详细信息

利用 AWS Single Sign-On (SSO),可以轻松地集中管理对多个 AWS 账户和业务应用程序的访问权,并为用户提供从同一位置单点登录访问分配给他们的所有账户和应用程序的权限。利用 AWS SSO,您可以在 AWS Organizations 中轻松地集中管理您的所有账户的 SSO 访问和用户权限。SSO 会自动配置和维护您账户中的所有必要权限,因此无需在单个账户中进行任何额外设置。您可以根据常见工作职责分配用户权限,并自定义这些权限以满足特定的安全要求。AWS SSO 还包括与许多业务应用程序(例如 Salesforce、Box 和 Office 365)的内置集成。

利用 AWS SSO,您可以在 AWS SSO 的身份存储中创建和管理用户身份,或轻松连接至您现有的身份源,包括 Microsoft Active Directory、Okta Universal Directory 或 Azure Active Directory (Azure AD)。

AWS SSO 的入门很简单。只需在 AWS SSO 管理控制台中点击几下, 您便可以将 AWS SSO 连接到您现有的身份源并配置权限,以授予您的用户从同一用户门户访问分配给他们的 AWS Organizations 账户和数百个预配置云应用程序的权限。

管理功能

已与 AWS Organizations 集成

AWS SSO 已与 AWS Organizations 集成,使您能够从组织中选择一个或多个账户,并授予用户对这些账户的访问权限。无需在单个账户中进行额外的配置。只需轻点几次即可授予用户对应用程序或团队使用的所有 AWS 账户的访问权限。

Integrated with AWS Organizations

管理多个 AWS 账户的 SSO 登录

借助 AWS Single Sign-On (SSO),您可以对多个 AWS 账户的访问进行集中管理。当用户登录到个性化用户门户后,他们会在一个位置看到 AWS 账户中所有分配的角色。

Manage SSO access for multiple AWS accounts

集中式用户权限管理

使用 AWS SSO,您还可以在用户通过用户门户访问 AWS 管理控制台时集中管理用户对 AWS 账户内 AWS 资源的权限。您可以根据常见的工作职能为用户分配不同的权限集,并定制这些权限来满足您的特定要求。例如,您可以在测试账户中为开发人员分配完整的管理权限,但在生产账户中仅为他们授予特定于工作的权限,如数据库或网络管理员。AWS SSO 提供 API 和 AWS CloudFormation 支持,可以在多账户环境中自动进行权限管理,并能够以编程方式检索权限进行审计与监管。

aws_sso_permission_sets

在 AWS SSO 中创建和管理用户

AWS SSO 现在默认提供一个目录,您可以使用该目录在 AWS SSO 中创建用户并对其进行管理。您可以通过配置用户电子邮件地址和名称在 AWS SSO 中创建用户。创建用户时,默认情况下,AWS SSO 会向用户发送电子邮件,以便用户可以设置自己的密码。在数分钟内,您即可向用户和组授予所有 AWS 账户以及许多业务应用程序中 AWS 资源的访问权限。您的用户使用在 AWS SSO 中配置的凭据登录用户门户,以在一个位置即可访问其分配的所有账户和应用程序。

create and manage users in AWS SSO

连接 Microsoft Active Directory

借助 AWS SSO,您可以使用 Microsoft Active Directory 域服务 (AD DS) 中的现有企业身份管理对账户和应用程序的 SSO 访问权限。AWS SSO 可通过 AWS Directory Service 与 AD DS 连接,而且只需将用户添加到相应的 AD 组即可授予用户对账户和应用程序的访问权限。例如,您可以为使用某个应用程序的一组开发人员创建组,并授予该组对该应用程序的 AWS 账户的访问权限。新开发人员加入该团队时,如果您将他们添加到 AD 组,他们将被自动授予对该应用程序内所有 AWS 账户的访问权限。

Microsoft Active Directory integration

从基于标准的身份提供商连接和自动预置用户

您可以通过安全性声明标记语言 (SAML) 2.0 将 AWS SSO 连接到 Okta Universal Directory、Azure AD 或其他受支持的身份提供商 (IdP),以便您的用户可以使用其现有凭据登录。此外,AWS SSO 还支持跨域身份管理系统 (SCIM) 对用户预置进行自动化。您可以在 IdP 中管理用户,让他们快速进入 AWS 中,并集中管理他们对所有 AWS 账户和业务应用程序的访问权。

support for SAML 2.0 and SCIM1

跨应用程序和 AWS 账户审计 SSO 活动

所有管理和 SSO 活动均记录在 AWS CloudTrail 中,使您可以集中审核 SSO 活动。通过 CloudTrail,您可以查看登录尝试、应用程序分配和目录集成更改等活动。例如,您可以查看用户在给定时间段内访问的应用程序,或者用户被授予对特定应用程序的 SSO 访问权限的具体时间。

高度可用的托管基础设施

AWS SSO 基于高度可用的 AWS 托管基础设施而构建。在扩展和添加新的业务应用程序集成时,无需部署和维护额外的代理、Web 服务器或联合服务器。相反,您可以使用 AWS SSO 控制台轻松创建到业务应用程序的新 SSO 集成。

最终用户体验功能

用户门户

使用 AWS SSO,用户可以在一个位置查找并访问所有分配的账户和应用程序。用户只需使用现有的企业凭证登录到个性化用户门户,然后单击一下即可访问所有已分配的账户和应用程序。通过该用户门户,用户可以发现其中的新应用程序,帮助您更轻松地部署对这些新应用程序的访问权限。

aws_sso_user_portal

支持浏览器、命令行和移动界面

当用户通过 AWS 命令行界面 (CLI) 登录时,他们可以使用现有公司凭证并获得一致的身份验证体验,同时获得自动化短期凭证管理的优势。登录后,开发人员可以看到他们的 AWS SSO 分配账户和角色,而且他们还可以创建配置文件,以便在单个命令中切换角色和账户。AWS 移动控制台应用程序还支持 AWS SSO,以便您可以在浏览器、移动界面和命令行界面中获得一致的登录体验。

与业务应用程序的内置 SSO 集成

AWS SSO 可为您提供与许多应用程序(包括 Salesforce、Box 和 Office 365)的内置 SSO 集成。您可以按分步说明轻松配置对这些应用程序的 SSO 访问权限。AWS SSO 将指导您完成输入必要 URL、证书和元数据的过程。有关预先集成 AWS SSO 的业务应用程序的完整列表,请参阅 AWS SSO 云应用程序。

aws_sso_3p_apps

支持 SAML 的应用程序配置向导

使用 AWS SSO 应用程序配置向导,您可以创建与支持安全断言标记语言 (SAML) 2.0 的应用程序的单点登录 (SSO) 集成。该应用程序配置向导可以帮助您选择并格式化要发送到应用程序的信息,以启用 SSO 访问。例如,您可以为用户名创建 SAML 属性并根据 AD 配置文件中的用户电子邮件地址指定该属性的格式。

aws_sso_custom_saml_app

开始使用 AWS Single Sign-On

访问入门页面
准备好开始使用了吗?
注册
还有更多问题?
联系我们