利用 AWS Single Sign-On (SSO),可以轻松地集中管理对多个 AWS 账户和业务应用程序的访问权,并为用户提供从同一位置单点登录访问分配给他们的所有账户和应用程序的权限。利用 AWS SSO,您可以在 AWS Organizations 中轻松集中管理对您所有账户的访问和用户权限。AWS SSO 会自动配置和维护您账户中的所有必要权限,因此无需在单个账户中进行任何额外设置。您可以根据常见工作职责分配用户权限,并自定义这些权限以满足特定的安全要求。AWS SSO 还包括与许多业务应用程序(例如 Salesforce、Box 和 Office 365)的内置集成。
利用 AWS SSO,您可以在 AWS SSO 的身份存储中创建和管理用户身份,或轻松连接至您现有的身份源,包括 Microsoft Active Directory、Okta Universal Directory 或 Azure Active Directory (Azure AD)。
AWS SSO 的入门很简单。只需在 AWS SSO 管理控制台中点击几下,您便可以将 AWS SSO 连接到您现有的身份源并配置权限,以授予您的用户从同一用户门户访问分配给他们的 AWS Organizations 账户和数百个预集成云应用程序的权限。
优势
集中管理对 AWS 账户的访问权限
利用 AWS SSO,您可以在 AWS Organizations 中轻松集中管理对您所有账户的访问和用户权限。无需在个人账户内进行额外设置。AWS SSO 可自动配置并维护账户中的所有必要权限。您可以根据常见的工作职能分配用户权限,对它们进行自定义以满足您的特定安全要求,并将权限分配给需要访问的特定账户中的用户或组。例如,对于运行安全工具的 AWS 账户,您可以授予安全团队管理级别的访问权限,而对于用于监控的其他 AWS 账户,您可以仅授予他们审计员级别的访问权限。AWS SSO 提供 API 和 AWS CloudFormation 支持,可以在多账户环境中自动进行权限管理,并能够以编程方式检索权限进行审计与监管。
在 AWS SSO 中创建用户或连接到现有的身份
AWS SSO 可使您在 AWS SSO 中创建用户身份和组。此外,如果您已使用 Microsoft Active Directory 域服务、Okta Universal Directory、Azure AD 或其他受支持的身份提供商,您的用户可以使用现有的公司凭证访问 AWS,且您的管理员可以继续在现有身份系统中管理用户和组。
从同一位置访问账户和应用程序
AWS SSO 提供了一个用户门户,以便用户可以在同一位置查找并访问在分配给他们的 AWS 账户和业务应用程序中担任的角色。AWS SSO 为您提供与许多业务应用程序(包括 Salesforce、Box 和 Office 365)的预配置 SAML 集成。AWS 会代表您监控这些集成的变化,并自动更新集成。借助 AWS SSO 应用程序配置向导,您可以将 SSO 访问扩展到任何支持安全断言标记语言 (SAML) 2.0 的应用程序。
易于使用
借助 AWS SSO,只需单击几次,即可为您的组织启用高度可用的单点登录服务。无需部署或维护额外的基础设施。所有的管理和登录活动都记录在 AWS CloudTrail 中,帮助您满足审计和合规性要求。您可以集中查看用户何时尝试访问账户和应用程序,包括是从哪个 IP 地址进行访问等信息。您还可以查看用户何时获得了账户和应用程序的访问权限、分配给他们的 AWS 账户的访问权限何时出现变动,以及他们的单点登录访问权限何时被移除。您可以使用 AWS SSO 在同一位置了解单点登录活动的审计。
工作原理

精选客户

Image API 使用 AWS Single Sign-On (SSO) 通过一个控制面板管理其 AWS 单租户环境和其他关键应用程序。SSO 如此直观,因此从我们在 re:Invent 了解它到最终实施只用了几周时间。如果没有 SSO,我们需要为每个 VPC 和所有其他应用程序提供不同的用户名和密码。有了这个功能,我们不仅可以更好地扩展规模,还可以轻松管理环境 – 这正是我们期望的运营方式。
– Image API 的 IT 总监 Bill Joy

Invenia 是一款基于云的机器学习平台,利用大量高频数据实时解决复杂的能源智能问题。作为基于云的企业,我们广泛依赖 AWS 和许多基于 SaaS 的应用程序,但困扰我们的是管理这么多独立系统的最终用户凭证存在的安全和合规性风险。部署 AWS SSO 之后,我们能够使用现有的企业凭证访问原来的应用程序,而无需管理传统的 SSO 解决方案,这太棒了!
– Invenia 架构和运营主管 Sascha McDonald

Syncron 是一家基于云的售后服务解决方案提供商,专注于帮助全球领先的制造商最大程度延长产品的正常运行时间,并提供卓越的客户体验。作为基于云的企业,我们特别关注当使用唯一凭证的用户过载时可能导致的生产中断和安全挑战。借助 AWS SSO,我们可以使用用户的常规企业凭证轻松快速地将其连接到 AWS,因而我们能够专注于继续为客户提供卓越服务,而不用在 AWS 多账户结构中管理用户凭证的生命周期。
– Syncron 首席技术官 Richard Barkestam