Självstudie: Microsoft Entra SSO-integrering med åtkomst med ett enda AWS-konto
I den här självstudien får du lära dig hur du integrerar åtkomst med ett enda AWS-konto med Microsoft Entra-ID. När du integrerar AWS-åtkomst med ett enda konto med Microsoft Entra-ID kan du:
- Kontroll i Microsoft Entra-ID som har åtkomst till åtkomst med ett enda AWS-konto.
- Gör så att dina användare automatiskt loggas in på AWS-åtkomst med ett enda konto med sina Microsoft Entra-konton.
- Hantera dina konton på en central plats.
Förstå de olika AWS-programmen i Microsoft Entra-programgalleriet
Använd informationen nedan för att fatta ett beslut mellan att använda AWS-program för enkel inloggning och AWS-åtkomst med ett enda konto i Microsoft Entra-programgalleriet.
Enkel inloggning med AWS
Enkel inloggning med AWS lades till i Microsoft Entra-programgalleriet i februari 2021. Det gör det enkelt att hantera åtkomst centralt till flera AWS-konton och AWS-program med inloggning via Microsoft Entra-ID. Federera Microsoft Entra-ID med AWS SSO en gång och använd AWS SSO för att hantera behörigheter för alla dina AWS-konton från ett och samma ställe. AWS SSO etablerar behörigheter automatiskt och håller dem aktuella när du uppdaterar principer och åtkomsttilldelningar. Slutanvändare kan autentisera med sina Microsoft Entra-autentiseringsuppgifter för att få åtkomst till AWS-konsolen, kommandoradsgränssnittet och AWS SSO-integrerade program.
Åtkomst med ett enda AWS-konto
AWS-åtkomst med ett enda konto har använts av kunder under de senaste åren och gör att du kan federera Microsoft Entra-ID till ett enda AWS-konto och använda Microsoft Entra-ID för att hantera åtkomst till AWS IAM-roller. AWS IAM-administratörer definierar roller och principer i varje AWS-konto. För varje AWS-konto federerar Microsoft Entra-administratörer till AWS IAM, tilldelar användare eller grupper till kontot och konfigurerar Microsoft Entra-ID för att skicka intyg som auktoriserar rollåtkomst.
Funktion | Enkel inloggning med AWS | Åtkomst med ett enda AWS-konto |
---|---|---|
Villkorlig åtkomst | Stöder en enda princip för villkorlig åtkomst för alla AWS-konton. | Stöder en enskild princip för villkorlig åtkomst för alla konton eller anpassade principer per konto |
CLI-åtkomst | Stöds | Stöds |
Privileged Identity Management | Stöds | Stöds inte |
Centralisera kontohantering | Centralisera kontohantering i AWS. | Centralisera kontohantering i Microsoft Entra-ID (kräver sannolikt ett Microsoft Entra-företagsprogram per konto). |
SAML-certifikat | Enskilt certifikat | Separata certifikat per app/konto |
AWS-arkitektur för åtkomst med ett enda konto
Du kan konfigurera flera identifierare för flera instanser. Till exempel:
https://signin.aws.amazon.com/saml#1
https://signin.aws.amazon.com/saml#2
Med dessa värden tar Microsoft Entra-ID bort värdet #för och skickar rätt värde https://signin.aws.amazon.com/saml
som målgrupps-URL i SAML-token.
Vi rekommenderar den här metoden av följande skäl:
Varje program ger dig ett unikt X509-certifikat. Varje instans av en AWS-appinstans kan sedan ha ett annat förfallodatum för certifikatet, som kan hanteras på ett enskilt AWS-konto. Övergripande redundansväxling av certifikat är enklare i det här fallet.
Du kan aktivera användaretablering med en AWS-app i Microsoft Entra-ID och sedan hämtar vår tjänst alla roller från det AWS-kontot. Du behöver inte lägga till eller uppdatera AWS-rollerna manuellt i appen.
Du kan tilldela appens ägare individuellt för appen. Den här personen kan hantera appen direkt i Microsoft Entra-ID.
Kommentar
Kontrollera att du endast använder ett galleriprogram.
Förutsättningar
För att komma igång behöver du följande:
- En Microsoft Entra-prenumeration. Om du inte har en prenumeration kan du få ett kostnadsfritt konto.
- En AWS IAM IdP-aktiverad prenumeration.
- Tillsammans med molnprogramadministratör kan programadministratör också lägga till eller hantera program i Microsoft Entra-ID. Mer information finns i Inbyggda roller i Azure.
Kommentar
Roller bör inte redigeras manuellt i Microsoft Entra-ID när du importerar roller.
Beskrivning av scenario
I den här självstudien konfigurerar och testar du Microsoft Entra SSO i en testmiljö.
- AWS-åtkomst med ett enda konto stöder SP- och IDP-initierad enkel inloggning.
Kommentar
Identifieraren för det här programmet är ett fast strängvärde så att endast en instans kan konfigureras i en klientorganisation.
Lägga till åtkomst med ett enda AWS-konto från galleriet
För att konfigurera integreringen av AWS-åtkomst med ett enda konto i Microsoft Entra-ID måste du lägga till AWS-åtkomst med ett enda konto från galleriet i din lista över hanterade SaaS-appar.
- Logga in på administrationscentret för Microsoft Entra som minst molnprogramadministratör.
- Bläddra till Identity>Applications Enterprise-program>>Nytt program.
- I avsnittet Lägg till från galleriet skriver du AWS Single-Account Access i sökrutan.
- Välj AWS-åtkomst med ett enda konto i resultatpanelen och lägg sedan till appen. Vänta några sekunder medan appen läggs till i din klientorganisation.
Du kan också använda guiden Konfiguration av företagsappar. I den här guiden kan du lägga till ett program i din klientorganisation, lägga till användare/grupper i appen, tilldela roller och gå igenom SSO-konfigurationen. Läs mer om Microsoft 365-guider.
Du kan också använda guiden Konfiguration av företagsappar. I den här guiden kan du lägga till ett program i din klientorganisation, lägga till användare/grupper i appen, tilldela roller och gå igenom SSO-konfigurationen. Du kan läsa mer om O365-guider här.
Konfigurera och testa Microsoft Entra SSO för åtkomst med ett enda AWS-konto
Konfigurera och testa Microsoft Entra SSO med AWS-åtkomst med ett enda konto med hjälp av en testanvändare med namnet B.Simon. För att enkel inloggning ska fungera måste du upprätta en länkrelation mellan en Microsoft Entra-användare och den relaterade användaren i åtkomst med ett enda AWS-konto.
Utför följande steg för att konfigurera och testa Microsoft Entra SSO med AWS-åtkomst med ett enda konto:
- Konfigurera Microsoft Entra SSO – så att användarna kan använda den här funktionen.
- Skapa en Microsoft Entra-testanvändare – för att testa enkel inloggning med Microsoft Entra med B.Simon.
- Tilldela Microsoft Entra-testanvändaren – för att göra det möjligt för B.Simon att använda enkel inloggning med Microsoft Entra.
- Konfigurera enkel inloggning för AWS med enkel åtkomst – för att konfigurera inställningarna för enkel inloggning på programsidan.
- Skapa en testanvändare för AWS-åtkomst med ett konto – för att ha en motsvarighet till B.Simon i AWS-åtkomst med ett enda konto som är länkad till Microsoft Entra-representationen av användaren.
- Så här konfigurerar du rolletablering i åtkomst med ett enda AWS-konto
- Testa enkel inloggning – för att kontrollera om konfigurationen fungerar.
Konfigurera enkel inloggning med Microsoft Entra
Följ de här stegen för att aktivera Enkel inloggning i Microsoft Entra.
Logga in på administrationscentret för Microsoft Entra som minst molnprogramadministratör.
Bläddra till Identity>Applications>Enterprise-program>AWS enkel inloggning med>enkel inloggning med ett konto.
På sidan Välj en enkel inloggningsmetod väljer du SAML.
På sidan Konfigurera enkel inloggning med SAML klickar du på pennikonen för Grundläggande SAML-konfiguration för att redigera inställningarna.
I avsnittet Grundläggande SAML-konfiguration uppdaterar du både identifierare (entitets-ID) och svars-URL med samma standardvärde:
https://signin.aws.amazon.com/saml
. Du måste välja Spara för att spara konfigurationsändringarna.AWS-programmet förväntar sig SAML-försäkran i ett visst format, vilket kräver att du lägger till anpassade attributmappningar i konfigurationen av SAML-tokenattribut. I följande skärmbild visas listan över standardattribut.
Utöver ovanstående förväntar sig AWS-programmet att få fler attribut skickas tillbaka i SAML-svar som visas nedan. Dessa attribut är också ifyllda i förväg, men du kan granska dem enligt dina behov.
Name Källattribut Namnområde RoleSessionName user.userprincipalname https://aws.amazon.com/SAML/Attributes
Roll user.assignedroles https://aws.amazon.com/SAML/Attributes
SessionDuration user.sessionduration https://aws.amazon.com/SAML/Attributes
Kommentar
AWS förväntar sig roller för användare som tilldelats till programmet. Konfigurera dessa roller i Microsoft Entra-ID så att användarna kan tilldelas lämpliga roller. Information om hur du konfigurerar roller i Microsoft Entra-ID finns här
På sidan Konfigurera enkel inloggning med SAML går du till dialogrutan SAML-signeringscertifikat (steg 3) och väljer Lägg till ett certifikat.
Generera ett nytt SAML-signeringscertifikat och välj sedan Nytt certifikat. Ange en e-postadress för certifikataviseringar.
(Valfritt) Du kan välja Gör certifikatet aktivt.
I avsnittet SAML-signeringscertifikat letar du reda på XML för federationsmetadata och väljer Ladda ned för att ladda ned certifikatet och spara det på datorn.
I avsnittet Konfigurera åtkomst med ett enda AWS-konto kopierar du lämpliga URL:er baserat på dina behov.
Skapa en Microsoft Entra-testanvändare
I det här avsnittet skapar du en testanvändare med namnet B.Simon.
- Logga in på administrationscentret för Microsoft Entra som minst användaradministratör.
- Gå till Identitet>Användare>Alla användare.
- Välj Ny användare>Skapa ny användare överst på skärmen.
- Följ dessa steg i användaregenskaperna :
- I fältet Visningsnamn anger du
B.Simon
. - I fältet Användarens huvudnamn anger du username@companydomain.extension. Exempel:
B.Simon@contoso.com
- Markera kryssrutan Visa lösenord och skriv sedan ned det värde som visas i rutan Lösenord.
- Välj Granska + skapa.
- I fältet Visningsnamn anger du
- Välj Skapa.
Tilldela Microsoft Entra-testanvändaren
I det här avsnittet gör du det möjligt för B.Simon att använda enkel inloggning genom att ge åtkomst till AWS-åtkomst med ett enda konto.
- Logga in på administrationscentret för Microsoft Entra som minst molnprogramadministratör.
- Bläddra till Identity>Applications Enterprise-program>>AWS–åtkomst med ett enda konto.
- På appens översiktssida väljer du Användare och grupper.
- Välj Lägg till användare/grupp och välj sedan Användare och grupper i dialogrutan Lägg till tilldelning .
- I dialogrutan Användare och grupper väljer du B.Simon i listan Användare och klickar sedan på knappen Välj längst ned på skärmen.
- Om du förväntar dig att en roll ska tilldelas till användarna kan du välja den i listrutan Välj en roll . Om ingen roll har konfigurerats för den här appen visas rollen "Standardåtkomst" markerad.
- I dialogrutan Lägg till tilldelning klickar du på knappen Tilldela.
Konfigurera enkel inloggning med enkel åtkomst för AWS
I ett annat webbläsarfönster loggar du in på din AWS-företagswebbplats som administratör.
På AWS-startsidan söker du efter IAM och klickar på den.
Gå till Åtkomsthantering –> Identitetsprovidrar och klicka på knappen Lägg till provider .
På sidan Lägg till en identitetsprovider utför du följande steg:
a. Som Providertyp väljer du SAML.
b. Som Providernamn skriver du ett providernamn (till exempel: WAAD).
c. Om du vill ladda upp den nedladdade metadatafilen väljer du Välj fil.
d. Klicka på Lägg till provider.
Välj Roller>Skapa roll.
På sidan Skapa roll utför du följande steg:
a. Välj Betrodd entitetstyp och välj SAML 2.0-federation.
b. Under SAML 2.0-baserad provider väljer du den SAML-provider som du skapade tidigare (till exempel WAAD).
c. Välj Allow programmatic and AWS Management Console access (Tillåt programmatisk åtkomst och AWS-hanteringskonsolåtkomst).
d. Välj Nästa.
I dialogrutan Behörighetsprinciper bifogar du rätt princip per organisation. Välj sedan Nästa.
Utför följande steg i dialogrutan Granska :
a. I Rollnamn anger du ditt rollnamn.
b. I Beskrivning anger du rollbeskrivningen.
c. Välj Skapa roll.
d. Skapa så många roller som behövs och mappa dem till identitetsprovidern.
Använd autentiseringsuppgifterna för AWS-tjänstkontot för att hämta rollerna från AWS-kontot i Microsoft Entra-användaretablering. För detta öppnar du AWS-konsolstarten.
I avsnittet IAM väljer du Principer och klickar på Skapa princip.
Skapa en egen princip för att hämta alla roller från AWS-konton.
a. I Skapa princip väljer du fliken JSON .
b. Lägg till följande JSON i principdokumentet:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "iam:ListRoles" ], "Resource": "*" } ] }
c. Klicka på Nästa: Taggar.
Du kan också lägga till de taggar som krävs på sidan nedan och klicka på Nästa: Granska.
Definiera den nya principen.
a. Som Namn anger du AzureAD_SSOUserRole_Policy.
b. Som Beskrivning anger du Den här principen tillåter att rollerna hämtas från AWS-konton.
c. Välj Skapa princip.
Skapa ett nytt användarkonto i AWS IAM-tjänsten.
a. I AWS IAM-konsolen väljer du Användare och klickar på Lägg till användare.
b. I avsnittet Ange användarinformation anger du användarnamnet som AzureADRoleManager och väljer Nästa.
c. Skapa en ny princip för den här användaren.
d. Välj Koppla befintliga principer direkt.
e. Sök efter den nyligen skapade principen i filteravsnittet AzureAD_SSOUserRole_Policy.
f. Välj principen och välj sedan Nästa.
Granska dina val och välj Skapa användare.
Obs! Se till att skapa och ladda ned åtkomstnyckeln från tredje part för den här användaren. Den här nyckeln används i avsnittet Microsoft Entra-användaretablering för att hämta rollerna från AWS-konsolen.
Om du vill ladda ned användarens autentiseringsuppgifter för en användare aktiverar du konsolåtkomsten på fliken Säkerhetsautentiseringsuppgifter .
Ange dessa autentiseringsuppgifter i avsnittet Microsoft Entra-användaretablering för att hämta rollerna från AWS-konsolen.
Kommentar
AWS har en uppsättning behörigheter/limtar som krävs för att konfigurera enkel inloggning med AWS. Mer information om AWS-gränser finns på den här sidan.
Så här konfigurerar du rolletablering i åtkomst med ett enda AWS-konto
I Microsoft Entra-hanteringsportalen går du till Etablering i AWS-appen.
Obs! Användarnamnet och lösenordet som returneras när du aktiverar konsolåtkomst är inte vad som behövs för värdena för klienteekret och hemlig token. Skapa i stället en åtkomstnyckel från tredje part för det här steget.
Ange åtkomstnyckeln och hemligheten i fälten clientsecret respektive Secret Token .
a. Ange AWS-användaråtkomstnyckeln i fältet clientsecret.
b. Ange AWS-användarhemligheten i fältet Hemlig token.
c. Välj Testanslutning.
d. Spara inställningen genom att välja Spara.
I avsnittet Inställningar väljer du På för Etableringsstatus. Välj sedan Spara.
Kommentar
Etableringstjänsten importerar endast roller från AWS till Microsoft Entra ID. Tjänsten etablerar inte användare och grupper från Microsoft Entra-ID till AWS.
Kommentar
När du har sparat etableringsautentiseringsuppgifterna måste du vänta tills den första synkroniseringscykeln har körts. Synkroniseringen tar vanligtvis cirka 40 minuter att slutföra. Du kan se statusen längst ned på sidan Etablering under Aktuell status.
Skapa en AWS-testanvändare för åtkomst med ett enda konto
Målet med det här avsnittet är att skapa en användare med namnet B.Simon i AWS Single-Account Access. Åtkomst med ett enda AWS-konto behöver inte en användare skapas i deras system för enkel inloggning, så du behöver inte utföra någon åtgärd här.
Testa enkel inloggning
I det här avsnittet testar du konfigurationen av enkel inloggning med Microsoft Entra med följande alternativ.
SP-initierad:
Klicka på Testa det här programmet. Detta omdirigeras till AWS-url för enkel inloggning där du kan initiera inloggningsflödet.
Gå till inloggnings-URL:en för enkel inloggning med AWS och initiera inloggningsflödet därifrån.
IDP-initierad:
- Klicka på Testa det här programmet så bör du automatiskt loggas in på AWS-åtkomst med ett enda konto som du har konfigurerat enkel inloggning för.
Du kan också använda Microsoft Mina appar för att testa programmet i valfritt läge. När du klickar på AWS-panelen åtkomst med ett enda konto i Mina appar, om du konfigureras i SP-läge, omdirigeras du till programinloggningssidan för att initiera inloggningsflödet och om det konfigureras i IDP-läge bör du automatiskt loggas in på AWS-åtkomst med ett enda konto som du har konfigurerat enkel inloggning för. Mer information om Mina appar finns i Introduktion till Mina appar.
Kända problem
Etableringsintegrering av AWS-åtkomst med ett enda konto kan inte användas i AWS China-regionerna.
I avsnittet Etablering visar underavsnittet Mappningar en "Läser in..." meddelande och visar aldrig attributmappningarna. Det enda etableringsarbetsflöde som stöds idag är import av roller från AWS till Microsoft Entra-ID för val under en användar- eller grupptilldelning. Attributmappningarna för detta är förutbestämda och kan inte konfigureras.
Avsnittet Etablering stöder endast inmatning av en uppsättning autentiseringsuppgifter för en AWS-klientorganisation i taget. Alla importerade roller skrivs till
appRoles
egenskapen för Microsoft Entra ID-objektetservicePrincipal
för AWS-klientorganisationen.Flera AWS-klienter (representeras av
servicePrincipals
) kan läggas till i Microsoft Entra-ID från galleriet för etablering. Det finns dock ett känt problem med att inte automatiskt kunna skriva alla importerade roller från flera AWSservicePrincipals
som används för etablering till den endaservicePrincipal
som används för enkel inloggning.Som en lösning kan du använda Microsoft Graph API för att extrahera alla
appRoles
importerade till varje AWSservicePrincipal
där etableringen är konfigurerad. Därefter kan du lägga till dessa rollsträngar i AWSservicePrincipal
där enkel inloggning har konfigurerats.Roller måste uppfylla följande krav för att vara berättigade att importeras från AWS till Microsoft Entra-ID:
- Roller måste ha exakt en saml-provider definierad i AWS
- Den kombinerade längden på ARN(Amazon Resource Name) för rollen och ARN för den associerade saml-providern måste vara mindre än 240 tecken.
Ändringslogg
- 2020-01-12 – Ökad längdgräns för roller från 119 tecken till 239 tecken.
Nästa steg
När du har konfigurerat åtkomst med ett enda AWS-konto kan du framtvinga sessionskontroll, vilket skyddar exfiltrering och infiltration av organisationens känsliga data i realtid. Sessionskontrollen utökas från villkorsstyrd åtkomst. Lär dig hur du framtvingar sessionskontroll med Microsoft Defender för molnet Apps.