一般性问题

什么是 AWS Single Sign-On (AWS SSO)?

AWS SSO 是一项 AWS 服务,可让您通过单点登录 (SSO) 使用 Microsoft Active Directory 中的现有凭证来访问基于云的应用程序,如 AWS 账户和业务应用程序 (Office 365、Salesforce、Box)。

AWS SSO 有哪些好处?

使用 AWS SSO,您可以快速、轻松地分配并管理员工对多个 AWS 账户、支持 SAML 的云应用程序 (如 Salesforce、Office 365 和 Box),以及定制的内部应用程序的访问权限,所有这些操作均可通过一个集中位置来完成。员工可以使用现有的企业 Active Directory 用户名和密码登录,从个性化的用户门户访问他们的应用程序,从而提高工作效率。现在,员工无需记住到云应用程序的多组凭证和访问 URL,而且新员工从第一天开始就能高效工作。将用户添加到适当的 Active Directory 组后,他们将自动获得对已为该组成员启用的账户和应用程序的访问权限。您可以从 AWS CloudTrail 集中监控并审核登录活动,从而更好地了解云应用程序的使用情况。

AWS SSO 可以解决哪些问题?

对于您用来跨 AWS 账户和业务应用程序预配置和管理身份的自定义 SSO 解决方案,AWS SSO 可以消除这些解决方案的管理复杂性。使用多个 AWS 账户并定期添加账户时,要设置带 Active Directory Federation Services (AD FS) 的 SSO 来访问这些账户,需要了解自定义 AD FS 声明编程语言。您还需要为 AWS 账户准备必要的权限来访问这些账户。我们将免费提供 AWS SSO,它可以与 AWS 紧密集成,降低重复设置和不同管理的复杂性。如果使用单独的密码来访问不同的 AWS 账户或云应用程序,则 AWS SSO 让每个 AWS 账户或云业务应用程序无需再提供单个密码,这简化了用户体验并提高了安全性。此外,通过集成 AWS CloudTrail 并为您提供一个集中位置来审核对 AWS 账户和支持 SAML 的云应用程序 (Office 365、Salesforce 和 Box) 的 SSO 访问权限,AWS SSO 让您可以无限制地了解对云应用程序的访问。

为什么应该使用 AWS SSO?

您应该使用 AWS SSO 授予员工对 AWS 账户和业务云应用程序的访问权限,让他们快速地高效工作,而无需编写自定义脚本或投资通用 SSO 解决方案。您还应该使用 AWS SSO 来降低设置和管理 SSO 访问权限的管理复杂性和成本。

使用 AWS SSO,您的员工可在工作期间从 AWS SSO 用户门户访问所需的 AWS 账户和应用程序,无论这些应用程序在何处构建或托管。

AWS SSO 可以用来做什么?

您可以使用 AWS SSO 快速、轻松地为员工分配对由 AWS Organizations 管理的 AWS 账户、业务云应用程序 (如 Salesforce、Office 365 和 Box),以及支持安全断言标记语言 (SAML) 2.0 的自定义应用程序的访问权限。员工可以使用现有的企业用户名和密码登录,从单个用户门户访问业务应用程序。AWS SSO 还可让您使用 AWS CloudTrail 审核用户对云服务的访问权限。

哪些人应该使用 AWS SSO?

AWS SSO 适合以下管理员:他们负责管理多个 AWS 账户和业务应用程序;要集中管理用户对这些云服务的访问权限;以及要为员工提供单一位置来访问这些账户和应用程序,而且无需他们多记一个密码。

如何开始使用 AWS SSO?

作为一名 AWS SSO 新客户,您应该:

  1. 登录到 AWS 账户中主账户的 AWS 管理控制台并导航到 AWS SSO 控制台。
  2. 单击 AWS SSO 在您的账户中自动发现的一系列 Active Directory 和 Active Directory Connector 实例,从 AWS SSO 控制台中选择用来存储用户和组的身份的目录。如果尚未设置目录,请参阅入门
  3. 从 AWS SSO 填充的列表中选择 AWS 账户,然后从目录中选择用户或组并选择要授予的权限,即可为用户授予对组织内 AWS 账户的 SSO 访问权限。 
  4. 通过以下方式为用户授予对业务云应用程序的访问权限:
    1. 从 AWS SSO 支持的一系列预集成应用程序中选择一个应用程序。
    2. 按配置说明配置该应用程序。
    3. 选择应能访问该应用程序的用户或组。
  5. 为员工提供在连接到该目录时生成的 AWS SSO 登录 Web 地址,以便他们使用 Active Directory 用户名和密码登录 AWS SSO 并访问账户和业务应用程序。

AWS SSO 的费用是多少?

AWS SSO 不另外收费。

AWS SSO 现已在哪些 AWS 地区提供?

查看 AWS 地区表,了解 AWS SSO 在各个地区的提供情况。

目录和应用程序支持

可将 AWS SSO 用于哪些目录?

您可以将 AWS SSO 连接到在本地或 AWS 云中运行的 Microsoft Active Directory。AWS SSO 支持 AWS Directory Service for Microsoft Active Directory (也称为 AWS Managed Microsoft AD) 和 AD Connector。AWS SSO 不支持 Simple AD。请参阅 AWS Directory Service 入门,了解更多信息。

我是否可以将 Amazon Cognito 用户池用作 AWS SSO 中的互联目录?

目前还不可以。现在,AWS SSO 仅支持将 Microsoft Active Directory 用作用户目录。将根据用户反馈和需求随时间添加其他目录类型。

我可以使用 AWS SSO 连接哪些基于云的应用程序?

您可以将以下应用程序连接到 AWS SSO:

  1. AWS 管理控制台:您可以设置对 AWS 管理控制台的 SSO 访问权限。
  2. 第三方 SaaS 应用程序:AWS SSO 已与常用的业务应用程序预集成。有关完整列表,请查看 AWS SSO 控制台。
  3. 自定义 SAML 应用程序:AWS SSO 支持可使用 SAML 2.0 进行身份联合的应用程序。对于未与 AWS SSO 预集成的应用程序,您可以使用 AWS SSO 自定义应用程序向导来设置 SSO。

我在本地管理 Active Directory 中的用户和组。如何将我的目录连接到 AWS SSO?

您可以通过两种选项将本地托管的 Active Directory 连接到 AWS SSO:(1) 使用 AWS Managed Microsoft AD 信任关系;或者 (2) 使用 AD Connector。

AWS Managed Microsoft AD 可在 AWS 云中创建一个完全托管的 Active Directory,而且可用于在本地目录和 AWS Managed Microsoft AD 之间建立林信任关系。要建立信任关系,请参阅何时创建信任关系

AD Connector 是一个目录网关,可让您将目录请求重定向到本地 Microsoft Active Directory,而无需在云中缓存任何信息。要使用 AD Connector 连接本地目录,请参阅 AD Connector

我管理 AWS Identity and Access Management (IAM) 中的用户和组。能否将我的目录连接到 AWS SSO?

AWS SSO 目前不支持 AWS IAM 用户和组。

能否将多个目录连接到 AWS SSO?

不能。在任何给定的时间内,您只能将一个目录连接到 AWS SSO。但是,您可以将连接的目录更改为另一个目录。

对 AWS 账户的 SSO 访问权限

我可以将哪些 AWS 账户连接到 AWS SSO?

您可以将由 AWS Organizations 管理的所有 AWS 账户连接到 AWS SSO。您需要在组织中启用所有功能来管理您的账户 SSO。

如何在组织内的组织部门 (OU) 中设置针对 AWS 账户的 SSO?

您可以选择组织内的账户,也可以按 OU 筛选账户。

如何控制用户在使用 SSO 访问他们的账户时获得的权限?

授予用户 SSO 访问权限时,您可以通过选择权限集来限制用户的权限。权限集是可在 AWS SSO 中创建的权限的集合,您可以根据 AWS 工作职能托管策略或其他任何 AWS 托管策略对该集合进行建模。AWS 工作职能托管策略旨在紧密贴合 IT 行业的常见工作职能。如果需要,您还可以完全定制该权限集来满足安全要求。AWS SSO 会自动将这些权限应用于所选的账户。更改权限集时,AWS SSO 可使您轻松将更改应用到相关账户。当用户通过 AWS SSO 用户门户访问账户时,这些权限会限制他们可在这些账户中执行的操作。您还可以授予用户多个权限集。他们可以在通过用户门户访问账户时选择要为该会话提供的权限集。

哪种 AWS 账户可以获取 AWS Command Line Interface (CLI) 凭证?

您可以使用任何 AWS 账户获取AWS CLI凭证,以及您的 AWS SSO 管理员分配给您的用户权限。您可以使用这些 CLI 凭证编程式访问 AWS 账户。

来自 AWS SSO 用户门户的 AWS Command Line Interface 的凭证有效期为多长?

通过 AWS SSO 用户门户获取的AWS CLI凭证的有效期为60分钟。您可以根据需要随时获取新的凭证。

对业务应用程序的 SSO 访问权限

如何设置针对 Salesforce 等业务应用程序的 SSO?

从 AWS SSO 控制台导航到应用程序窗格,选择配置新应用程序,然后从一系列与 AWS SSO 预集成的云应用程序中选择一个应用程序。按屏幕上的说明配置该应用程序。您的应用程序现已配置完成,您可为其分配访问权限。选择您要为其提供应用程序访问权限的组或用户,然后选择“分配访问权限”完成该流程。

我们公司使用的业务应用程序不在 AWS SSO 预集成的应用程序列表中。我还可以使用 AWS SSO 吗?

可以。如果您的应用程序支持 SAML 2.0,那么您可以将应用程序配置为自定义 SAML 2.0 应用程序。从 AWS SSO 控制台导航到应用程序窗格,选择配置新应用程序,然后选择自定义 SAML 2.0 应用程序。按说明配置该应用程序。您的应用程序现已配置完成,您可为其分配访问权限。选择您要为其提供应用程序访问权限的组或用户,然后选择“分配访问权限”完成该流程。

我的应用程序仅支持 OpenID Connect (OIDC)。能否设置带 AWS SSO 的 SSO?

不能。AWS SSO 仅支持基于 SAML 2.0 的应用程序。

AWS SSO 是否支持对原生移动和桌面应用程序的单点登录?

不支持。AWS SSO 仅支持通过网页浏览器单点登录业务应用程序。 

其他

AWS SSO 可以代我存储哪些数据?

AWS SSO 将存储有关将哪些 AWS 账户和云应用程序分配给哪些用户和组,以及已针对 AWS 账户授予哪些访问权限的数据。AWS SSO 还将针对您为用户授予访问权限的每个权限集在单个 AWS 账户中创建并管理 IAM 角色。

AWS SSO 是否支持 Multi-Factor Authentication (MFA)?

支持。通过运行 Remote Authentication Dial-In User Service (RADIUS) 服务器并配置可与 Active Directory 或 AD Connector 配合使用的 RADIUS 服务器,您可以要求用户提供额外的因素来登录到 AWS SSO。

我的员工如何开始使用 AWS SSO?

员工可以通过访问在您将目录连接到 AWS SSO 时生成的 AWS SSO 用户门户来开始使用 AWS SSO。他们可以使用自己的 Active Directory 用户名和密码登录,然后查看分配给他们的账户和应用程序。要访问账户或应用程序,员工要从 AWS SSO 用户门户中选择相关图标。

能否将 API 用于 AWS SSO?

不能。您可以使用 AWS SSO 控制台执行所有必要的操作。

我想将我的业务应用程序作为内置集成添加到 AWS SSO 中。如何了解更多信息?

如需了解更多信息,请发邮件给我们

准备好开始使用?

注册 AWS Single Sign-On
还有更多问题?
联系我们