Allgemeines

Was ist AWS Single Sign-On (AWS SSO)?

AWS SSO ist ein AWS-Service, der es Ihnen ermöglicht, Ihre vorhandenen Anmeldeinformationen aus Ihrem Microsoft Active Directory für den SSO-Zugriff auf Ihre Cloud-basierten Anwendungen – wie zum Beispiel auf AWS-Konten und Geschäftsanwendungen (Office 365, Salesforce, Box) – zu verwenden.

Welche Vorteile bietet AWS SSO?

Mithilfe von AWS SSO können Sie Ihren Mitarbeitern schnell und einfach Zugriff auf viele AWS-Konten, SAML-fähige Cloudanwendungen (z. B. Salesforce, Office 365 oder Box) und maßgeschneiderte eigene Anwendungen gewähren und diese Zugriffe verwalten – und das alles von einer einzigen Stelle aus! Ihre Mitarbeiter werden viel produktiver sein, wenn sie sich mit den Benutzernamen und Passwörtern, die sie bereits für das im Unternehmen eingesetzte Active Directory verwenden, von einem einzigen personalisierten Benutzerportal aus anmelden können. So brauchen sich Ihre Mitarbeiter nicht mehr die verschiedensten Anmeldeinformationen und Zugriffs-URLs für Cloudanwendungen zu merken, und neue Mitarbeiter können gleich am ersten Tag voll loslegen. Nachdem Sie Benutzer der entsprechenden Active Directory-Gruppe hinzugefügt haben, wird ihnen automatisch der Zugriff auf die für Mitglieder dieser Gruppe aktivierten Konten und Anwendungen gewährt. Sie können auch viel transparenter erkennen, wie Ihre Cloudanwendungen genutzt werden, da Sie alle Anmeldevorgänge zentral in AWS CloudTrail überwachen und überprüfen können.

Welche Probleme löst AWS SSO?

AWS SSO macht die komplexe Verwaltung benutzerdefinierter SSO-Lösungen überflüssig, die Sie einsetzen, um Identitäten für die verschiedensten AWS-Konten und Geschäftsanwendungen bereitzustellen und zu verwalten. Wenn Sie AWS-Konten verwenden und regelmäßig neue Konten hinzufügen, richten Sie für den Zugriff auf diese Konten SSO mit Active Directory Federation Services (AD FS) ein – und für benutzerdefiniertes AD FS sind dann entsprechende Programmierkenntnisse erforderlich. Sie müssen die AWS-Konten auch mit Berechtigungen ausstatten, die für den Zugriff auf diese Konten erforderlich sind. AWS SSO steht ohne zusätzliche Kosten zur Verfügung und reduziert dank seiner tiefen Integration in AWS die Komplexität, die mit den ständigen Einrichtungs- und den verschiedensten Verwaltungsaufgaben verbunden ist. Wenn Sie unterschiedliche Passwörter für den Zugriff auf die verschiedenen AWS-Konten oder Cloudanwendungen einsetzen, vereinfacht AWS SSO das Benutzererlebnis und erhöht die Sicherheit, da nun nicht mehr für jedes AWS-Konto oder für jede Geschäftsanwendung in der Cloud ein eigenes Passwort benötigt wird. Außerdem haben Sie mit AWS SSO dank der Integration mit AWS CloudTrail auch eine viel bessere Einsehbarkeit in die Zugriffe auf Ihre Cloudanwendungen. So erhalten Sie eine zentrale Anlaufstelle, an der Sie SSO-Zugriff auf AWS-Konten und SAML-fähige Cloudanwendungen (z. B. Office 365, Salesforce und Box) nachprüfen können.

Weshalb sollte ich AWS SSO verwenden?

Mit AWS SSO könnten Sie die Produktivität Ihrer Mitarbeiter steigern. Gewähren Sie ihnen einfach Zugriff auf AWS-Konten und geschäftliche Cloudanwendungen, ohne dass Sie dazu in benutzerdefinierte Skripte oder in teure SSO-Allzwecklösungen investieren müssen. Außerdem würden Sie mit AWS SSO den Verwaltungsaufwand und die Kosten senken, die mit dem Einrichten und Verwalten von SSO-Zugriff verbunden sind.

Das AWS SSO-Benutzerportal stellt den zentralen Anlaufpunkt für Ihre Mitarbeiter dar. Dort können sie auf ihre AWS-Konten und Anwendungen zugreifen, die sie während ihrer Arbeit benötigen. Wo diese Anwendungen erstellt wurden oder gehostet werden, spielt dann keine Rolle mehr.

Wozu kann ich AWS SSO verwenden?

Sie können AWS SSO verwenden, um Ihren Mitarbeitern schnell und einfach Zugriff die verschiedensten Ressourcen zu gewähren: Zum Beispiel auf AWS-Konten, die per AWS Organizations verwaltet werden, oder auf Geschäftsanwendungen, die sich in der Cloud befinden (z. B. Salesforce, Office 365 und Box) oder auch auf benutzerdefinierte Anwendungen, die SAML 2.0 (Security Assertion Markup Language) unterstützen. Ihre Mitarbeiter können sich dann über ein einziges Benutzerportal bei all ihren Geschäftsanwendungen mit dem Benutzernamen und Passwort anmelden, das sie in Ihrem Unternehmen verwenden. AWS SSO erlaubt es Ihnen auch, den Zugriff von Benutzern auf Cloud-Services mittels AWS CloudTrail zu überwachen.

Für wen ist AWS SSO gedacht?

AWS SSO richtet sich an Administratoren, die zahlreiche AWS-Konten und Geschäftsanwendungen verwalten müssen und daher die Verwaltung der Benutzerzugriffe auf diese Cloud-Services zentralisieren möchten und es gern sehen würden, wenn die Mitarbeiter von einer einzigen Stelle aus auf alle Konten und Anwendungen zugreifen könnten, ohne sich für jedes ein anderes Passwort merken zu müssen.

Was muss ich als erstes machen, um AWS SSO zu implementieren?

Als AWS SSO-Neukunde gehen Sie wie folgt vor:

  1. Melden Sie sich bei der AWS-Managementkonsole des Master-Kontos in Ihrem AWS-Konto an, und navigieren Sie zur AWS SSO-Konsole.
  2. Wählen Sie das Verzeichnis aus, in dem Sie die Identitäten Ihrer Benutzer und Gruppen aus der AWS SSO-Konsole speichern. Klicken Sie sich dazu durch eine Liste mit Active Directory- und Active Directory Connector-Instances, die von AWS SSO automatisch in Ihrem Konto erkannt wurden. Wenn Sie noch kein Verzeichnis eingerichtet haben, lesen Sie Erste Schritte.
  3. Gewähren Sie Benutzern SSO-Zugriff auf AWS-Konten in Ihrer Organisation, indem Sie in einer von AWS SSO aufgestellten Liste die AWS-Konten auswählen und dann Benutzer oder Gruppen aus Ihrem Active Directory sowie die Berechtigungen auswählen, die diesen erteilt werden sollen. 
  4. Gewähren Sie Benutzern den Zugriff auf geschäftliche Cloudanwendungen, indem Sie wie folgt vorgehen:
    1. Wählen Sie in der Liste eine der Anwendungen aus, deren Integration schon vorab in AWS SSO unterstützt wird.
    2. Konfigurieren Sie die Anwendung, indem Sie den Konfigurationsanweisungen folgen.
    3. Wählen Sie die Benutzer oder Gruppen aus, die in der Lage sein sollen, auf diese Anwendung zuzugreifen.
  5. Als Sie eine Verbindung zum Verzeichnis herstellten, wurde eine AWS SSO-Anmelde-URL generiert. Geben Sie diese URL an Ihre Mitarbeiter weiter, damit diese sich mit ihren Active Directory-Benutzernamen und -Passwort bei AWS SSO anmelden und dann auf Konten und Geschäftsanwendungen zugreifen können.

Wie viel kostet AWS SSO?

AWS SSO wird ohne Aufpreis angeboten.

In welchen AWS-Regionen ist AWS SSO verfügbar?

In der AWS-Regionentabelle finden Sie mehr Informationen über die Verfügbarkeit von AWS SSO in den einzelnen Regionen.

Unterstützung für Verzeichnisse und Anwendungen

Welche Verzeichnisse kann ich mit AWS SSO verwenden?

Sie können AWS SSO mit Microsoft Active Directory verbinden, das entweder lokal bei Ihnen installiert ist oder in der AWS Cloud gehostet wird. AWS SSO unterstützt AWS Directory Service für Microsoft Active Directory (auch als AWS Managed Microsoft AD bezeichnet) und AD Connector. Simple AD wird von AWS SSO nicht unterstützt. Mehr dazu erfahren Sie unter Erste Schritte mit AWS Directory Service.

Zu welchen Cloud-basierten Anwendungen kann ich mit AWS SSO eine Verbindung herstellen?

Sie können die folgenden Anwendungen an AWS SSO anbinden:

  1. AWS-Managementkonsole: Sie können SSO-Zugriff für die AWS-Managementkonsole einrichten.
  2. SaaS-Anwendungen von Drittanbietern: AWS SSO wird mit Integrationen für die gebräuchlichsten Geschäftsanwendungen ausgeliefert. Eine vollständige Liste können Sie in der AWS SSO-Konsole einsehen.
  3. Benutzerdefinierte SAML-Anwendungen: AWS SSO unterstützt Anwendungen, die Identitätsverbund mittels SAML 2.0 erlauben. Für Anwendungen, die nicht vorab mit AWS SSO integriert sind, können Sie SSO mithilfe des AWS SSO-Assistenten für benutzerdefinierte Anwendungen einrichten.

Ich verwalten Benutzer und Gruppen in einem lokal installierten Active Directory. Wie verbinde ich mein Directory mit AWS SSO? 

Es gibt zwei Möglichkeiten, um ein lokal gehostetes Active Directory mit AWS SSO zu verbinden: (1) Mithilfe einer AWS Managed Microsoft AD-Vertrauensstellung, oder (2) per AD Connector.

AWS Managed Microsoft AD legt ein komplett in der AWS Cloud verwaltetes Active Directory an und kann dazu verwendet werden, eine Gesamtstruktur-Vertrauensstellung zwischen Ihrem lokal installierten Verzeichnis und AWS Managed Microsoft AD einzurichten. Mehr über das Einrichten einer Vertrauensstellung erfahren Sie unter Wann eine Vertrauensstellung einzurichten ist.

AD Connector ist ein Verzeichnis-Gateway, das Verzeichnisanforderungen an Ihr lokales Microsoft Active Directory weiterleiten kann, ohne dazu Informationen in der Cloud zwischenzuspeichern. Mehr über das Anbinden eines lokal installierten Verzeichnisses per AD Connector erfahren Sie unter AD Connector.

Ich verwalte Benutzer und Gruppen in AWS Identity and Access Management (IAM). Kann ich mein Verzeichnis mit AWS SSO verbinden? 

AWS IAM-Benutzer und -Gruppen werden von AWS SSO gegenwärtig nicht unterstützt.

Kann ich auch mehrere Verzeichnisse mit AWS SSO anbinden? 

Nein. Zum gegenwärtigen Zeitpunkt können Sie nur ein Verzeichnis auf einmal mit AWS SSO verbinden lassen. Sie können jedoch die Verbindung zu einem anderen Verzeichnis wechseln.

SSO-Zugriff auf AWS-Konten

Zu welchen AWS-Konten kann ich mit AWS SSO eine Verbindung herstellen?

Sie können jedes beliebige AWS-Konto, das per AWS Organizations verwaltet wird, zu AWS SSO hinzufügen. Um SSO für Ihre Konten zu verwalten, müssen Sie alle Funktionen in Ihren Organisationen aktivieren.

Wie richte ich SSO für AWS-Konten in einer Organisationseinheit (OU) innerhalb meiner Organisation ein?

Sie können Konten innerhalb der Organisation auswählen oder Konten nach der Organisationseinheit filtern.

Wie kann ich steuern, welche Berechtigungen meine Benutzer erhalten, wenn sie per SSO auf ihre Konten zugreifen?

Beim Erteilen von SSO-Zugriff für Ihre Benutzer können Sie deren Zugriffsmöglichkeiten einschränken, indem Sie entsprechende Berechtigungen aus einem Berechtigungssatz auswählen. Berechtigungssätze sind eine Zusammenstellung von Berechtigungen, die Sie in AWS SSO erstellen können. Deren Gestaltung erfolgt nach AWS-verwalteten Richtlinien für bestimmte berufliche Funktionen oder nach beliebigen AWS-verwalteten Richtlinien. AWS-verwaltete Richtlinien für berufliche Funktionen sind so weit wie möglich für gängige berufliche Positionen in der IT-Branche ausgelegt. Falls erforderlich, können Sie den Berechtigungssatz vollständig an Ihre jeweiligen Sicherheitsanforderungen anpassen. AWS SSO wendet diese Berechtigungen automatisch auf die ausgewählten Konten an. Wenn Sie die Berechtigungssätze ändern, ermöglicht AWS SSO es Ihnen, die Änderungen problemlos für die entsprechenden Konten zu übernehmen. Wenn Ihre Benutzer über das AWS SSO-Benutzerportal auf die Konten zugreifen, schränken diese Berechtigungen ein, was für Aktionen die Benutzer innerhalb dieser Konten durchführen können. Sie können Ihren Benutzern auch mehrere Berechtigungssätze zuteilen. Beim Zugriff auf das Konto per Benutzerportal können Benutzer dann auswählen, welchen Berechtigungssatz sie für die jeweilige Sitzung übernehmen möchten.

SSO-Zugriff für Geschäftsanwendungen

Wie richte ich SSO-Zugriff für Geschäftsanwendungen ein, wie zum Beispiel für Salesforce?

Navigieren Sie in der AWS SSO-Konsole in den Bereich "Applications" (Anwendungen), wählen Sie "Configure new application" (Neue Anwendung konfigurieren), und wählen Sie dann eine Anwendung in der Liste der Cloudanwendungen aus, die bereits mit AWS SSO integriert sind. Folgen Sie beim Konfigurieren der Anwendung den eingeblendeten Anweisungen. Ihre Anwendung ist nun konfiguriert, und Sie können Zugriff darauf zuweisen. Wählen Sie die Benutzer oder Gruppen aus, denen Sie Zugriff auf die Anwendung erteilen möchten, und klicken Sie dann auf "Assign Access" (Zugriff zuweisen), um den Vorgang abzuschließen.

In meinem Unternehmen werden Geschäftsanwendungen eingesetzt, die in der Liste der in AWS SSO vorab integrierten Anwendungen nicht aufgeführt sind. Kann ich AWS SSO dennoch nutzen? 

Ja. Wenn Ihre Anwendung SAML 2.0 unterstützt, können Sie sie als benutzerdefinierte SAML 2.0-Anwendung konfigurieren. Navigieren Sie in der AWS SSO-Konsole in den Bereich "Applications", wählen Sie "Configure new application" aus, und wählen Sie dann "Custom SAML 2.0 application" aus. Folgen Sie beim Konfigurieren der Anwendung den Anweisungen. Ihre Anwendung ist nun konfiguriert, und Sie können Zugriff darauf zuweisen. Wählen Sie die Benutzer oder Gruppen aus, denen Sie Zugriff auf die Anwendung erteilen möchten, und wählen Sie dann "Assign Access" aus, um den Vorgang abzuschließen.

Meine Anwendung unterstützt nur OpenID Connect (OIDC). Kann ich SSO mit AWS SSO einrichten?

Nein. AWS SSO unterstützt nur SAML 2.0-basierte Anwendungen.

Verschiedenes

Was für Daten wird AWS SSO in meinem Namen speichern?

AWS SSO wird Daten darüber speichern, welche AWS-Konten und Cloudanwendungen welchen Benutzern und Gruppen zugewiesen sind und was für Berechtigungen für den Zugriff auf AWS-Konten erteilt wurden. Außerdem wird AWS SSO auch IAM-Rollen in individuellen AWS-Konten für jeden Berechtigungssatz erstellen, mit dem Sie Ihren Benutzern Zugriff erteilen.

Unterstützt AWS SSO auch Multifaktor-Authentifizierung (MFA)? 

Ja. Sie können dafür sorgen, dass Benutzer beim Anmelden in AWS SSO einen weiteren Faktor angeben müssen, indem Sie einen RADIUS-Server (Remote Authentication Dial-In User Service) einrichten und für die Arbeit mit Active Directory oder AD Connector konfigurieren.

Was müssen meine Mitarbeiter als Erstes mit AWS SSO machen?

Als Erstes besuchen Ihre Mitarbeiter das AWS SSO-Benutzerportal, das generiert wird, wenn Sie Ihr Verzeichnis mit AWS SSO verbinden. Dort können sich Ihre Mitarbeiter mit ihrem Active Directory-Benutzernamen und -Passwort anmelden. Anschließend können sie die Konten und Anwendungen anzeigen, die ihnen zugewiesen sind. Um auf ein Konto oder eine Anwendung zuzugreifen, klicken Ihre Mitarbeiter dann auf das zugehörige Symbol im AWS SSO-Benutzerportal.

Gibt es eine API für AWS SSO?

Nein. Sie können alle erforderlichen Vorgänge in der AWS SSO-Konsole durchführen.

 

Sind Sie startbereit?

Anmelden für AWS Single Sign-On
Haben Sie Fragen?
Kontakt