详细信息

利用 AWS Single Sign-On (SSO),可以轻松地集中管理对多个 AWS 账户和业务应用程序的访问权,并为用户提供从同一位置单点登录访问分配给他们的所有账户和应用程序的权限。利用 AWS SSO,您可以在 AWS Organizations 中轻松集中管理对您所有账户的访问和用户权限。SSO 会自动配置和维护您账户中的所有必要权限,因此无需在单个账户中进行任何额外设置。您可以根据常见工作职责分配用户权限,并自定义这些权限以满足特定的安全要求。AWS SSO 还包括与许多业务应用程序(例如 Salesforce、Box 和 Microsoft 365)的内置集成。

利用 AWS SSO,您可以在 AWS SSO 的身份存储中创建和管理用户身份,或轻松连接至您现有的身份源,包括 Microsoft Active Directory、Okta Universal Directory 或 Azure Active Directory (Azure AD)。AWS SSO 允许您从身份源选择用户属性,例如成本中心、职位或区域,然后利用它们在 AWS 中进行基于属性的访问控制。

AWS SSO 的入门很简单。只需在 AWS SSO 管理控制台中点击几下, 您便可以将 AWS SSO 连接到您现有的身份源并配置权限,以授予您的用户从同一用户门户访问分配给他们的 AWS Organizations 账户和数百个预配置云应用程序的权限。

管理功能

已与 AWS Organizations 集成

AWS SSO 已与 AWS Organizations 集成,使您能够从组织中选择一个或多个账户,并授予用户对这些账户的访问权限。 AWS SSO 在 AWS Identity and Access Management (IAM) 角色和策略基础上构建,用于帮助您在 AWS 组织中的所有 AWS 账户之间集中管理访问权限。无需在单个账户中进行额外的配置。只需轻点几次即可授予用户对应用程序或团队使用的所有 AWS 账户的访问权限。

管理多个 AWS 账户的 SSO 登录

借助 AWS Single Sign-On (SSO),您可以对多个 AWS 账户的访问进行集中管理。当用户登录到个性化用户门户后,他们会在一个位置看到 AWS 账户中所有分配的角色。

基于属性的访问控制

AWS SSO 让您能够根据 AWS SSO 身份源中定义的用户属性轻松地创建和使用精细的工作人员权限。AWS SSO 允许您选择多种属性,例如成本中心、职位或区域,然后将它们用于基于属性的访问控制 (ABAC) 以简化和集中处理访问管理工作。您可以一次性为整个 AWS 组织定义权限,然后您只需更改身份源中的属性即可授予、撤消或修改 AWS 访问权限。

在 AWS SSO 中创建和管理用户

AWS SSO 现在默认提供一个目录,您可以使用该目录在 AWS SSO 中创建用户并对其进行管理。您可以通过配置用户电子邮件地址和名称在 AWS SSO 中创建用户。创建用户时,默认情况下,AWS SSO 会向用户发送电子邮件,以便用户可以设置自己的密码。在数分钟内,您即可向用户和组授予所有 AWS 账户以及许多业务应用程序中 AWS 资源的访问权限。您的用户使用在 AWS SSO 中配置的凭据登录用户门户,以在一个位置即可访问其分配的所有账户和应用程序。

连接 Microsoft Active Directory

借助 AWS SSO,您可以使用 Microsoft Active Directory 域服务 (AD DS) 中的现有企业身份管理对账户和应用程序的 SSO 访问权限。AWS SSO 可通过 AWS Directory Service 与 AD DS 连接,而且只需将用户添加到相应的 AD 组即可授予用户对账户和应用程序的访问权限。例如,您可以为使用某个应用程序的一组开发人员创建组,并授予该组对该应用程序的 AWS 账户的访问权限。新开发人员加入该团队时,如果您将他们添加到 AD 组,他们将被自动授予对该应用程序内所有 AWS 账户的访问权限。 AWS SSO 还允许您从自己的 AD 选择多种用户属性,例如成本中心、职位或区域,然后将它们用于 ABAC 以简化和集中处理访问管理工作。

从基于标准的身份提供商连接和自动预置用户

您可以通过安全性声明标记语言 (SAML) 2.0 将 AWS SSO 连接到 Okta Universal Directory、Azure AD 或其他受支持的身份提供商 (IdP),以便您的用户可以使用其现有凭据登录。此外,AWS SSO 还支持跨域身份管理系统 (SCIM) 对用户预置进行自动化。您可以在 IdP 中管理用户,让他们快速进入 AWS 中,并集中管理他们对所有 AWS 账户和业务应用程序的访问权。 AWS SSO 还允许您从自己的 Okta Universal Directory 选择多种用户属性,例如成本中心、职位或区域,然后将它们用于 ABAC 以简化和集中处理访问管理工作。

Multi-Factor Authentication

通过 AWS SSO,您可以跨所有身份源对您的所有用户使用基于标准的强身份验证功能。如果您使用可支持的 SAML 2.0 IdP 作为自己的身份源,您可以启用提供商的 Multi-Factor Authentication (MFA) 功能。使用 Active Directory 或 AWS SSO 作为身份源时,AWS SSO 支持 Web 身份验证规范以帮助您使用已启用 FIDO 的安全密钥(如 YubiKey)以及内置生物特征身份验证器(如 Apple MacBooks 上的 Touch ID 和 PC 上的面部识别)来保护用户对 AWS 账户和业务应用程序的访问。您还可以使用身份验证器应用程序(如 Google Authenticator 或 Twilio Authy)启用一次性密码 (TOTP)。AWS SSO 允许您对自己的所有用户实施 MFA,包括对用户在登录期间设置 MFA 设备的要求。

跨应用程序和 AWS 账户审计 SSO 活动

所有管理和 SSO 活动均记录在 AWS CloudTrail 中,使您可以集中审核 SSO 活动。通过 CloudTrail,您可以查看登录尝试、应用程序分配和目录集成更改等活动。例如,您可以查看用户在给定时间段内访问的应用程序,或者用户被授予对特定应用程序的 SSO 访问权限的具体时间。

高度可用的托管基础设施

AWS SSO 基于高度可用的 AWS 托管基础设施而构建。在扩展和添加新的业务应用程序集成时,无需部署和维护额外的代理、Web 服务器或联合服务器。相反,您可以使用 AWS SSO 控制台轻松创建到业务应用程序的新 SSO 集成。

最终用户体验功能

用户门户

使用 AWS SSO,用户可以在一个位置查找并访问所有分配的账户和应用程序。用户只需使用现有的企业凭证登录到个性化用户门户,然后单击一下即可访问所有已分配的账户和应用程序。通过该用户门户,用户可以发现其中的新应用程序,帮助您更轻松地部署对这些新应用程序的访问权限。

支持浏览器、命令行和移动界面

当用户通过 AWS 命令行界面 (CLI) 登录时,他们可以使用现有公司凭证并获得一致的身份验证体验,同时获得自动化短期凭证管理的优势。登录后,开发人员可以看到他们的 AWS SSO 分配账户和角色,而且他们还可以创建配置文件,以便在单个命令中切换角色和账户。AWS 移动控制台应用程序还支持 AWS SSO,以便您可以在浏览器、移动界面和命令行界面中获得一致的登录体验。

与业务应用程序的内置 SSO 集成

AWS SSO 可为您提供与许多应用程序(包括 Salesforce、Box 和 Microsoft 365)的内置 SSO 集成。您可以按分步说明轻松配置对这些应用程序的 SSO 访问权限。AWS SSO 将指导您完成输入必要 URL、证书和元数据的过程。有关预先集成 AWS SSO 的业务应用程序的完整列表,请参阅 AWS SSO 云应用程序。

支持 SAML 的应用程序配置向导

使用 AWS SSO 应用程序配置向导,您可以创建与支持安全断言标记语言 (SAML) 2.0 的应用程序的单点登录 (SSO) 集成。该应用程序配置向导可以帮助您选择并格式化要发送到应用程序的信息,以启用 SSO 访问。例如,您可以为用户名创建 SAML 属性并根据 AD 配置文件中的用户电子邮件地址指定该属性的格式。

开始使用 AWS Single Sign-On

访问入门页面
准备好开始使用了吗?
注册
还有更多问题?
联系我们