öğretici: Amazon Web Services ile tümleştirme Azure Active Directory

bu öğreticide, Azure Active Directory (Azure AD) Amazon Web Services (aws) (eski öğretici) ile tümleştirmeyi öğreneceksiniz.

Bu tümleştirme aşağıdaki avantajları sağlar:

  • AWS 'ye erişimi olan Azure AD 'de denetim yapabilirsiniz.
  • Kullanıcılarınızın Azure AD hesaplarıyla çoklu oturum açma (SSO) kullanarak AWS 'de otomatik olarak oturum açmasını sağlayabilirsiniz.
  • Hesaplarınızı tek bir merkezi konumda yönetebilirsiniz Azure portal.

AWS ile Azure AD tümleştirmesi diyagramı.

Not

Bir AWS uygulamasını tüm AWS hesaplarınıza bağlanmanızı öneririz . Bunun yerine, AWS hesabınızın birden çok örneğini Azure AD 'de AWS uygulamalarının birden çok örneğine yapılandırmak için AWS Ile Azure AD SSO tümleştirmesi kullanmanızı öneririz.

Aşağıdaki nedenlerden dolayı bir AWS uygulamasının tüm AWS hesaplarınıza bağlanmasını öneririz :

  • Bu yaklaşım yalnızca az sayıda AWS hesabı ve rolüne sahipseniz kullanın, çünkü bu model AWS hesabı sayısı ve içerdikleri roller artdıkça ölçeklenebilir değildir. Yaklaşım, Azure AD Kullanıcı sağlama ile AWS rolü-içeri aktarma işlevini kullanmaz, bu nedenle rolleri el ile eklemeniz, güncelleştirmeniz veya silmeniz gerekir.

  • tüm rollerin uygulamaya yama yapmak için Microsoft Graph Explorer yaklaşımını kullanmanız gerekir. Bildirim dosyası yaklaşımını kullanmanızı önermiyoruz.

  • Müşteriler tek bir AWS uygulaması için 1.200 eklendikten sonra, uygulama rollerinin bir bütün olarak bir işlem, boyutla ilgili hataları atma işlemini başlatır. Uygulama nesnesi için sabit boyut sınırı vardır.

  • Hesapların herhangi birine eklendikçe rolleri el ile güncelleştirmeniz gerekir. Bu, bir ekleme yaklaşımına değil, bir değiştirme yaklaşımıdır. Ayrıca, hesap numaralarınız büyüyordur bu, hesaplar ve rollerle bir n × n ilişki haline gelir.

  • Tüm AWS hesapları aynı Federasyon meta veri XML dosyasını kullanır. Sertifika geçişi sırasında, tüm AWS hesaplarında aynı anda sertifikayı güncelleştirme büyük bir alıştırma olabilir.

Önkoşullar

AWS ile Azure AD tümleştirmesini yapılandırmak için aşağıdaki öğeler gereklidir:

  • Bir Azure AD aboneliği. Azure AD aboneliğiniz yoksa bir aylık deneme sürümüalabilirsiniz.
  • AWS SSO özellikli bir abonelik.

Not

Gerekli olmadığı takdirde, bu öğreticideki adımları üretim ortamında test etmenizi önermiyoruz.

Senaryo açıklaması

Bu öğreticide, Azure AD SSO 'yu bir test ortamında yapılandırıp test edersiniz.

AWS, SP tarafından başlatılan ve ıDP tarafından başlatılan SSO 'yu destekler.

AWS 'nin tümleştirmesini Azure AD ile yapılandırmak için galerisinden AWS 'yi, yönetilen hizmet olarak yazılım (SaaS) uygulamaları listenize eklersiniz.

  1. Bir iş veya okul hesabı ya da kişisel Microsoft hesabı kullanarak Azure portal oturum açın.

  2. Sol bölmede, çalışmak istediğiniz Azure AD hizmeti ' ni seçin.

  3. Enterprise uygulamalar' a gidin ve tüm uygulamalar' ı seçin.

  4. Bir uygulama eklemek için Yeni uygulama' yı seçin.

  5. Galeriden Ekle bölümünde, arama kutusuna Amazon Web Services yazın.

  6. Sonuçlar listesinde Amazon Web Services' yi seçin ve ardından uygulamayı ekleyin. Birkaç saniye içinde, uygulama kiracınıza eklenir.

  7. Özellikler bölmesine gidin ve ardından nesne kimliği kutusunda görüntülenen değeri kopyalayın.

    Özellikler bölmesindeki nesne KIMLIĞI kutusunun ekran görüntüsü.

Azure AD SSO 'yu yapılandırma ve test etme

Bu bölümde, "Britta Simon" adlı bir test kullanıcısına göre AWS ile Azure AD çoklu oturum açmayı yapılandırıp test edersiniz.

Çoklu oturum açma 'nın çalışması için Azure AD 'nin AWS 'deki karşıdaki kullanıcının Azure AD kullanıcısına ne olduğunu bilmeleri gerekir. Diğer bir deyişle, Azure AD kullanıcısı ve AWS 'deki aynı kullanıcı arasındaki bir bağlantı ilişkisinin oluşturulması gerekir.

AWS 'de, bağlantı ilişkisini kurmak için AWS Kullanıcı adının değeri olarak Azure AD 'de Kullanıcı adı değerini atayın.

AWS ile Azure AD çoklu oturum açmayı yapılandırmak ve test etmek için aşağıdakileri yapın:

  1. Kullanıcılarınızın bu özelliği kullanmasını sağlamak için Azure AD SSO 'Yu yapılandırın .
  2. Uygulama tarafında SSO ayarlarını yapılandırmak için AWS SSO 'Yu yapılandırın .
  3. Yapılandırmanın çalıştığını doğrulamak için test SSO 'su .

Azure AD SSO’yu yapılandırma

Bu bölümde, Azure portal Azure AD SSO 'yu etkinleştirin ve aşağıdaki işlemleri gerçekleştirerek AWS uygulamanızda SSO 'yu yapılandırın:

  1. Azure portal, Amazon Web Services (AWS) uygulama tümleştirme sayfasının sol bölmesinde, Çoklu oturum açma' yı seçin.

    "Çoklu oturum açma" komutunun ekran görüntüsü.

  2. Çoklu oturum açma yöntemi seçin bölmesinde, çoklu oturum açmayı etkinleştirmek için SAML/WS-Besme modunu seçin.

    "Çoklu oturum açma yöntemi seçin" bölmesinin ekran görüntüsü.

  3. SAML Ile tek Sign-On ayarla bölmesinde Düzenle düğmesini (kurşun kalem simgesi) seçin.

    "SAML ile tekli Sign-On ayarlama" bölmesindeki Düzenle düğmesinin ekran görüntüsü.

  4. Temel SAML yapılandırması bölmesi açılır. Uygulama Azure ile önceden tümleştirildiği için bu bölümü atlayın. Kaydet’i seçin.

    AWS uygulaması, belirli bir biçimde SAML onayları bekliyor. Bu özniteliklerin değerlerini, uygulama tümleştirme sayfasındaki Kullanıcı öznitelikleri & talepler bölümünde yönetebilirsiniz.

  5. SAML Ile tek Sign-On ayarlama sayfasında Düzenle düğmesini seçin.

    "Kullanıcı öznitelikleri" bölmesindeki Düzenle düğmesinin ekran görüntüsü.

  6. Kullanıcı öznitelikleri bölmesinin Kullanıcı talepleri bölümünde, AŞAĞıDAKI tablodaki değerleri kullanarak SAML belirteci özniteliğini yapılandırın:

    Name Kaynak özniteliği Ad Alanı
    Roleoturumadı User. UserPrincipalName https://aws.amazon.com/SAML/Attributes
    Rol Kullanıcı. atandroles https://aws.amazon.com/SAML/Attributes
    SessionDuration "900 saniye (15 dakika) ila 43200 saniye (12 saat) arasında bir değer girin" https://aws.amazon.com/SAML/Attributes

    a. Yeni talep Ekle ' yi seçin ve ardından Kullanıcı taleplerini Yönet bölmesinde şunları yapın:

    "Kullanıcı talepleri" bölmesinde "yeni talep Ekle" ve "Kaydet" düğmelerinin ekran görüntüsü.

    "Kullanıcı taleplerini yönetme" bölmesinin ekran görüntüsü.

    b. Ad kutusuna öznitelik adını girin.

    c. Ad alanı kutusuna ad alanı değerini girin.

    d. Kaynak için öznitelik' i seçin.

    e. Kaynak özniteliği açılan listesinde, özniteliğini seçin.

    f. Tamam' ı ve ardından Kaydet' i seçin.

    Not

    Azure AD 'deki roller hakkında daha fazla bilgi için bkz. uygulamanıza uygulama rolleri ekleme ve bunları belirtece alma.

  7. SAML Ile tek Sign-On ayarlama sayfasında, SAML imza sertifikası bölümünde, Federasyon meta veri xml dosyasını indirmek için İndir ' i seçin ve ardından bilgisayarınıza kaydedin.

    "SAML meta verileri XML" indirme bağlantısının "SAML Imzalama sertifikası" bölmesinde ekran görüntüsü.

AWS SSO 'yu yapılandırma

  1. Yeni bir tarayıcı penceresinde, AWS şirket sitenizde yönetici olarak oturum açın.

  2. AWS giriş simgesini seçin.

    "AWS giriş" simgesinin ekran görüntüsü.

  3. AWS Hizmetleri bölmesinde, güvenlik, kimlik & uyumluluğu altında, IAM (kimlik & erişim yönetimi) öğesini seçin.

    "AWS Hizmetleri" bölmesindeki "kimlik ve erişim yönetimi" bağlantısının ekran görüntüsü.

  4. Sol bölmede, kimlik sağlayıcıları' nı seçin ve ardından sağlayıcı oluştur' u seçin.

    "Sağlayıcı oluşturma" düğmesinin ekran görüntüsü.

  5. Sağlayıcıyı yapılandır bölmesinde şunları yapın:

    "Sağlayıcıyı yapılandırma" bölmesinin ekran görüntüsü.

    a. Sağlayıcı türü aşağı açılan listesinde SAML' yi seçin.

    b. Sağlayıcı adı kutusuna bir sağlayıcı adı (örneğin,) girin. Waad).

    c. Meta veri belgesi kutusunun yanındaki Dosya Seç ' i seçerek INDIRILEN Federasyon meta veri XML dosyanızı Azure Portal yükleyin.

    d. Sonraki adımı seçin.

  6. Sağlayıcı bilgilerini doğrula bölmesinde Oluştur' u seçin.

    "Sağlayıcı bilgilerini doğrulama" bölmesinin ekran görüntüsü.

  7. Sol bölmede Roller' i seçin ve ardından rol oluştur' u seçin.

    Roller bölmesinde "rol oluştur" düğmesinin ekran görüntüsü.

    Not

    İçeri aktarılmakta olan bir rolün rol Amazon kaynak adı (ARN) ve SAML sağlayıcısı ARN 'in Birleşik uzunluğu 240 veya daha az karakter olmalıdır.

  8. Rol oluştur sayfasında, aşağıdakileri yapın:

    "Rol oluşturma" sayfasında "SAML 2,0 Federasyonu" güvenilen varlık düğmesinin ekran görüntüsü.

    a. Güvenilen varlık türünü seçin altında SAML 2,0 Federasyonu' ni seçin.

    b. SAML 2,0 sağlayıcısı seçin altında, daha önce oluşturduğunuz SAML sağlayıcısını seçin (örneğin, Waad)

    c. Programlı ve AWS Yönetim Konsolu erişimine Izin ver ' i seçin.

    d. Şunu seçin: İleri: İzinler.

  9. Arama kutusuna yönetici erişimi girin, Yönetimtoraccess onay kutusunu seçin ve ardından İleri: Etiketler' i seçin.

    Yönetimtoraccess ilkesi seçili olan "Ilke adı" listesinin ekran görüntüsü.

  10. Etiket ekle (isteğe bağlı) bölmesinde şunları yapın:

    "Etiket ekle (isteğe bağlı)" bölmesinin ekran görüntüsü.

    a. Anahtar kutusuna anahtar adını girin (örneğin, azureadtest).

    b. Değer (isteğe bağlı) kutusunda, anahtar değerini şu biçimde girin: <accountname-aws-admin> . Hesap adı tüm küçük harflerden oluşmalıdır.

    c. Şunu seçin: İleri: Gözden Geçir.

  11. Gözden geçirme bölmesinde şunları yapın:

    "Rol adı" ve "rol açıklaması" kutuları vurgulanmış şekilde Inceleme bölmesinin ekran görüntüsü.

    a. Rol adı kutusunda, değeri aşağıdaki biçimde girin: <accountname-aws-admin> .

    b. Rol açıklaması kutusuna rol adı için kullandığınız değeri girin.

    c. Rol oluştur' u seçin.

    d. İhtiyaç duyduğunuz sayıda rol oluşturun ve bunları kimlik sağlayıcısına eşleyin.

    Not

    Benzer şekilde, AccountName-finans-admin, AccountName-Read-Only-User, AccountName-DevOps-User veya AccountName-TPM-User gibi başka roller de oluşturabilirsiniz; her biri buna bağlı farklı bir ilke ile yapılır. Bu rol ilkelerini, her bir AWS hesabının gereksinimlerine göre daha sonra değiştirebilirsiniz. AWS hesaplarında her bir rol için aynı ilkeleri tutmanız iyi bir fikirdir.

  12. Aşağıdaki ekran görüntüsünde gösterildiği gibi, AWS hesabının hesap KIMLIĞINI Amazon elastik Işlem bulutu (Amazon EC2) Özellikler bölmesinden veya ıAM panosundan aklınızda olduğunuzdan emin olun:

    Hesap KIMLIĞININ "kimlik ve erişim yönetimi" bölmesinde nerede görüntülendiğini gösteren ekran görüntüsü.

  13. Azure portal oturum açın ve ardından gruplar' a gidin.

  14. Daha önce oluşturduğunuz ıAM rolleriyle aynı ada sahip yeni gruplar oluşturun ve ardından bu yeni grupların her birinin nesne kimliği kutusunda bulunan değeri unutmayın.

    Yeni bir grup için hesap ayrıntılarının ekran görüntüsü.

  15. Geçerli AWS hesabının oturumunu kapatın ve ardından Azure AD ile SSO 'yu yapılandırmak istediğiniz başka bir hesapta oturum açın.

  16. Hesaplarda tüm roller oluşturulduktan sonra, bu hesaplar için Roller listesinde gösterilir.

    Rol listesinin her rolün adını, açıklamasını ve güvenilir varlıklarını gösteren ekran görüntüsü.

Daha sonra tüm hesaplar genelinde tüm roller için tüm rol ve güvenilen varlıkları yakalamanız gerekir. Bunları Azure AD uygulamasıyla el ile eşlemeniz gerekir. Bunun için:

  1. Rol ARN ve güvenilen varlık değerlerini kopyalamak için her bir rolü seçin. Azure AD 'de oluşturacağınız tüm roller için bunlara ihtiyacınız olacaktır.

    Rol ARNs ve güvenilen varlıklar için Özet bölmesinin ekran görüntüsü.

  2. Önceki adımı tüm hesaplardaki tüm roller için tekrarlayın ve sonra bunları aşağıdaki biçimde bir metin dosyasında depolayın: <Role ARN>,<Trusted entities> .

  3. Microsoft Graph gezgininiaçın ve ardından aşağıdakileri yapın:

    a. kiracınız için genel yönetici veya ortak yönetici kimlik bilgileriyle Microsoft Graph gezgin sitesinde oturum açın.

    b. Rolleri oluşturmak için yeterli izinlere sahip olmanız gerekir. İzinleri değiştir' i seçin.

    Microsoft Graph gezgin kimlik doğrulama bölmesinde "izinleri değiştir" bağlantısının ekran görüntüsü.

    c. İzinler listesinde, aşağıdaki ekran görüntüsünde gösterilen izinlere sahip değilseniz, her birini seçin ve ardından Izinleri Değiştir' i seçin.

    uygun izinlere sahip Microsoft Graph gezgin izinleri listesinin ekran görüntüsü.

    d. Graph Explorer 'da yeniden oturum açın ve site kullanım koşullarını kabul edin.

    e. Bölmenin en üstünde, yöntem için Al ' ı seçin, sürüm için Beta ' yı seçin ve ardından sorgu kutusuna aşağıdakilerden birini girin:

    • Kiracınızdaki tüm hizmet sorumlularını getirmek için kullanın https://graph.microsoft.com/beta/servicePrincipals .
    • Birden çok dizin kullanıyorsanız, https://graph.microsoft.com/beta/contoso.com/servicePrincipals birincil etki alanınızı içeren öğesini kullanın.

    Microsoft Graph gezgin sorgusunun "istek gövdesi" bölmesinin ekran görüntüsü.

    f. Hizmet sorumluları listesinden, değiştirmeniz gereken bir tane alın.

    Ayrıca, CTRL + F ' i seçerek uygulamanın listelenen tüm hizmet sorumlularını için arama yapabilirsiniz. Belirli bir hizmet sorumlusunu almak için, burada gösterildiği gibi daha önce Azure AD Özellikler bölmesinden kopyaladığınız hizmet sorumlusu nesne KIMLIĞINI sorguya dahil edin:

    https://graph.microsoft.com/beta/servicePrincipals/<objectID>.

    Nesne KIMLIĞINI içeren bir hizmet sorumlusu sorgusunu gösteren ekran görüntüsü.

    örneğin: Hizmet sorumlusu nesnesinden appRoles özelliğini ayıklayın.

    Hizmet sorumlusu nesnesinden appRoles özelliğinin ayıklanması için kodun ekran görüntüsü.

    h. Artık uygulamanız için yeni roller oluşturmanız gerekir.

    i. Aşağıdaki JSON kodu appRoles nesnesine bir örnektir. Uygulamanız için istediğiniz rolleri eklemek için benzer bir nesne oluşturun.

    {
    "appRoles": [
        {
            "allowedMemberTypes": [
                "User"
            ],
            "description": "msiam_access",
            "displayName": "msiam_access",
            "id": "7dfd756e-8c27-4472-b2b7-38c17fc5de5e",
            "isEnabled": true,
            "origin": "Application",
            "value": null
        },
        {
            "allowedMemberTypes": [
                "User"
            ],
            "description": "Admin,WAAD",
            "displayName": "Admin,WAAD",
            "id": "4aacf5a4-f38b-4861-b909-bae023e88dde",
            "isEnabled": true,
            "origin": "ServicePrincipal",
            "value": "arn:aws:iam::12345:role/Admin,arn:aws:iam::12345:saml-provider/WAAD"
        },
        {
            "allowedMemberTypes": [
                "User"
            ],
            "description": "Auditors,WAAD",
            "displayName": "Auditors,WAAD",
            "id": "bcad6926-67ec-445a-80f8-578032504c09",
            "isEnabled": true,
            "origin": "ServicePrincipal",
            "value": "arn:aws:iam::12345:role/Auditors,arn:aws:iam::12345:saml-provider/WAAD"
        }    ]
    }
    

    Not

    Yalnızca düzeltme eki işlemi için msiam_access eklendikten sonra yeni roller ekleyebilirsiniz. Kuruluşunuzun ihtiyaçlarına bağlı olarak istediğiniz sayıda rol de ekleyebilirsiniz. Azure AD, bu rollerin DEĞERINI SAML yanıtında talep değeri olarak gönderir.

    j. Microsoft Graph gezgini ' nde yöntemi al ' dan düzeltme eki' nden değiştirin. Hizmet sorumlusu nesnesini, önceki örnekte gösterildiği gibi appRoles özelliğini güncelleştirerek istediğiniz rollerle birlikte yayükleyebilirsiniz. Düzeltme Eki işlemini yürütmek için Sorguyu Çalıştır ' ı seçin. Başarı iletisi AWS uygulamanız için rol oluşturulmasını onaylar.

    Microsoft Graph gezgin bölmesinin, yöntemi düzeltme eki olarak değiştirilmiş ekran görüntüsü.

  4. Hizmet sorumlusu daha fazla rolle düzeltme eki uygulandıktan sonra, kullanıcıları ve grupları ilgili rollerine atayabilirsiniz. Bu Azure portal, AWS uygulamasına gidip üstteki Kullanıcılar ve gruplar sekmesini seçerek yapabilirsiniz.

  5. Gruptaki belirli bir rolü atayabilmeniz için her bir AWS rolü için yeni bir grup oluşturmanızı öneririz. Bire bir eşleme, bir grubun bir role atandığı anlamına gelir. Daha sonra, o gruba ait olan üyeleri ekleyebilirsiniz.

  6. Grupları oluşturduktan sonra grubu seçin ve uygulamaya atayın.

    "Kullanıcılar ve gruplar" bölmesinin ekran görüntüsü.

    Not

    Grupları atadığınızda iç içe gruplar desteklenmez.

  7. Rolü gruba atamak için, rolü seçin ve ardından ata' yı seçin.

    "Atama Ekle" bölmesinin ekran görüntüsü.

    Not

    Rolleri atadıktan sonra, Azure portal oturumunuzu yenileyerek bunları görüntüleyebilirsiniz.

Test SSO 'SU

Bu bölümde, Azure AD çoklu oturum açma yapılandırmanızı Microsoft uygulamalarım ' ı kullanarak test edersiniz.

Uygulamalarım içindeki AWS kutucuğunu seçtiğinizde, AWS uygulama sayfası rolü seçme seçeneği ile açılır.

SSO 'yu test etmek için AWS sayfasının ekran görüntüsü.

Ayrıca, talep olarak geçirilen rolleri görmek için SAML yanıtını doğrulayabilirsiniz.

SAML yanıtının ekran görüntüsü.

Uygulamalarım hakkında daha fazla bilgi için bkz. uygulamalarım portalından oturum açma ve uygulamaları başlatma.

Sonraki adımlar

AWS 'yi yapılandırdıktan sonra, kuruluşunuzun hassas verilerinin konumunu gerçek zamanlı olarak koruyan oturum denetimini zorunlu kılabilirsiniz. Oturum denetimi koşullu erişimden genişletiliyor. Daha fazla bilgi için bkz. bulut uygulamaları Için Microsoft Defender ile oturum denetimini nasıl zorlayacağınızı öğrenin.