Allgemeines

Was ist AWS Single Sign-On (AWS SSO)?

AWS SSO ist ein AWS-Service, der den zentralen Zugriff auf mehrere AWS-Konten und Geschäftsanwendungen ermöglicht. Benutzer erhalten zentralen Single-Sign-On-Zugriff auf alle ihre Konten und Anwendungen. Mit AWS SSO können Sie den SSO-Zugriff und Benutzerberechtigungen für alle Ihre Konten in AWS Organizations problemlos zentral verwalten. Mit AWS SSO können Sie Benutzer erstellen und verwalten, die im Identitätsspeicher von AWS SSO gespeichert werden, und Verknüpfungen zu einer vorhandenen Identitätsquelle wie Microsoft Active Directory, Okta Universal Directory und Azure Active Directory (Azure AD) erstellen.

Welche Vorteile bietet AWS SSO?

Mithilfe von AWS SSO können Sie Ihren Mitarbeitern schnell und einfach Zugriff auf viele AWS-Konten, SAML-fähige Cloudanwendungen (z. B. Salesforce, Office 365 oder Box) und maßgeschneiderte eigene Anwendungen gewähren und diese Zugriffe verwalten – und das alles von einer einzigen Stelle aus! Mitarbeiter können produktiver sein, indem sie sich mit ihren vorhandenen Active Directory-Anmeldeinformationen oder Anmeldeinformationen anmelden, die Sie in AWS SSO für den Zugriff auf ihre Anwendungen über ihr personalisiertes Benutzerportal konfigurieren. So brauchen sich Ihre Mitarbeiter nicht mehr die verschiedensten Anmeldeinformationen und Zugriffs-URLs für Cloudanwendungen zu merken, und neue Mitarbeiter können gleich am ersten Tag voll loslegen. Nachdem Sie Benutzer der entsprechenden Gruppe in Ihrem Verzeichnis hinzugefügt haben, wird ihnen automatisch der Zugriff auf die für Mitglieder dieser Gruppe aktivierten Konten und Anwendungen gewährt. Sie können auch viel transparenter erkennen, wie Ihre Cloudanwendungen genutzt werden, da Sie alle Anmeldevorgänge zentral in AWS CloudTrail überwachen und überprüfen können.

Welche Probleme löst AWS SSO?

AWS SSO macht die komplexe Verwaltung benutzerdefinierter SSO-Lösungen überflüssig, die Sie einsetzen, um Identitäten für die verschiedensten AWS-Konten und Geschäftsanwendungen bereitzustellen und zu verwalten. Wenn Sie AWS-Konten verwenden und regelmäßig neue Konten hinzufügen, richten Sie für den Zugriff auf diese Konten SSO mit Active Directory Federation Services (AD FS) ein – und für benutzerdefiniertes AD FS sind dann entsprechende Programmierkenntnisse erforderlich. Sie müssen die AWS-Konten auch mit Berechtigungen ausstatten, die für den Zugriff auf diese Konten erforderlich sind. AWS SSO steht ohne zusätzliche Kosten zur Verfügung und reduziert dank seiner tiefen Integration in AWS die Komplexität, die mit den ständigen Einrichtungs- und den verschiedensten Verwaltungsaufgaben verbunden ist. Wenn Sie unterschiedliche Passwörter für den Zugriff auf die verschiedenen AWS-Konten oder Cloudanwendungen einsetzen, vereinfacht AWS SSO das Benutzererlebnis und erhöht die Sicherheit, da nun nicht mehr für jedes AWS-Konto oder für jede Geschäftsanwendung in der Cloud ein eigenes Passwort benötigt wird. Außerdem haben Sie mit AWS SSO dank der Integration mit AWS CloudTrail auch eine viel bessere Einsehbarkeit in die Zugriffe auf Ihre Cloudanwendungen. So erhalten Sie eine zentrale Anlaufstelle, an der Sie SSO-Zugriff auf AWS-Konten und SAML-fähige Cloudanwendungen (z. B. Office 365, Salesforce und Box) nachprüfen können.

Weshalb sollte ich AWS SSO verwenden?

Mit AWS SSO könnten Sie die Produktivität Ihrer Mitarbeiter steigern. Gewähren Sie ihnen einfach Zugriff auf AWS-Konten und geschäftliche Cloudanwendungen, ohne dass Sie dazu in benutzerdefinierte Skripte oder in teure SSO-Allzwecklösungen investieren müssen. Außerdem würden Sie mit AWS SSO den Verwaltungsaufwand und die Kosten senken, die mit dem Einrichten und Verwalten von SSO-Zugriff verbunden sind.

Das AWS SSO-Benutzerportal stellt den zentralen Anlaufpunkt für Ihre Mitarbeiter dar. Dort können sie auf ihre AWS-Konten und Anwendungen zugreifen, die sie während ihrer Arbeit benötigen. Wo diese Anwendungen erstellt wurden oder gehostet werden, spielt dann keine Rolle mehr.

Wozu kann ich AWS SSO verwenden?

Mit AWS SSO können Sie Ihren Mitarbeitern schnell und einfach Zugriff auf AWS-Konten gewähren, die mit AWS Organizations, Business Cloud-Anwendungen (wie Salesforce, Office 365 und Box) und benutzerdefinierten Anwendungen, die SAML 2.0 (Security Assertion Markup Language) unterstützen, verwaltet werden. Mitarbeiter können sich mit ihren vorhandenen Unternehmensanmeldeinformationen oder Anmeldeinformationen anmelden, die sie in AWS SSO für den Zugriff auf ihre Geschäftsanwendungen über ein einzelnes Benutzerportal konfigurieren. AWS SSO erlaubt es Ihnen auch, den Zugriff von Benutzern auf Cloud-Services mittels AWS CloudTrail zu überwachen.

Für wen ist AWS SSO gedacht?

AWS SSO richtet sich an Administratoren, die zahlreiche AWS-Konten und Geschäftsanwendungen verwalten müssen und daher die Verwaltung der Benutzerzugriffe auf diese Cloud-Services zentralisieren möchten und es gern sehen würden, wenn die Mitarbeiter von einer einzigen Stelle aus auf alle Konten und Anwendungen zugreifen könnten, ohne sich für jedes ein anderes Passwort merken zu müssen.

Wie beginne ich damit AWS SSO zu nutzen?

Als AWS SSO-Neukunde gehen Sie wie folgt vor:

  1. Melden Sie sich bei der AWS-Managementkonsole des Master-Kontos in Ihrem AWS-Konto an, und navigieren Sie zur AWS SSO-Konsole.
  2. Wählen Sie das Verzeichnis aus, das Sie zum Speichern der Identitäten Ihrer Benutzer und Gruppen in der AWS SSO-Konsole verwenden. AWS SSO stellt Ihnen standardmäßig ein Verzeichnis zur Verfügung, mit dem Sie Benutzer und Gruppen in AWS SSO verwalten können. Sie können das Verzeichnis auch so ändern, dass eine Verbindung mit einem Microsoft AD-Verzeichnis hergestellt wird, indem Sie durch eine Liste der verwalteten Microsoft AD- und AD Connector-Instances klicken, die AWS SSO automatisch in Ihrem Konto erkennt. Informationen zum Herstellen einer Verbindung mit einem Microsoft AD-Verzeichnis finden Sie unter Erste Schritte mit AWS Directory Service.
  3. Gewähren Sie Benutzern SSO-Zugriff auf AWS-Konten in Ihrer Organisation, indem Sie in einer von AWS SSO aufgestellten Liste die AWS-Konten auswählen und dann Benutzer oder Gruppen aus Ihrem Active Directory sowie die Berechtigungen auswählen, die diesen erteilt werden sollen. 
  4. Gewähren Sie Benutzern den Zugriff auf geschäftliche Cloudanwendungen, indem Sie wie folgt vorgehen:
    1. Wählen Sie in der Liste eine der Anwendungen aus, deren Integration schon vorab in AWS SSO unterstützt wird.
    2. Konfigurieren Sie die Anwendung, indem Sie den Konfigurationsanweisungen folgen.
    3. Wählen Sie die Benutzer oder Gruppen aus, die in der Lage sein sollen, auf diese Anwendung zuzugreifen.
  5. Als Sie eine Verbindung zum Verzeichnis herstellten, wurde eine AWS SSO-Anmelde-URL generiert. Geben Sie diese URL an Ihre Benutzer weiter, damit diese sich bei AWS SSO anmelden und dann auf Konten und Geschäftsanwendungen zugreifen können.

Wie viel kostet AWS SSO?

AWS SSO wird ohne Aufpreis angeboten.

In welchen AWS-Regionen ist AWS SSO verfügbar?

In der AWS-Regionentabelle finden Sie mehr Informationen über die Verfügbarkeit von AWS SSO in den einzelnen Regionen.

Unterstützung für Identitätsquellen und Anwendungen

Welche Identitätsquellen kann ich mit AWS SSO verwenden?

Mit AWS SSO können Sie Benutzer erstellen und verwalten, die im Identitätsspeicher von AWS SSO gespeichert werden, und Verknüpfungen zu einer vorhandenen Identitätsquelle wie Microsoft Active Directory, Okta Universal Directory, Azure Active Directory (Azure AD) oder einem anderen unterstützten IdP erstellen. Im AWS SSO Benutzerhandbuch erhalten Sie weitere Informationen.

Kann ich auch mehrere Identitätsquellen mit AWS SSO anbinden? 

Nein. Zum jedem beliebigen Zeitpunkt können Sie nur ein Verzeichnis oder einen SAML-2.0-Identitätsanbieter auf einmal mit AWS SSO verbinden lassen. Sie können jedoch die Verbindung zu einer anderen Identitätsquelle wechseln.

Welche Verzeichnisse kann ich mit AWS SSO verwenden?

Sie können AWS SSO mit den meisten SAML 2.0 IdPs verbinden, so etwa mit Okta Universal Directory oder Azure Active Directory. Im AWS SSO Benutzerhandbuch erhalten Sie weitere Informationen.

Wie kann ich Identitäten von meinem besetehenden IdP in AWS SSO bereitstellen?

Identitäten von Ihrer bestehenden IdP müssen in AWS SSO bereitgestellt werden, bevor Sie Berechtigungen zuweisen können. Sie können Benutzer- und Gruppeninformationen von Okta Universal Directory, Azure AD, OneLogin und PingFederate automatisch mithilfe des Systems für domänenübergreifendes Identitätsmanagement (SCIM) synchronisieren. Für andere IdPs können Sie mit der AWS-SSO-Konsole Benutzer von Ihrem IdP bereitstellen. Im AWS SSO Benutzerhandbuch erhalten Sie weitere Informationen.

Kann ich die Identitätssynchronisierung von meinem IddP in AWS SSO automatisieren?

Ja. Wenn Sie Okta Universal Directory, Azure AD, OneLogin oder PingFederate verwenden, können Sie SCIM zur automatischen Benutzer- und Gruppeninformationssynchronisierung zwischen Ihrem IdP und AWS SSO verwenden. Im Benutzerhandbuch von AWS SSO erhalten Sie weitere Informationen.

Wie verbinde ich AWS SSO mit meinem Microsoft Active Directory?

Sie können AWS SSO mithilfe eines AWS Directory Service mit Ihrem lokal installierten Active Directory (AD) oder mit einem AWS Managed Microsoft AD AWS Directory Service verbinden. Im AWS SSO Benutzerhandbuch erhalten Sie weitere Informationen.

Ich verwalte Benutzer und Gruppen in einem lokal installierten Active Directory. Wie kann ich diese Benutzer und Gruppen in AWS SSO nutzen?

Es gibt zwei Möglichkeiten, um ein lokal gehostetes Active Directory mit AWS SSO zu verbinden: (1) per AD Connector oder (2) über eine AWS Managed Microsoft AD-Vertrauensstellung

AD Connector verbindet Ihren bestehenden lokal installierten Active Directory mit AWS. AD Connector ist ein Verzeichnis-Gateway, das Verzeichnisanforderungen an Ihr lokales Microsoft Active Directory weiterleiten kann, ohne dazu Informationen in der Cloud zwischenzuspeichern. Informationen zur Verbindung eines lokal vorhandenen AD Connectors erhalten Sie im AWS Directory Service Administrationshandbuch.

Mit AWS Managed Microsoft AD ist es ganz einfach, Microsoft Active Directory in AWS zu nutzen. Es kann dazu verwendet werden, eine Gesamtstruktur-Vertrauensstellung zwischen Ihrem lokal installierten Verzeichnis und AWS Managed Microsoft AD einzurichten. Informationen zur Einrichtung einer Vertrauensstellung erhalten Sie im AWS Directory Service Administrationshandbuch.

Ich verwalte Benutzer und Gruppen in AWS Identity and Access Management (IAM). Kann ich meine IAM-Benutzer und -Gruppen in AWS SSO verwenden?

AWS IAM-Benutzer und -Gruppen werden von AWS SSO gegenwärtig nicht unterstützt.

Kann ich meine Amazon Cognito-Benutzerpools als Identitätsquelle in AWS SSO verwenden?

Amazon Cognito ist ein Service, mit dem Sie Identitäten für Ihre kundenspezifischen Anwendungen verwalten können; es handelt sich nicht um eine unterstützte Identitätsquelle in AWS SSO. Sie können Ihre Workforce-Identitäten in AWS SSO oder in Ihrer externen Identitätsquelle erstellen und verwalten, so etwa Microsoft Active Directory, Okta Universal Directory, Azure Active Directory (Azure AD) odereinem anderen unterstützten IdP.

Unterstützt AWS SSO Browser-, Befehlszeilen- und Mobilgeräte-Schnittstellen?

Ja. Sie können AWS SSO verwenden, um Zugriff zur AWS-Managementkonsole und CLI v2 zu erhalten. AWS SSO ermöglicht es Ihren Nutzern, per Single Sign-On auf die CLI und die AWS-Managementkonsole zuzugreifen. Die AWS Mobile Console-App unterstützt ebenfalls AWS SSO, sodass überall eine konsistente Anmeldung möglich ist, ob Browser, Mobilgerät oder CLI.

Zu welchen Cloud-basierten Anwendungen kann ich mit AWS SSO eine Verbindung herstellen?

Sie können die folgenden Anwendungen an AWS SSO anbinden:

  1. AWS-SSO-integrierte Anwendungen: AWS-SSO-integrierte Anwendungen wie SageMaker Studio und IoT SiteWise nutzen AWS SSO zur Authentifizierung und zur Arbeit mit Ihren Identitäten in AWS ­SSO. Es ist keine zusätzliche Konfiguration erforderlich, um Identitäten mit diesen Anwendungen zu synchronisieren oder eine Federation in separaten,
  2. Vorintegrierte SAML-Anwendungen: AWS SSO wird mit Integrationen für die gebräuchlichsten Geschäftsanwendungen ausgeliefert. Eine vollständige Liste können Sie in der AWS SSO-Konsole einsehen.
  3. Benutzerdefinierte SAML-Anwendungen: AWS SSO unterstützt Anwendungen, die Identitätsverbund mit SAML 2.0 ermöglichen. Sie können AWS SSO aktivieren, damit diese Anwendungen mithilfe des benutzerdefinierten Anwendungsassistenten unterstützt werden.

Single-Sign-On-Zugriff auf AWS-Konten

Zu welchen AWS-Konten kann ich mit AWS SSO eine Verbindung herstellen?

Sie können jedes beliebige AWS-Konto, das per AWS Organizations verwaltet wird, zu AWS SSO hinzufügen. Um SSO für Ihre Konten zu verwalten, müssen Sie alle Funktionen in Ihren Organisationen aktivieren.

Wie richte ich SSO für AWS-Konten in einer Organisationseinheit (OU) innerhalb meiner Organisation ein?

Sie können Konten innerhalb der Organisation auswählen oder Konten nach der Organisationseinheit filtern.

Wie kann ich steuern, welche Berechtigungen meine Benutzer erhalten, wenn sie per AWS SSO auf ihre Konten zugreifen?

Beim Erteilen von Zugriff für Ihre Benutzer können Sie deren Zugriffsmöglichkeiten einschränken, indem Sie entsprechende Berechtigungen aus einem Berechtigungssatz auswählen. Berechtigungssätze sind eine Zusammenstellung von Berechtigungen, die Sie in AWS SSO erstellen können. Deren Gestaltung erfolgt nach AWS-verwalteten Richtlinien für bestimmte berufliche Funktionen oder nach beliebigen AWS-verwalteten Richtlinien. AWS-verwaltete Richtlinien für berufliche Funktionen sind so weit wie möglich für gängige berufliche Positionen in der IT-Branche ausgelegt. Falls erforderlich, können Sie den Berechtigungssatz vollständig an Ihre jeweiligen Sicherheitsanforderungen anpassen. AWS SSO wendet diese Berechtigungen automatisch auf die ausgewählten Konten an. Wenn Sie die Berechtigungssätze ändern, ermöglicht AWS SSO es Ihnen, die Änderungen problemlos für die entsprechenden Konten zu übernehmen. Wenn Ihre Benutzer über das AWS SSO-Benutzerportal auf die Konten zugreifen, schränken diese Berechtigungen ein, was für Aktionen die Benutzer innerhalb dieser Konten durchführen können. Sie können Ihren Benutzern auch mehrere Berechtigungssätze zuteilen. Beim Zugriff auf das Konto per Benutzerportal können Benutzer dann auswählen, welchen Berechtigungssatz sie für die jeweilige Sitzung übernehmen möchten.

Wie automatisiere ich die Berechtigungsverwaltung über mehrere Konten hinweg?

AWS SSO bietet Support von APIs und AWS CloudFormation, um die Verwaltung von Berechtigungen in Umgebungen mit mehreren Konten zu automatisieren und die Berechtigungen für Prüfungs- und Verwaltungs-Zwecke programmatisch abzurufen.

Für welche AWS-Konten erhalte ich Anmeldeinformationen für die AWS-Befehlszeilenschnittstelle (CLI)?

Anmeldeinformationen für AWS CLI erhalten Sie für jedes AWS-Konto und alle Benutzerberechtigungen, die Ihnen Ihr AWS SSO-Administrator zugewiesen hat. Durch die CLI-Anmeldeinformationen erhalten Sie programmgesteuerten Zugriff auf Ihr AWS-Konto.

Wie lange sind die Anmeldeinformationen für die AWS-Befehlszeilenschnittstelle, die ich über das AWS SSO-Benutzerportal erhalten habe, gültig?

AWS CLI-Anmeldeinformationen aus dem AWS SSO-Benutzerportal sind 60 Minuten lang gültig. Neue Anmeldeinformationen können Sie jederzeit bei Bedarf anfordern.

SSO-Zugriff für Geschäftsanwendungen

Wie richte ich SSO-Zugriff für Geschäftsanwendungen ein, wie zum Beispiel für Salesforce?

Navigieren Sie in der AWS SSO-Konsole in den Bereich "Applications" (Anwendungen), wählen Sie "Configure new application" (Neue Anwendung konfigurieren), und wählen Sie dann eine Anwendung in der Liste der Cloudanwendungen aus, die bereits mit AWS SSO integriert sind. Folgen Sie beim Konfigurieren der Anwendung den eingeblendeten Anweisungen. Ihre Anwendung ist nun konfiguriert, und Sie können Zugriff darauf zuweisen. Wählen Sie die Benutzer oder Gruppen aus, denen Sie Zugriff auf die Anwendung erteilen möchten, und klicken Sie dann auf "Assign Access" (Zugriff zuweisen), um den Vorgang abzuschließen.

In meinem Unternehmen werden Geschäftsanwendungen eingesetzt, die in der Liste der in AWS SSO vorab integrierten Anwendungen nicht aufgeführt sind. Kann ich AWS SSO dennoch nutzen? 

Ja. Wenn Ihre Anwendung SAML 2.0 unterstützt, können Sie sie als benutzerdefinierte SAML 2.0-Anwendung konfigurieren. Navigieren Sie in der AWS SSO-Konsole in den Bereich "Applications", wählen Sie "Configure new application" aus, und wählen Sie dann "Custom SAML 2.0 application" aus. Folgen Sie beim Konfigurieren der Anwendung den Anweisungen. Ihre Anwendung ist nun konfiguriert, und Sie können Zugriff darauf zuweisen. Wählen Sie die Benutzer oder Gruppen aus, denen Sie Zugriff auf die Anwendung erteilen möchten, und wählen Sie dann "Assign Access" aus, um den Vorgang abzuschließen.

Meine Anwendung unterstützt nur OpenID Connect (OIDC). Kann ich sie mit AWS SSO verwenden?

Nein. AWS SSO unterstützt nur SAML 2.0-basierte Anwendungen.

Unterstützt AWS SSO Single Sign-On für herkömmliche mobile und Desktop-Anwendungen?

Nein. AWS SSO unterstützt Single Sign-On nur für Geschäftsanwendungen, auf die über einen Webbrowser zugegriffen wird.

Verschiedenes

Welche Daten wird AWS SSO in meinem Namen speichern?

AWS SSO wird Daten darüber speichern, welche AWS-Konten und Cloudanwendungen welchen Benutzern und Gruppen zugewiesen sind und was für Berechtigungen für den Zugriff auf AWS-Konten erteilt wurden. Außerdem wird AWS SSO auch IAM-Rollen in individuellen AWS-Konten für jeden Berechtigungssatz erstellen, mit dem Sie Ihren Benutzern Zugriff erteilen.

Unterstützt AWS SSO auch Multifaktor-Authentifizierung (MFA)?

Ja. Sie können dafür sorgen, dass Benutzer auf ihren Telefonen eine Anwendung mit mehreren Faktoren einrichten können bzw. müssen oder beim Anmelden in AWS SSO einen weiteren Faktor angeben müssen, indem Sie einen RADIUS-Server (Remote Authentication Dial-In User Service) einrichten und für die Arbeit mit Active Directory oder AD Connector konfigurieren.

Was müssen meine Mitarbeiter als Erstes mit AWS SSO machen?

Als Erstes besuchen Ihre Mitarbeiter das AWS SSO-Benutzerportal, das generiert wird, wenn Sie Ihre Identitätsquelle in AWS SSO konfigurieren. Wenn Sie Ihre Benutzer in AWS SSO verwalten, können Ihre Mitarbeiter ihre E-Mail-Adresse und ihr Kennwort, die sie mit AWS SSO konfiguriert haben, verwenden, um sich beim Benutzerportal anzumelden. Wenn Sie AWS SSO mit einem Microsoft Active Directory oder einem SAML 2.0 Identitätsanbieter verbinden, können sich Ihre Mitarbeiter mit ihren bestehenden Unternehmens-Anmeldeinformationen anmelden. Anschließend können sie die Konten und Anwendungen anzeigen, die ihnen zugewiesen sind. Um auf ein Konto oder eine Anwendung zuzugreifen, klicken Ihre Mitarbeiter dann auf das zugehörige Symbol im AWS SSO-Benutzerportal.

Gibt es eine API für AWS SSO?

Ja. AWS SSO bietet Kontenzuweisungs-APIs mit denen Sie die Verwaltung von Berechtigungen in Umgebungen mit mehreren Konten automatisieren und die Berechtigungen für Prüfungs- und Verwaltungs-Zwecke programmatisch abrufen können.

Sind Sie startbereit?

Anmelden für AWS Single Sign-On
Haben Sie Fragen?
Kontakt