Öğretici: AWS IAM Kimlik Merkezi ile Microsoft Entra SSO tümleştirmesi

  • Makale

Bu öğreticide AWS IAM Kimlik Merkezi'nin (AWS Çoklu Oturum Açma'nın ardı) Microsoft Entra Id ile tümleştirmeyi öğreneceksiniz. AWS IAM Identity Center'ı Microsoft Entra Id ile tümleştirdiğinizde şunları yapabilirsiniz:

  • AWS IAM Kimlik Merkezi'ne kimlerin erişimi olduğunu Microsoft Entra Id'de kontrol edin.
  • Kullanıcılarınızın Microsoft Entra hesaplarıyla AWS IAM Kimlik Merkezi'nde otomatik olarak oturum açmasını sağlayın.
  • Hesaplarınızı tek bir merkezi konumda yönetin.

Not: AWS Kuruluşlarını kullanırken başka bir hesabı Kimlik Merkezi Yönetim hesabı olarak devretmek, üzerinde IAM Kimlik Merkezi'ni etkinleştirmek ve kök yönetim hesabıyla değil, bu hesapla Entra Id SSO'sını ayarlamak önemlidir. Bu, daha güvenli ve yönetilebilir bir kurulum sağlar.

Önkoşullar

Başlamak için aşağıdaki öğelere ihtiyacınız vardır:

  • Microsoft Entra aboneliği. Aboneliğiniz yoksa ücretsiz bir hesap alabilirsiniz.
  • AWS Kuruluşları, Kimlik Merkezi Yönetim hesabı olarak temsilci olarak atanan başka bir hesapla kurulum gerçekleştirir.
  • Aws IAM Kimlik Merkezi, temsilci kimlik merkezi yönetim hesabında etkinleştirildi.

Senaryo açıklaması

Bu öğreticide, Microsoft Entra SSO'sunu bir test ortamında yapılandırıp test edin.

Not: Aşağıdaki adımlara devam etmeden önce kimlik merkezi yönetim hesabı olarak başka bir hesap temsilcisi seçtiğinizden ve IAM Kimlik Merkezi'ni etkinleştirdiğinizden emin olun.

  • AWS IAM Kimlik Merkezi, SP ve IDP tarafından başlatılan SSO'ları destekler.

  • AWS IAM Kimlik Merkezi, Otomatik kullanıcı sağlamayı destekler.

AWS IAM Kimlik Merkezi'nin Microsoft Entra Id ile tümleştirilmesini yapılandırmak için, galerideki AWS IAM Kimlik Merkezi'ni yönetilen SaaS uygulamaları listenize eklemeniz gerekir.

  1. Microsoft Entra yönetim merkezinde en az Bir Bulut Uygulaması Yöneticisi olarak oturum açın.
  2. Kimlik>Uygulamaları>Kurumsal uygulamaları>Yeni uygulama'ya göz atın.
  3. Galeriden ekle bölümünde, arama kutusuna AWS IAM Kimlik Merkezi yazın.
  4. Sonuçlar panelinden AWS IAM Kimlik Merkezi'ni seçin ve uygulamayı ekleyin. Uygulama kiracınıza eklenirken birkaç saniye bekleyin.

Alternatif olarak, Kurumsal Uygulama Yapılandırması Sihirbazı'nı da kullanabilirsiniz. Bu sihirbazda, kiracınıza bir uygulama ekleyebilir, uygulamaya kullanıcı/grup ekleyebilir, roller atayabilir ve SSO yapılandırmasında da gezinebilirsiniz. Microsoft 365 sihirbazları hakkında daha fazla bilgi edinin.

AWS IAM Kimlik Merkezi için Microsoft Entra SSO yapılandırma ve test

B.Simon adlı bir test kullanıcısını kullanarak AWS IAM Kimlik Merkezi ile Microsoft Entra SSO'larını yapılandırın ve test edin. SSO'nun çalışması için Bir Microsoft Entra kullanıcısı ile AWS IAM Kimlik Merkezi'ndeki ilgili kullanıcı arasında bir bağlantı ilişkisi kurmanız gerekir.

AWS IAM Kimlik Merkezi ile Microsoft Entra SSO'larını yapılandırmak ve test etmek için aşağıdaki adımları gerçekleştirin:

  1. Kullanıcılarınızın bu özelliği kullanmasını sağlamak için Microsoft Entra SSO'sını yapılandırın.
    1. B.Simon ile Microsoft Entra çoklu oturum açmayı test etmek için bir Microsoft Entra test kullanıcısı oluşturun.
    2. B.Simon'un Microsoft Entra çoklu oturum açma özelliğini kullanmasını sağlamak için Microsoft Entra test kullanıcısını atayın.
  2. Uygulama tarafında çoklu oturum açma ayarlarını yapılandırmak için AWS IAM Kimlik Merkezi SSO'sunu yapılandırın.
    1. AWS IAM Kimlik Merkezi'nde kullanıcının Microsoft Entra gösterimine bağlı bir B.Simon benzerine sahip olmak için AWS IAM Kimlik Merkezi test kullanıcısı oluşturun.
  3. Yapılandırmanın çalışıp çalışmadığını doğrulamak için SSO test edin.

Microsoft Entra SSO'sını yapılandırma

Microsoft Entra SSO'nun etkinleştirilmesi için bu adımları izleyin.

  1. Microsoft Entra yönetim merkezinde en az Bir Bulut Uygulaması Yöneticisi olarak oturum açın.

  2. Kimlik>Uygulamaları>Kurumsal uygulamaları>AWS IAM Kimlik Merkezi>Çoklu oturum açma'ya göz atın.

  3. Çoklu oturum açma yöntemi seçin sayfasında SAML'yi seçin.

  4. SAML ile çoklu oturum açmayı ayarla sayfasında, ayarları düzenlemek için Temel SAML Yapılandırması'nın kalem simgesine tıklayın.

    Temel SAML Yapılandırmasını Düzenle

  5. Hizmet Sağlayıcısı meta veri dosyanız varsa, Temel SAML Yapılandırması bölümünde aşağıdaki adımları gerçekleştirin:

    a. Meta veri dosyasını karşıya yükle'ye tıklayın.

    b. AWS IAM Kimlik Merkezi SSO'sunu yapılandırma bölümünde indirilmesi açıklanan meta veri dosyasını seçmek için klasör logosuna tıklayın ve Ekle'ye tıklayın.

    image2

    c. Meta veri dosyası başarıyla karşıya yüklendikten sonra, Tanımlayıcı ve Yanıt URL'si değerleri Temel SAML Yapılandırması bölümünde otomatik olarak doldurulur.

    Not

    Tanımlayıcı ve Yanıt URL'si değerleri otomatik olarak doldurulmuyorsa, değerleri gereksinimlerinize göre el ile doldurun.

    Not

    AWS'de kimlik sağlayıcısını değiştirirken (AD'den Microsoft Entra ID gibi dış sağlayıcıya) AWS meta verileri değişir ve SSO'nun düzgün çalışması için Azure'a yeniden yüklenmesi gerekir.

  6. Hizmet Sağlayıcısı meta veri dosyanız yoksa Temel SAML Yapılandırması bölümünde aşağıdaki adımları gerçekleştirin. Uygulamayı IDP tarafından başlatılan modda yapılandırmak istiyorsanız aşağıdaki adımları gerçekleştirin:

    a. Tanımlayıcı metin kutusuna aşağıdaki deseni kullanarak bir URL yazın:https://<REGION>.signin.aws.amazon.com/platform/saml/<ID>

    b. Yanıt URL'si metin kutusuna aşağıdaki deseni kullanarak bir URL yazın:https://<REGION>.signin.aws.amazon.com/platform/saml/acs/<ID>

  7. Ek URL'leri ayarla'ya tıklayın ve uygulamayı SP tarafından başlatılan modda yapılandırmak istiyorsanız aşağıdaki adımı gerçekleştirin:

    Oturum açma URL'si metin kutusuna aşağıdaki deseni kullanarak bir URL yazın:https://portal.sso.<REGION>.amazonaws.com/saml/assertion/<ID>

    Not

    Bu değerler gerçek değildir. Bu değerleri gerçek Tanımlayıcı, Yanıt URL'si ve Oturum Açma URL'si ile güncelleştirin. Bu değerleri almak için AWS IAM Kimlik Merkezi İstemcisi destek ekibine başvurun. Temel SAML Yapılandırması bölümünde gösterilen desenlere de başvurabilirsiniz.

  8. AWS IAM Kimlik Merkezi uygulaması SAML onaylarını belirli bir biçimde bekler ve bu da SAML belirteç öznitelikleri yapılandırmanıza özel öznitelik eşlemeleri eklemenizi gerektirir. Aşağıdaki ekran görüntüsünde varsayılan özniteliklerin listesi gösterilmektedir.

    görüntü

    Not

    AWS IAM Kimlik Merkezi'nde ABAC etkinleştirilirse ek öznitelikler doğrudan AWS hesaplarına oturum etiketleri olarak geçirilebilir.

  9. SAML ile çoklu oturum açmayı ayarlama sayfasındaki SAML İmzalama Sertifikası bölümünde Federasyon Meta Verileri XML'sini bulun ve İndir'i seçerek sertifikayı indirin ve bilgisayarınıza kaydedin.

    Sertifika indirme bağlantısını gösteren ekran görüntüsü.

  10. AWS IAM Kimlik Merkezi'ni ayarlama bölümünde, gereksinimlerinize göre uygun URL'leri kopyalayın.

    Yapılandırmaya uygun URL'nin kopyalanmasını gösteren ekran görüntüsü.

Microsoft Entra test kullanıcısı oluşturma

Bu bölümde B.Simon adlı bir test kullanıcısı oluşturacaksınız.

  1. Microsoft Entra yönetim merkezinde en az Bir Kullanıcı Yöneticisi olarak oturum açın.
  2. Kimlik>Kullanıcılar>Tüm kullanıcılar seçeneğine gidin.
  3. Ekranın üst kısmındaki Yeni kullanıcı>Yeni kullanıcı oluştur'u seçin.
  4. Kullanıcı özellikleri bölümünde şu adımları izleyin:
    1. Görünen ad alanına girinB.Simon.
    2. Kullanıcı asıl adı alanına girinusername@companydomain.extension. Örneğin, B.Simon@contoso.com.
    3. Parolayı göster onay kutusunu seçin ve ardından Parola kutusunda görüntülenen değeri not edin.
    4. Gözden geçir ve oluştur’u seçin.
  5. Oluştur'u belirleyin.

Microsoft Entra test kullanıcısını atama

Bu bölümde, AWS IAM Kimlik Merkezi'ne erişim vererek B.Simon'un çoklu oturum açmayı kullanmasını sağlayacaksınız.

  1. Microsoft Entra yönetim merkezinde en az Bir Bulut Uygulaması Yöneticisi olarak oturum açın.
  2. Kimlik>Uygulamaları>Kurumsal uygulamaları>AWS IAM Kimlik Merkezi'ne göz atın.
  3. Uygulamanın genel bakış sayfasında Kullanıcılar ve gruplar'ı seçin.
  4. Kullanıcı/grup ekle'yi ve ardından Atama Ekle iletişim kutusunda Kullanıcılar ve gruplar'ı seçin.
    1. Kullanıcılar ve gruplar iletişim kutusunda, Kullanıcılar listesinden B.Simon'ı seçin, ardından ekranın en altındaki Seç düğmesine tıklayın.
    2. Kullanıcılara atanacak bir rol bekliyorsanız Rol seçin açılan listesinden bu rolü seçebilirsiniz. Bu uygulama için hiçbir rol ayarlanmadıysa, "Varsayılan Erişim" rolünün seçili olduğunu görürsünüz.
    3. Atama Ekle iletişim kutusunda Ata düğmesine tıklayın.

AWS IAM Kimlik Merkezi SSO'sını yapılandırma

  1. Farklı bir web tarayıcısı penceresinde AWS IAM Identity Center şirket sitenizde yönetici olarak oturum açın

  2. Hizmetler -> Güvenlik, Kimlik ve Uyumluluk -> AWS IAM Kimlik Merkezi'ne gidin.

  3. Sol gezinti bölmesinde Ayarlar'ı seçin.

  4. Ayarlar sayfasında Kimlik kaynağını bulun, Eylemler açılır menüsüne tıklayın ve Kimlik kaynağını değiştir'i seçin.

    Kimlik kaynağı değiştirme hizmeti için ekran görüntüsü.

  5. Kimlik kaynağını değiştir sayfasında Dış kimlik sağlayıcısı'nı seçin.

    Dış kimlik sağlayıcısı bölümünü seçme işleminin ekran görüntüsü.

  6. Dış kimlik sağlayıcısını yapılandırma bölümünde aşağıdaki adımları gerçekleştirin:

    Meta verileri indirme ve karşıya yükleme bölümünün ekran görüntüsü.

    a. Hizmet sağlayıcısı meta verileri bölümünde AWS SSO SAML meta verilerini bulun, Meta veri dosyasını indir'i seçerek meta veri dosyasını indirip bilgisayarınıza kaydedin ve Azure portalına yüklemek için bu meta veri dosyasını kullanın.

    b. AWS erişim portalı oturum açma URL'si değerini kopyalayın, bu değeri Temel SAML Yapılandırması bölümündeki Oturum açma URL'si metin kutusuna yapıştırın.

    c. İndirdiğiniz meta veri dosyasını karşıya yüklemek için Kimlik sağlayıcısı meta verileri bölümünde Dosya seç'i seçin.

    d. İleri: Gözden Geçir'i seçin.

  7. Kimlik kaynağını değiştirmek için metin kutusuna ACCEPT yazın.

    Yapılandırmayı onaylama işleminin ekran görüntüsü.

  8. Kimlik kaynağını değiştir'e tıklayın.

AWS IAM Identity Center test kullanıcısı oluşturma

  1. AWS IAM Kimlik Merkezi konsolunu açın.

  2. Sol gezinti bölmesinde Kullanıcılar'ı seçin.

  3. Kullanıcılar sayfasında Kullanıcı ekle'yi seçin.

  4. Kullanıcı ekle sayfasında şu adımları izleyin:

    a. Kullanıcı adı alanına B.Simon girin.

    b. E-posta adresi alanına girinusername@companydomain.extension. Örneğin, B.Simon@contoso.com.

    c. Onaylanan e-posta adresi alanında, önceki adımdaki e-posta adresini yeniden girin.

    d. Ad alanına girin Britta.

    e. Soyadı alanına girin Simon.

    f. Görünen ad alanına girin B.Simon.

    r. İleri'yi ve sonra yeniden İleri'yi seçin.

    Not

    AWS IAM Kimlik Merkezi'ne girilen kullanıcı adı ve e-posta adresinin kullanıcının Microsoft Entra oturum açma adıyla eşleştiğinden emin olun. Bu, kimlik doğrulama sorunlarını önlemeye yardımcı olur.

  5. Kullanıcı ekle'yi seçin.

  6. Ardından kullanıcıyı AWS hesabınıza atayacaksınız. Bunu yapmak için AWS IAM Identity Center konsolunun sol gezinti bölmesinde AWS hesapları'nı seçin.

  7. AWS Hesapları sayfasında AWS kuruluş sekmesini seçin, kullanıcıya atamak istediğiniz AWS hesabının yanındaki kutuyu işaretleyin. Ardından Kullanıcı ata'yı seçin.

  8. Kullanıcıları Ata sayfasında B.Simon kullanıcısının yanındaki kutuyu bulun ve işaretleyin. Ardından İleri: İzin kümeleri'ni seçin.

  9. İzin kümelerini seçin bölümünün altında, B.Simon kullanıcısına atamak istediğiniz izin kümesinin yanındaki kutuyu işaretleyin. Mevcut bir izin kümeniz yoksa Yeni izin kümesi oluştur'u seçin.

    Not

    İzin kümeleri, kullanıcıların ve grupların AWS hesabına sahip olduğu erişim düzeyini tanımlar. İzin kümeleri hakkında daha fazla bilgi edinmek için AWS IAM Kimlik Merkezi Çoklu Hesap İzinleri sayfasına bakın.

  10. Son'u seçin.

Not

AWS IAM Kimlik Merkezi otomatik kullanıcı sağlamayı da destekler. Burada otomatik kullanıcı sağlamayı yapılandırma hakkında daha fazla ayrıntı bulabilirsiniz.

SSO'ları test edin

Bu bölümde, Microsoft Entra çoklu oturum açma yapılandırmanızı aşağıdaki seçeneklerle test edin.

SP başlatıldı:

  • Bu uygulamayı test et'e tıklayın, bu, oturum açma akışını başlatabileceğiniz AWS IAM Kimlik Merkezi oturum açma URL'sine yönlendirilir.

  • DOĞRUDAN AWS IAM Kimlik Merkezi oturum açma URL'sine gidin ve buradan oturum açma akışını başlatın.

IDP başlatıldı:

  • Bu uygulamayı test et'e tıkladığınızda SSO'nun ayarlandığı AWS IAM Kimlik Merkezi'nde otomatik olarak oturum açmanız gerekir.

Uygulamayı herhangi bir modda test etmek için Microsoft Uygulamalarım de kullanabilirsiniz. Uygulamalarım AWS IAM Kimlik Merkezi kutucuğuna tıkladığınızda, SP modunda yapılandırıldıysa oturum açma akışını başlatmanız için uygulama oturum açma sayfasına yönlendirilirsiniz ve IDP modunda yapılandırıldıysanız, SSO'nun ayarlandığı AWS IAM Kimlik Merkezi'nde otomatik olarak oturum açmanız gerekir. Uygulamalarım hakkında daha fazla bilgi için bkz. Uygulamalarım giriş.

Sonraki adımlar

AWS IAM Kimlik Merkezi'ni yapılandırdıktan sonra, kuruluşunuzun hassas verilerini gerçek zamanlı olarak sızdırmayı ve sızmayı koruyan oturum denetimini zorunlu kılabilirsiniz. Oturum denetimi Koşullu Erişim'den genişletir. Bulut için Microsoft Defender Uygulamaları ile oturum denetimini zorunlu kılmayı öğrenin.