详细信息

AWS Single Sign-On (AWS SSO) 是一项云端 SSO 服务,使您可以轻松地集中管理对多个 AWS 账户和业务应用程序的 SSO 访问权限。用户可以利用他们在 AWS SSO 中配置的凭证或者现有的企业凭证登录用户门户,从同一位置访问所有已分配的账户和应用程序。利用 AWS SSO,您可以在 AWS Organizations 中轻松地集中管理对您所有账户的 SSO 访问和用户权限。另外,使用 AWS SSO 应用程序配置向导,您可以创建安全断言标记语言 (SAML) 2.0 集成,并将 SSO 访问权限扩展到所有支持 SAML 的应用程序。AWS SSO 还包括与许多业务应用程序(例如 Salesforce、Box 和 Office 365)的内置 SAML 集成。只需轻点几次,您就可以启用可用性极高的 SSO 服务,而且不会产生亲自运营基础设施所需的前期投资和日常维护成本。

主要功能

用户门户

使用 AWS SSO,用户可以在一个位置查找并访问所有分配的账户和应用程序。用户只需使用现有的企业凭证登录到个性化用户门户,然后单击一下即可访问所有已分配的账户和应用程序。通过该用户门户,用户可以发现其中的新应用程序,帮助您更轻松地部署对这些新应用程序的访问权限。

aws_sso_user_portal

已与 AWS Organizations 集成

AWS SSO 已与 AWS Organizations 集成,使您能够从组织中选择一个或多个账户,并授予用户对这些账户的访问权限。无需在单个账户中进行额外的配置。只需轻点几次即可授予用户对应用程序或团队使用的所有 AWS 账户的访问权限。

aws_sso_select_aws_accounts

集中式用户权限管理

使用 AWS SSO,您还可以在用户通过用户门户访问 AWS 管理控制台时集中管理用户对 AWS 账户内 AWS 资源的权限。您可以根据常见的工作职能为用户分配不同的权限集,并定制这些权限来满足您的特定要求。例如,您可以在测试账户中为开发人员分配完整的管理权限,但在生产账户中仅为他们授予特定于工作的权限,如数据库或网络管理员。

aws_sso_permission_sets

管理多个 AWS 账户的 SSO 登录

借助 AWS Single Sign-On (SSO),您可以对多个 AWS 账户的访问进行集中管理。当用户登录到个性化用户门户后,他们会在一个位置看到所有分配的 AWS 账户。

aws_sso_aws_account

在 AWS SSO 中创建和管理用户

AWS SSO 现在默认提供一个目录,您可以使用该目录在 AWS SSO 中创建用户并对其进行管理。您可以通过配置用户电子邮件地址和名称在 AWS SSO 中创建用户。创建用户时,默认情况下,AWS SSO 会向用户发送电子邮件,以便用户可以设置自己的密码。在数分钟内,您即可向用户和组授予所有 AWS 账户以及许多业务应用程序中 AWS 资源的访问权限。您的用户使用在 AWS SSO 中配置的凭据登录用户门户,以在一个位置即可访问其分配的所有账户和应用程序。

aws_sso_directory

Microsoft Active Directory 集成

借助 AWS SSO,您可以使用 Microsoft Active Directory (AD) 中的现有企业身份管理对账户和应用程序的 SSO 访问权限。AWS SSO 可通过 AWS Directory Service 与 AD 集成,而且只需将用户添加到相应的 AD 组即可授予用户对账户和应用程序的 SSO 访问权限。例如,您可以为使用某个应用程序的一组开发人员创建 AD 组,并授予该 AD 组对该应用程序内 AWS 账户的访问权限。新开发人员加入该团队时,如果您将他们添加到 AD 组,他们将被自动授予对该应用程序内所有 AWS 账户的访问权限。

aws_sso_ad

支持 SAML 的应用程序配置向导

使用 AWS SSO 应用程序配置向导,您可以创建与支持安全断言标记语言 (SAML) 2.0 的应用程序的单点登录 (SSO) 集成。该应用程序配置向导可以帮助您选择并格式化要发送到应用程序的信息,以启用 SSO 访问。例如,您可以为用户名创建 SAML 属性并根据 AD 配置文件中的用户电子邮件地址指定该属性的格式。

aws_sso_custom_saml_app

AWS Command Line Interface 入口

用户可以使用其现有的公司凭证登录 AWS SSO 用户门户,并从一个位置获取所有已分配的 AWS 账户的 AWS Command Line Interface (CLI) 凭证。这些 AWS CLI 凭证会在 60 分钟后自动过期,从而帮助保护对 AWS 账户的访问。

AWS_SSO_CLI_Access

与业务应用程序的内置 SSO 集成

AWS SSO 可为您提供与许多应用程序(包括 Salesforce、Box 和 Office 365)的内置 SSO 集成。您可以按分步说明轻松配置对这些应用程序的 SSO 访问权限。AWS SSO 将指导您完成输入必要 URL、证书和元数据的过程。

aws_sso_3p_apps

高度可用的托管基础设施

AWS SSO 基于高度可用的 AWS 托管 SSO 基础设施而构建。在扩展和添加新的 SSO 集成时,无需部署和维护额外的代理、Web 服务器或联合服务器。相反,您可以使用 AWS SSO 控制台轻松创建到业务应用程序的新 SSO 集成。

审核 SSO 活动

所有管理和 SSO 活动均记录在 AWS CloudTrail 中,使您可以集中审核 SSO 活动。通过 CloudTrail,您可以查看登录尝试、应用程序分配和目录集成更改等活动。例如,您可以查看用户在给定时间段内访问的应用程序,或者用户被授予对特定应用程序的 SSO 访问权限的具体时间。

开始使用 AWS Single Sign-On

访问入门页面
准备好开始使用了吗?
注册
还有更多问题?
联系我们