och väljer enkel inloggning.

  2. På sidan Välj en metod för enkel inloggning väljer du SAML.

  3. På sidan Konfigurera enkel inloggning med SAML klickar du på redigerings-/pennikonen för Grundläggande SAML-konfiguration för att redigera inställningarna.

    Redigera grundläggande SAML-konfiguration

  4. I avsnittet Grundläggande SAML-konfiguration uppdaterar du både Identifierare (entitets-ID) och Svars-URL med samma standardvärde: https://signin.aws.amazon.com/saml . Du måste välja Spara för att spara konfigurationsändringarna.

  5. Ange ett identifierarvärde när du konfigurerar fler än en instans. Från och med andra instansen använder du följande format, inklusive ett -tecken # för att ange ett unikt SPN-värde.

    https://signin.aws.amazon.com/saml#2

  6. AWS-programmet förväntar sig SAML-försäkran i ett visst format, vilket kräver att du lägger till anpassade attributmappningar i konfigurationen av SAML-tokenattribut. I följande skärmbild visas listan över standardattribut.

    image

  7. Utöver ovanstående förväntar sig AWS-programmet att några fler attribut skickas tillbaka i SAML-svaret som visas nedan. Dessa attribut är också ifyllda i förväg, men du kan granska dem enligt dina behov.

    Name Källattribut Namnområde
    RoleSessionName user.userprincipalname https://aws.amazon.com/SAML/Attributes
    Roll user.assignedroles https://aws.amazon.com/SAML/Attributes
    SessionDuration ”ange ett värde mellan 900 sekunder (15 minuter) och 43 200 sekunder (12 timmar)” https://aws.amazon.com/SAML/Attributes

    Anteckning

    AWS förväntar sig roller för användare som är tilldelade till programmet. Konfigurera rollerna i Azure AD så att användarna kan tilldelas lämpliga roller. Information om hur du konfigurerar roller i Azure AD finns här

  8. På sidan Konfigurera enkel inloggning med SAML går du till dialogrutan SAML-signeringscertifikat (steg 3) och väljer Lägg till ett certifikat.

    Skapa nytt SAML-certifikat

  9. Generera ett nytt SAML-signeringscertifikat och välj sedan Nytt certifikat. Ange en e-postadress för certifikatmeddelanden.

    Nytt SAML-certifikat

  10. I avsnittet SAML-signeringscertifikat hittar du XML för federationsmetadata och väljer Ladda ned för att ladda ned certifikatet och spara det på datorn.

    Länk för nedladdning av certifikatet

  11. I avsnittet Konfigurera AWS Single-Account Access kopierar du lämpliga URL:er baserat på dina behov.

    Kopiera konfigurations-URL:er

Skapa en Azure AD-testanvändare

I det här avsnittet skapar du en testanvändare i Azure Portal namnet B.Simon.

  1. I Azure Portal du efter och väljer Azure Active Directory.
  2. I den Azure Active Directory översiktsmenyn väljer du Användare > Alla användare.
  3. Välj Ny användare överst på skärmen.
  4. I Användaregenskaper följer du dessa steg:
    1. I Namn-fältet skriver du B.Simon.
    2. I fältet Användarnamn anger du username@companydomain.extension . Till exempel B.Simon@contoso.com.
    3. Markera kryssrutan Visa lösenord och skriv sedan ned det värde som visas i rutan Lösenord.
    4. Klicka på Skapa.

Tilldela Azure AD-testanvändaren

I det här avsnittet gör du det möjligt för B.Simon att använda enkel inloggning med Azure genom att ge åtkomst till AWS Single-Account Access.

  1. I Azure Portal väljer du Företagsprogram och sedan Alla program.
  2. I programlistan väljer du AWS Single-Account Access.
  3. På appens översiktssida hittar du avsnittet Hantera och väljer Användare och grupper.
  4. Välj Lägg till användare och välj sedan Användare och grupper i dialogrutan Lägg till tilldelning.
  5. I dialogrutan Användare och grupper väljer du B.Simon i listan Användare och klickar sedan på knappen Välj längst ned på skärmen.
  6. Om du förväntar dig att en roll ska tilldelas till användarna kan du välja den från listrutan Välj en roll. Om ingen roll har ställts in för den här appen visas rollen "Standardåtkomst".
  7. I dialogrutan Lägg till tilldelning klickar du på knappen Tilldela.

Konfigurera enkel inloggning för AWS Single-Account Access

  1. Logga in på AWS-företagswebbplatsen som administratör i ett annat webbläsarfönster.

  2. Välj AWS Home.

    Skärmbild av AWS-företagswebbplatsen med AWS-startikonen markerad

  3. Välj Identitets- och åtkomsthantering.

    Skärmbild av sidan AWS-tjänster med IAM markerat

  4. Välj Identitetsproviders > Skapa provider.

    Skärmbild av sidan IAM med Identitetsproviders och Skapa provider markerade

  5. På sidan Konfigurera provider utför du följande steg:

    Skärmbild av Konfigurera provider

    a. För Providertyp väljer du SAML.

    b. I Providernamn anger du ett providernamn (till exempel WAAD).

    c. Om du vill ladda upp den nedladdade metadatafilen från Azure Portal väljer du Välj fil.

    d. Välj Nästa steg.

  6. På sidan Verifiera providerinformation väljer du Skapa.

    Skärmbild av Verifiera providerinformation med Skapa markerat

  7. Välj Roller > Skapa roll.

    Skärmbild av sidan Roller

  8. På sidan Skapa roll utför du följande steg:

    Skärmbild av sidan Skapa roll

    a. Under Välj typ av betrodd entitet väljer du SAML 2.0-federation.

    b. Under Choose a SAML 2.0 Provider (Välj en SAML 2.0-provider) väljer du den SAML-provider som du skapade tidigare (till exempel WAAD).

    c. Välj Allow programmatic and AWS Management Console access (Tillåt programmatisk åtkomst och AWS-hanteringskonsolåtkomst).

    d. Välj Nästa: Behörigheter.

  9. I dialogrutan Attach permissions policies (Koppla behörighetsprinciper) bifogar du lämplig princip enligt din organisation. Välj sedan Nästa: Granska.

    Skärmbild av dialogrutan Anslut behörighetsprincip

  10. I dialogrutan Granska utför du följande steg:

    Skärmbild av dialogrutan Granska

    a. I Rollnamn anger du rollnamnet.

    b. I Rollbeskrivning anger du beskrivningen.

    c. Välj Skapa roll.

    d. Skapa så många roller som behövs och mappa dem till identitetsprovidern.

  11. Använd autentiseringsuppgifter för AWS-tjänstkontot för att hämta rollerna från AWS-kontot i Azure AD-användareablering. För detta öppnar du AWS-konsolstarten.

  12. Välj Tjänster. Under Säkerhet, Identitetsefterlevnad & väljer du IAM.

    Skärmbild av AWS-konsolens startsida med Tjänster och IAM markerade

  13. I avsnittet IAM väljer du Principer.

    Skärmbild av IAM-avsnittet med Principer markerat

  14. Skapa en ny princip genom att välja Skapa princip för att hämta rollerna från AWS-kontot i Azure AD-användareablering.

    Skärmbild av sidan Skapa roll med Skapa princip markerat

  15. Skapa en egen princip för att hämta alla roller från AWS-konton.

    Skärmbild av sidan Skapa princip med JSON markerat

    a. I Skapa princip väljer du fliken JSON.

    b. I principdokumentet lägger du till följande JSON:

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
            "iam:ListRoles"
            ],
            "Resource": "*"
        }
    ]
}

    c. Välj Granska princip för att verifiera principen.

    Skärmbild av sidan Skapa princip

  16. Definiera den nya principen.

    Skärmbild av sidan Skapa princip med fälten Namn och Beskrivning markerade

    a. I Namn anger du AzureAD_SSOUserRole_Policy.

    b. I Beskrivning anger du Den här principen tillåter att rollerna hämtas från AWS-konton.

    c. Välj Skapa princip.

  17. Skapa ett nytt användarkonto i AWS IAM-tjänsten.

    a. I AWS IAM-konsolen väljer du Användare.

    Skärmbild av AWS IAM-konsolen med Användare markerat

    b. Om du vill skapa en ny användare väljer du Lägg till användare.

    Skärmbild av knappen Lägg till användare

    c. I avsnittet Lägg till användare:

    Skärmbild av sidan Lägg till användare med Användarnamn och Åtkomsttyp markerade

    • Ange användarnamnet som AzureADRoleManager.

    • Som åtkomsttyp väljer du Programmatisk åtkomst. På så sätt kan användaren anropa API:erna och hämta rollerna från AWS-kontot.

    • Välj Nästa behörigheter.

  18. Skapa en ny princip för den här användaren.

    Skärmbild som visar sidan Lägg till användare där du kan skapa en princip för användaren.

    a. Välj Bifoga befintliga principer direkt.

    b. Sök efter den nyligen skapade principen i filteravsnittet AzureAD_SSOUserRole_Policy.

    c. Välj principen och välj sedan Nästa: Granska.

  19. Granska principen för den anslutna användaren.

    Skärmbild av sidan Lägg till användare med Skapa användare markerat

    a. Granska användarnamnet, åtkomsttypen och den princip som är mappad till användaren.

    b. Välj Skapa användare.

  20. Ladda ned användarautentiseringsuppgifterna för en användare.

    Skärmbild som visar sidan Lägg till användare med knappen Ladda ned c s v för att hämta autentiseringsuppgifter för användare.

    a. Kopiera användarens åtkomstnyckel-ID och hemliga åtkomstnyckel.

    b. Ange dessa autentiseringsuppgifter i avsnittet om azure AD-användareablering för att hämta rollerna från AWS-konsolen.

    c. Välj Stäng.

Så här konfigurerar du rolletablering i AWS Single-Account Access

  1. I Azure AD-hanteringsportalen går du till Etablera i AWS-appen.

    Skärmbild av AWS-appen med Etablering markerat

  2. Ange åtkomstnyckeln och hemligheten i fälten clientsecret respektive Secret Token.

    Skärmbild av dialogrutan Administratörsautentiseringsuppgifter

    a. Ange AWS-användaråtkomstnyckeln i fältet clientsecret.

    b. Ange AWS-användarhemligheten i fältet Hemlig token.

    c. Välj Testanslutning.

    d. Spara inställningen genom att välja Spara.

  3. I avsnittet Inställningar för Etableringsstatus väljer du . Välj sedan Spara.

    Skärmbild av Inställningar avsnitt med På markerat

Anteckning

Etableringstjänsten importerar endast roller från AWS till Azure AD. Tjänsten etablerar inte användare och grupper från Azure AD till AWS.

Anteckning

När du har sparat etableringsautentiseringsuppgifterna måste du vänta tills den inledande synkroniseringscykeln har körts. Synkroniseringen tar vanligtvis cirka 40 minuter att slutföra. Du kan se statusen längst ned på sidan Etablering under Aktuell status.

Skapa AWS Single-Account Access-testanvändare

Målet med det här avsnittet är att skapa en användare med namnet B.Simon i AWS Single-Account Access. AWS Single-Account Access behöver inte att en användare skapas i deras system för enkel inloggning, så du behöver inte utföra någon åtgärd här.

Testa enkel inloggning

I det här avsnittet testar du konfigurationen av enkel inloggning med Azure AD med följande alternativ.

SP-initierad:

  • Klicka på Testa det här programmet i Azure Portal. Detta omdirigerar till AWS Single-Account för inloggning där du kan initiera inloggningsflödet.

  • Gå till AWS Single-Account åtkomst inloggnings-URL direkt och initiera inloggningsflödet därifrån.

IDP-initierad:

  • Klicka på Testa det här Azure Portal så bör du automatiskt loggas in på AWS Single-Account Access som du har ställt in enkel inloggning för

Du kan också använda Microsoft Mina appar för att testa programmet i val annat läge. När du klickar på AWS Single-Account Access-panelen i Mina appar, omdirigeras du om du är konfigurerad i SP-läge till sidan för programinloggning för att initiera inloggningsflödet. Om den konfigureras i IDP-läge bör du automatiskt loggas in på AWS Single-Account Access som du har konfigurerat enkel inloggning för. Mer information om Mina appar finns i Introduktion till Mina appar.

Kända problem

  • AWS Single-Account Access-etableringsintegrering kan endast användas för att ansluta till slutpunkter för offentliga AWS-moln. AWS Single-Account Access-etableringsintegrering kan inte användas för att få åtkomst till AWS Government-miljöer.

  • I avsnittet Etablering visar underavsnittet Mappningar en "Läser in..." och visar aldrig attributmappningarna. Det enda etableringsarbetsflöde som stöds i dag är import av roller från AWS till Azure AD för val under en användar- eller grupptilldelning. Attributmappningarna för detta är förinställda och kan inte konfigureras.

  • Avsnittet Etablering stöder endast inmatning av en uppsättning autentiseringsuppgifter för en AWS-klientorganisation i taget. Alla importerade roller skrivs till egenskapen appRoles för Azure AD-objektet servicePrincipal för AWS-klientorganisationen.

    Flera AWS-klienter (som representeras servicePrincipals av ) kan läggas till i Azure AD från galleriet för etablering. Det finns dock ett känt problem där det inte går att automatiskt skriva alla importerade roller från flera AWS som används för etablering till den enda som används för servicePrincipals servicePrincipal enkel inloggning.

    Som en tillfällig lösning kan du använda Microsoft Graph API för att extrahera alla importerade till varje appRoles AWS servicePrincipal där etablering har konfigurerats. Därefter kan du lägga till rollsträngarna i den AWS servicePrincipal där enkel inloggning har konfigurerats.

  • Roller måste uppfylla följande krav för att kunna importeras från AWS till Azure AD:

    • Roller måste ha exakt en saml-provider definierad i AWS
    • Den kombinerade längden på ARN (Amazon Resource Name) för rollen och ARN för den associerade saml-providern måste vara mindre än 240 tecken.

Ändringslogg

  • 2020-01-12 – Höjd längd på roll från 119 tecken till 239 tecken.

Nästa steg

När du har konfigurerat AWS Single-Account Access kan du framtvinga sessionskontroll, vilket skyddar exfiltrering och infiltrering av organisationens känsliga data i realtid. Sessionskontrollen utökas från villkorlig åtkomst. Lär dig hur du framtvingar sessionskontroll med Microsoft Defender för Cloud Apps.