Details

AWS Single Sign-On (SSO) ermöglicht den zentralen Zugriff auf mehrere AWS-Konten und Geschäftsanwendungen. Benutzer erhalten zentralen Single-Sign-On-Zugriff auf alle ihre Konten und Anwendungen. Mit AWS SSO können Sie den Zugriff und Benutzerberechtigungen für alle Ihre Konten in AWS Organizations problemlos zentral verwalten. SSO konfiguriert und verwaltet alle benötigten Berechtigungen für Ihre Konten automatisch, ohne dass zusätzliche Einstellungen in den einzelnen Konten erforderlich sind. Sie können Benutzern Berechtigungen auf Basis gängiger Geschäftsfunktionen zuweisen und diese an Ihre speziellen Sicherheitsanforderungen anpassen. AWS SSO enthält auch vorinstallierte Integrationen für viele Geschäftsanwendungen, wie z. B. Salesforce, Box und Microsoft 365.

Mit AWS SSO können Sie Benutzer erstellen und verwalten, die im Identitätsspeicher von AWS SSO gespeichert werden, und Verknüpfungen zu einer vorhandenen Identitätsquelle wie Microsoft Active Directory, Okta Universal Directory oder Azure Active Directory (Azure AD) erstellen. AWS SSO ermöglicht Ihnen die Auswahl von Benutzerattributen, z. B. Kostenstelle, Titel oder Gebietsschema, aus der Identitätsquelle und dann deren Verwendung zur attributbasierten Zugriffssteuerung in AWS.

Die ersten Schritte mit AWS SSO sind ganz einfach. Mit nur wenigen Mausklicks in der AWS SSO-Verwaltungskonsole verknüpfen Sie AWS SSO mit einer vorhandenen Identitätsquelle und konfigurieren Berechtigungen, um Benutzern über ein zentrales Benutzerportal Zugriff auf ihre zugewiesenen AWS Organizations-Konten und Hunderte von vorkonfigurierten Cloudanwendungen zu gewähren.

Verwaltungsfunktionen

Integriert mit AWS Organizations

AWS SSO ist mit AWS Organizations integriert. Daher können Sie ein oder mehrere Konten aus Ihrer Organisation auswählen und Benutzern dann Zugriff auf diese Konten erteilen. AWS SSO baut auf AWS Identity and Access Management (IAM)-Rollen und -Richtlinien auf, um Sie bei der zentralen Zugriffsverwaltung übergreifend über alle AWS-Konten in Ihrer AWS-Organisation zu unterstützen. Dazu sind keine zusätzlichen Einrichtungsschritte in den einzelnen Konten erforderlich. Mit einigen Mausklicks können Sie Benutzerzugriff für sämtliche AWS-Konten erstellen, die gerade für eine Anwendung in Gebrauch sind oder von einem Team genutzt werden.

Verwaltung des SSO-Zugriffs für mehrere AWS-Konten

Mit AWS Single Sign-On (SSO) können Sie den SSO-Zugriff auf mehrere AWS-Konten zentral verwalten. Wenn sich Benutzer in ihrem personalisierten Benutzerportal anmelden, werden ihnen sämtliche Rollen in AWS-Konten, die ihnen zugewiesen sind, auf einen Blick angezeigt.

Attributbasierte Zugriffskontrolle

AWS SSO vereinfacht Ihnen das Erstellen und Nutzen differenzierter Berechtigungen für Ihr Personal auf der Grundlage von Benutzerattributen, die in Ihrer AWS SSO-Identitätsquelle definiert sind. AWS SSO ermöglicht Ihnen die Auswahl von mehreren Attributen, z. B. Kostenstelle, Titel oder Gebietsschema und dann deren Verwendung zur attributbasierten Zugriffssteuerung für eine einfachere und zentrale Zugriffsverwaltung. Sie können die Berechtigungen einmal für die gesamte AWS-Organisation definieren und dann den AWS-Zugriff gewähren, widerrufen oder ändern, indem Sie einfach die Attribute in der Identitätsquelle anpassen.

Erstellen und verwalten Sie Benutzer in AWS SSO

AWS SSO stellt Ihnen standardmäßig ein Verzeichnis zur Verfügung, mit dem Sie Benutzer erstellen und in Gruppen in AWS SSO organisieren können. Sie können Benutzer in AWS SSO erstellen, indem Sie ihre E-Mail-Adresse und ihren Namen konfigurieren. Wenn Sie einen Benutzer erstellen, sendet AWS SSO standardmäßig eine E-Mail an den Benutzer, damit Ihre Benutzer ihr eigenes Kennwort festlegen können. Innerhalb von Minuten können Sie Ihren Benutzern und Gruppen Berechtigungen für AWS-Ressourcen in all Ihren AWS-Konten soviel in vielen Geschäftsanwendungen bereitstellen. Ihre Benutzer melden sich mit den in AWS SSO konfigurierten Anmeldeinformationen in einem Benutzerportal an, um auf alle zugeordneten Konten und Anwendungen an einem zentralen Ort zuzugreifen.

Verbindung zu Microsoft Active Directory

Mit AWS SSO können Sie SSO-Zugriff auf Konten und Anwendungen unter Verwendung Ihrer in Microsoft Active Directory Domain Services (AD DS) vorhandenen Firmenidentitäten verwalten. AWS SSO wird über den AWS Directory Service mit AD DS verbunden. Daher können Sie Benutzern den Zugriff auf Konten und Anwendungen erteilen, indem Sie die Benutzer einfach den entsprechenden AD-Gruppen hinzufügen. Ein Beispiel: Sie können eine Gruppe für ein Entwicklerteam erstellen, das an einer Anwendung arbeitet, und dieser dann Zugriff auf die AWS-Konten für diese Anwendung erteilen. Wenn neue Entwickler dem Team beitreten und der AD-Gruppe hinzugefügt werden, erhalten sie dadurch automatisch Zugriff auf sämtliche AWS-Konten für diese Anwendung. AWS SSO ermöglicht Ihnen auch die Auswahl von mehreren Benutzerattributen, z. B. Kostenstelle, Titel oder Gebietsschema aus Ihrem AD und dann deren Verwendung zur attributbasierten Zugriffssteuerung für eine einfachere und zentrale Zugriffsverwaltung..

Automatische Benutzerbereitstellung über standardbasierte Identitätsanbieter

Sie können AWS SSO über die Security Assertion Markup Language (SAML) 2.0 mit Okta Universal Directory, Azure AD oder einem anderen unterstützten Identitätsanbieter verbinden, sodass Ihre Benutzer sich mit ihren bestehenden Anmeldedaten anmelden können. Darüber unterstützt AWS SSO auch System for Cross-domain Identity Management (SCIM) zur Automatisierung der Benutzerbereitstellung. Sie können Ihre Benutzer in Ihrem IdP verwalten, diese schnell in AWS integrieren und den Zugriff auf alle AWS-Konten und -Geschäftsanwendungen zentral steuern. AWS SSO ermöglicht Ihnen auch die Auswahl von mehreren Benutzerattributen, z. B. Kostenstelle, Titel oder Gebietsschema aus Ihrem Okta Universal Directory und dann deren Verwendung zur attributbasierten Zugriffssteuerung für eine einfachere und zentrale Zugriffsverwaltung.

Multi-Factor Authentication

Dank AWS SSO können Sie auf Standards basierte starke Authentifizierungsfunktionen für alle Ihre Benutzer übergreifend über alle Identitätsquellen nutzen. Wenn Sie einen unterstützten SAML 2.0-IdP als Identitätsquelle verwenden, können sie die Multi-Factor Authentication (MFA) Ihres Anbieters aktivieren. Falls Sie Active Directory oder AWS SSO als Identitätsquelle verwenden, unterstützt AWS SSO die Spezifikation für die Webauthentifizierung, um den Benutzerzugriff auf AWS-Konten und Geschäftsanwendungen mit FIDO-aktivierten Sicherheitsschlüsseln, wie YubiKey und integrierten biometrischen Authentifikatoren, wie Touch ID auf Apple MacBooks und Gesichtserkennung auf PCs zu sichern. Sie können mithilfe von Authenticator-Apps wie Google Authenticator oder Twilio Authy auch Einmalkennwörter (TOTP) aktivieren. AWS SSO ermöglicht Ihnen die Durchsetzung von MFA für alle Ihre Benutzer, einschließlich der Anforderung, dass die Benutzer MFA-Geräte während der Anmeldung einrichten.

Überprüfen von SSO-Aktivitäten in Anwendungen und AWS-Konten

Alle administrativen und SSO-relevanten Aktivitäten werden in AWS CloudTrail aufgezeichnet. So haben Sie die nötige Transparenz, um SSO-Aktivitäten zentral nachprüfen zu können. Über CloudTrail können Sie die verschiedensten Aktivitäten anzeigen, wie zum Beispiel Anmeldeversuche, Anwendungszuweisungen und Änderungen bei einer Verzeichnisintegration. So können Sie zum Beispiel erkennen, auf welche Anwendungen ein Benutzer in einem bestimmten Zeitraum zugegriffen hat oder wann einem Benutzer der SSO-Zugriff auf eine bestimmte Anwendung erteilt wurde.

Hochverfügbare, verwaltete Infrastruktur

AWS SSO baut auf einer hochverfügbaren, AWS-verwalteten Infrastruktur auf. Wenn Sie skalieren und neue Integration hinzufügen, brauchen Sie keine weiteren Proxys, Webserver oder Verbundserver bereitzustellen und instandzuhalten. Stattdessen können Sie neue Integrationen für Ihre Geschäftsanwendungen mithilfe der AWS SSO-Konsole schnell und einfach erstellen.

Praktische Funktionen für Benutzer

Benutzerportal

Mit AWS SSO können Benutzer alle Konten und Anwendungen, die ihnen zugewiesen sind, auf einen Blick finden. Benutzer melden sich einfach mit den Anmeldeinformationen, die sie bereits im Unternehmen verwenden, in ihrem personalisierten Benutzerportal an, und haben einen Mausklick später Zugriff auf all ihre Konten und Anwendungen. Das Benutzerportal ist auch praktisch, wenn der Zugriff auf neue Anwendungen ausgeweitet wurde – diese sind dann für den Benutzer im Benutzerportal leicht auffindbar.

Unterstützung von Browser-, CLI- und Mobilgeräte-Schnittstellen

Wenn sich Benutzer über die AWS Befehlszeilenschnitstelle (CLI) anmelden, können sie ihre vorhandenen Unternehmens-Anmeldeinformationen verwenden und von einem konsistenten Authentifizierungsprozesss sowie von den Vorteilen einer automatisierten Verwaltung von Anmeldeinformationen profitieren. Angemeldete Entwickler sehen ihre zugewiesenen AWS SSO-Konten und -Rollen und können Profile erstellen, die es ihnen erlauben, mit einem einzigen Befehl zwischen Rollen und Konten umzuschalten. Die AWS Mobile Console-App unterstützt ebenfalls AWS SSO, sodass überall eine konsistente Anmeldung möglich ist, ob Browser, Mobilgerät oder CLI.

Im Lieferumfang enthaltene SSO-Integrationen für Geschäftsanwendungen

AWS SSO bietet vorgefertigte SSO-Integrationen für viele Geschäftsanwendungen an, inklusive Salesforce, Box und Microsoft 365. Mithilfe der folgenden Anleitung können Sie SSO-Zugriff problemlos konfigurieren: AWS SSO führt Sie durch die einzelnen Schritte, in denen Sie die erforderlichen URLs, Zertifikate und Metadaten eingeben. Die vollständige Liste der für AWS SSO vorintegrierten Geschäftsanwendungen finden Sie unter AWS SSO-Cloud-Anwendungen.

Konfigurationsassistent für SAML-fähige Anwendungen

Integrationen mit SAML 2.0-fähigen Anwendungen (Security Assertion Markup Language) können Sie mithilfe des AWS SSO-Konfigurationsassistenten für Anwendungen erstellen. Der Konfigurationsassistent hilft Ihnen beim Auswählen und Formatieren der Informationen, die Anwendungen senden müssen, um SSO-Zugriff zu ermöglichen. So können Sie zum Beispiel ein SAML-Attribut für den Benutzernamen erstellen und das Format für dieses Attribut anhand der E-Mail-Adresse eines Benutzers aus seinem AD-Profil festlegen.

Erste Schritte mit AWS Single Sign-On

Seite "Erste Schritte" besuchen
Sind Sie startbereit?
Registrieren
Haben Sie Fragen?
Kontakt