一般性问题

什么是 AWS Single Sign-On (AWS SSO)?

AWS SSO 是一项 AWS 服务,利用它可以轻松地集中管理对多个 AWS 账户和业务应用程序的访问权,并为用户提供从同一位置单点登录访问分配给他们的所有账户和应用程序的权限。利用 AWS SSO,您可以在 AWS Organizations 中轻松地集中管理您的所有账户的 SSO 访问和用户权限。利用 AWS SSO,您可以在 AWS SSO 的身份存储中创建和管理用户身份,或轻松连接至您现有的身份源,包括 Microsoft Active Directory、Okta Universal Directory 和 Azure Active Directory (Azure AD)。

AWS SSO 有哪些好处?

使用 AWS SSO,您可以快速、轻松地分配并管理员工对多个 AWS 账户、支持 SAML 的云应用程序(如 Salesforce、Office 365 和 Box),以及定制的内部应用程序的访问权限,所有这些操作均可通过一个集中位置来完成。员工可以使用现有的企业 Active Directory 凭证或在 AWS SSO 中配置的凭证,从个性化的用户门户访问他们的应用程序,从而提高工作效率。现在,员工无需记住到云应用程序的多组凭证和访问 URL,而且新员工从第一天开始就能高效工作。将用户添加到 Directory 中相应的组后,他们将自动获得对已为该组成员启用的账户和应用程序的访问权限。您可以从 AWS CloudTrail 集中监控并审核登录活动,从而更好地了解云应用程序的使用情况。

AWS SSO 可以解决哪些问题?

对于您用来跨 AWS 账户和业务应用程序预配置和管理身份的自定义 SSO 解决方案,AWS SSO 可以消除这些解决方案的管理复杂性。使用多个 AWS 账户并定期添加账户时,要设置带 Active Directory Federation Services (AD FS) 的 SSO 来访问这些账户,需要了解自定义 AD FS 声明编程语言。您还需要为 AWS 账户准备必要的权限来访问这些账户。我们将免费提供 AWS SSO,它可以与 AWS 紧密集成,降低重复设置和不同管理的复杂性。如果使用单独的密码来访问不同的 AWS 账户或云应用程序,则 AWS SSO 让每个 AWS 账户或云业务应用程序无需再提供单个密码,这简化了用户体验并提高了安全性。此外,通过集成 AWS CloudTrail 并为您提供一个集中位置来审核对 AWS 账户和支持 SAML 的云应用程序(Office 365、Salesforce 和 Box)的 SSO 访问权限,AWS SSO 让您可以无限制地了解对云应用程序的访问。

为什么应该使用 AWS SSO?

您应该使用 AWS SSO 授予员工对 AWS 账户和业务云应用程序的访问权限,让他们快速地高效工作,而无需编写自定义脚本或投资通用 SSO 解决方案。您还应该使用 AWS SSO 来降低设置和管理 SSO 访问权限的管理复杂性和成本。

使用 AWS SSO,您的员工可在工作期间从 AWS SSO 用户门户访问所需的 AWS 账户和应用程序,无论这些应用程序在何处构建或托管。

AWS SSO 可以用来做什么?

您可以使用 AWS SSO 快速、轻松地为员工分配对由 AWS Organizations 管理的 AWS 账户、业务云应用程序(如 Salesforce、Office 365 和 Box),以及支持安全断言标记语言 (SAML) 2.0 的自定义应用程序的访问权限。员工可以使用其现有的企业凭证或者他们在 AWS SSO 中配置的凭证登录,从单个用户门户访问业务应用程序。AWS SSO 还可让您使用 AWS CloudTrail 审核用户对云服务的访问权限。

哪些人应该使用 AWS SSO?

AWS SSO 适合以下管理员:他们负责管理多个 AWS 账户和业务应用程序;要集中管理用户对这些云服务的访问权限;以及要为员工提供单一位置来访问这些账户和应用程序,而且无需他们多记一个密码。

如何开始使用 AWS SSO?

作为一名 AWS SSO 新客户,您应该:

  1. 登录到 AWS 账户中主账户的 AWS 管理控制台并导航到 AWS SSO 控制台。
  2. 从 AWS SSO 控制台中选择用于存储用户和组身份的目录。AWS SSO 默认为您提供一个目录,您可以使用该目录管理 AWS SSO 中的用户和组。您还可以通过在 AWS SSO 自动在账户中发现的托管 Microsoft AD 和 AD Connector 实例列表中进行点击,来更改目录以连接到 Microsoft AD 目录。如果要连接到 Microsoft AD 目录,请参阅 AWS Directory Service 入门
  3. 从 AWS SSO 填充的列表中选择 AWS 账户,然后从目录中选择用户或组并选择要授予的权限,即可为用户授予对组织内 AWS 账户的 SSO 访问权限。 
  4. 通过以下方式为用户授予对业务云应用程序的访问权限:
    1. 从 AWS SSO 支持的一系列预集成应用程序中选择一个应用程序。
    2. 按配置说明配置该应用程序。
    3. 选择应能访问该应用程序的用户或组。
  5. 为您的用户提供配置目录时生成的 AWS SSO 登录 Web 地址,以便他们可以登录 AWS SSO 并访问账户和业务应用程序。

AWS SSO 的费用是多少?

AWS SSO 不另外收费。

AWS SSO 现已在哪些 AWS 地区提供?

查看 AWS 区域表,了解 AWS SSO 在各个区域的提供情况。

身份源和应用程序支持

可以对 AWS SSO 使用什么身份源?

利用 AWS SSO,您可以在 AWS SSO 的身份存储中创建和管理用户身份,或轻松连接至您现有的身份源,包括 Microsoft Active Directory、Okta Universal Directory、Azure Active Directory (Azure AD) 或另一个受支持的 IdP。请参见 AWS SSO 用户指南了解更多信息。

能否将多个身份源连接到 AWS SSO?

不能。在任何给定的时间内,您只能将一个目录或一个 SAML 2.0 身份提供程序连接到 AWS SSO。但是,您可以将连接的身份源更改为另一个身份源。

我可以与 AWS SSO 一起使用哪些 SAML 2.0 IdP?

可以将 AWS SSO 连接到大多数 SAML 2.0 IdP,例如 Okta Universal Directory 或 Azure Active Directory.请参见 AWS SSO 用户指南了解更多信息。

如何将现有 IdP 中的身份配置到 AWS SSO 中?

现有 IdP 中的身份必须在 AWS SSO 中进行配置,然后才能分配权限。您可以使用 System for Cross-domain Identity Management (SCIM) 标准自动同步来自 Okta Universal Directory、Azure AD 和 OneLogin 的用户和组信息。对于其他 IdP,您可以使用 AWS SSO 控制台配置 IdP 中的用户。请参见 AWS SSO 用户指南了解更多信息。

我可以自动将身份从我的 IdP 同步到 AWS SSO 吗?

可以。如果您使用 Okta Universal Directory、Azure AD 或 OneLogin,则可以使用 SCIM 自动将用户和组信息从 IdP 同步到 AWS SSO。请参见 AWS SSO 用户指南了解更多信息。

如何将 AWS SSO 连接到我的 Microsoft Active Directory?

您可以使用 AWS Directory Service,将 AWS SSO 连接到本地 Active Directory (AD) 或 AWS Managed Microsoft AD 目录。请参见 AWS SSO 用户指南了解更多信息。

我在本地管理 Active Directory 中的用户和组。我如何在 AWS SSO 中利用这些用户和组?

您可以通过两种方式将本地托管的 Active Directory 连接到 AWS SSO:(1) 使用 AD Connector;或者 (2) 使用 AWS Managed Microsoft AD 信任关系。

AD Connector 可以直接将您的现有本地 Active Directory 连接到 AWS。AD Connector 是一个目录网关,可让您将目录请求重定向到本地 Microsoft Active Directory,而无需在云中缓存任何信息。要使用 AD Connector 连接本地目录,请参见 AWS Directory Service 管理指南

AWS Managed Microsoft AD 可让您轻松地在 AWS 中设置和运行 Microsoft Active Directory。您可以使用它在本地目录和 AWS Managed Microsoft AD 之间设置林信任关系。要设置信任关系,请参见 AWS Directory Service 管理指南

我在 AWS Identity and Access Management (IAM) 中管理用户和组。如何在 AWS SSO 中使用我的 IAM 用户和组?

AWS SSO 目前不支持 AWS IAM 用户和组。

我是否可以将 Amazon Cognito 用户池用作 AWS SSO 中的身份源?

Amazon Cognito 是一种可以帮助您为面向客户的应用程序管理身份的服务,并不是 AWS SSO 中受支持的身份源。您可以在 AWS SSO 或在外部身份源中创建和管理用户身份,包括 Microsoft Active Directory、Okta Universal Directory、Azure Active Directory (Azure AD) 或另一个受支持的 IdP

AWS SSO 是否支持浏览器、命令行和移动界面?

是的,您可以使用 AWS SSO 控制对 AWS 管理控制台和 CLI v2 的访问。AWS SSO 可让您的用户通过单点登录体验访问 CLI 和 AWS 管理控制台。AWS 移动控制台应用程序还支持 AWS SSO,以便您可以在浏览器、移动界面和命令行界面中获得一致的登录体验。

可以将哪些云应用程序连接到 AWS SSO?

您可以将以下应用程序连接到 AWS SSO:

  1. AWS SSO 集成应用程序:AWS SSO 集成应用程序如 SageMaker StudioIoT SiteWise 使用 AWS SSO 进行身份验证,并可以使用您在 AWS SSO 中的身份。不需要通过额外配置,即可将身份同步到这些应用程序或分别设置联合。
  2. 预集成 SAML 应用程序:AWS SSO 已与常用的业务应用程序预集成。有关完整列表,请查看 AWS SSO 控制台。
  3. 自定义 SAML 应用程序:AWS SSO 支持允许使用 SAML 2.0 进行联合身份验证的应用程序。您可以使用自定义应用程序向导,让 AWS SSO 支持这些应用程序。

单点登录访问 AWS 账户

我可以将哪些 AWS 账户连接到 AWS SSO?

您可以将由 AWS Organizations 管理的所有 AWS 账户连接到 AWS SSO。您需要在组织中启用所有功能来管理您的账户 SSO。

如何在组织内的组织部门 (OU) 中设置针对 AWS 账户的 SSO?

您可以选择组织内的账户,也可以按 OU 筛选账户。

用户在使用 AWS SSO 访问他们的账户时,如何控制他们获得的权限?

授予用户访问权限时,您可以通过选择权限集来限制用户的权限。权限集是可在 AWS SSO 中创建的权限的集合,您可以根据 AWS 工作职能托管策略或其他任何 AWS 托管策略对该集合进行建模。AWS 工作职能托管策略旨在紧密贴合 IT 行业的常见工作职能。如果需要,您还可以完全定制该权限集来满足安全要求。AWS SSO 会自动将这些权限应用于所选的账户。更改权限集时,AWS SSO 可使您轻松将更改应用到相关账户。当用户通过 AWS SSO 用户门户访问账户时,这些权限会限制他们可在这些账户中执行的操作。您还可以授予用户多个权限集。在通过用户门户访问账户时,他们可以选择要为该会话提供的权限集。

哪种 AWS 账户可以获取 AWS Command Line Interface (CLI) 凭证?

您可以使用任何 AWS 账户获取 AWS CLI 凭证,以及您的 AWS SSO 管理员分配给您的用户权限。您可以使用这些 CLI 凭证编程式访问 AWS 账户。

来自 AWS SSO 用户门户的 AWS Command Line Interface 的凭证有效期为多长?

通过 AWS SSO 用户门户获取的 AWS CLI 凭证的有效期为 60 分钟。您可以根据需要随时获取新的凭证。

对业务应用程序的 SSO 访问权限

如何设置针对 Salesforce 等业务应用程序的 SSO?

从 AWS SSO 控制台导航到应用程序窗格,选择配置新应用程序,然后从一系列与 AWS SSO 预集成的云应用程序中选择一个应用程序。按屏幕上的说明配置该应用程序。您的应用程序现已配置完成,您可为其分配访问权限。选择您要为其提供应用程序访问权限的组或用户,然后选择“分配访问权限”完成该流程。

我们公司使用的业务应用程序不在 AWS SSO 预集成的应用程序列表中。我还可以使用 AWS SSO 吗?

可以。如果您的应用程序支持 SAML 2.0,那么您可以将应用程序配置为自定义 SAML 2.0 应用程序。从 AWS SSO 控制台导航到应用程序窗格,选择配置新应用程序,然后选择自定义 SAML 2.0 应用程序。按说明配置该应用程序。您的应用程序现已配置完成,您可为其分配访问权限。选择您要为其提供应用程序访问权限的组或用户,然后选择“分配访问权限”完成该流程。

我的应用程序仅支持 OpenID Connect (OIDC)。我能将其与 AWS SSO 一起使用吗?

不可以。AWS SSO 仅支持基于 SAML 2.0 的应用程序。

AWS SSO 是否支持对原生移动和桌面应用程序的单点登录?

不支持。AWS SSO 仅支持通过网页浏览器单点登录业务应用程序。 

其他

AWS SSO 可以代我存储哪些数据?

AWS SSO 将存储有关将哪些 AWS 账户和云应用程序分配给哪些用户和组,以及已针对 AWS 账户授予哪些访问权限的数据。AWS SSO 还将在单个 AWS 账户中创建并管理 IAM 角色,用于您为用户授予访问权限的每个权限集。

AWS SSO 是否支持 Multi-Factor Authentication (MFA)?

支持。通过运行 Remote Authentication Dial-In User Service (RADIUS) 服务器,并配置可与 Active Directory 或 AD Connector 配合使用的 RADIUS 服务器,您可以支持或要求用户在手机上安装一个多因素应用程序,或者要求用户提供额外因素登录 AWS SSO。

我的员工如何开始使用 AWS SSO?

员工可以通过访问在您在 AWS SSO 中配置身份源时生成的 AWS SSO 用户门户来开始使用 AWS SSO。如果您在 AWS SSO 中管理用户,您的员工可以使用他们在 AWS SSO 中配置的电子邮件地址和密码登录用户门户。如果将 AWS SSO 连接到 Microsoft Active Directory 或 SAML 2.0 身份提供程序,您的员工可以使用现有公司凭据登录用户门户,然后查看分配给他们的账户和应用程序。要访问账户或应用程序,员工要从 AWS SSO 用户门户中选择相关图标。

能否将 API 用于 AWS SSO?

不能。您可以使用 AWS SSO 控制台执行所有必要的操作。

准备好开始使用了吗?

注册 AWS Single Sign-On
还有更多问题?
联系我们