Dettagli

AWS Single Sign-On (SSO) semplifica la gestione centralizzata degli accessi a molteplici applicazioni aziendali e account AWS e fornisce agli utenti la possibilità di accedere attraverso Single Sign-On a tutti gli account e le applicazioni assegnati da un'unica posizione. Con AWS SSO puoi gestire facilmente e centralmente gli accessi e le autorizzazioni utente di tutti gli account in AWS Organizations. SSO consente di configurare e mantenere automaticamente tutte le autorizzazioni necessarie agli account, senza il bisogno configurazioni aggiuntive per il singolo account. È possibile assegnare le autorizzazioni utente in base alle funzioni lavorative comuni e personalizzarle per soddisfare i requisiti di sicurezza specifici. AWS SSO include anche integrazioni incorporate in molte applicazioni aziendali quali Salesforce, Box e Microsoft 365.

Grazie ad AWS SSO, puoi creare e gestire identità utenti nello storage delle identità di AWS SSO. In alternativa, puoi connettere facilmente l'origine identità esistente, tra cui Microsoft Active Directory, Azure Active Directory, Okta Universal Directory e Azure AD. AWS SSO consente di selezionare gli attributi dell'utente, come centri di costo, titoli o impostazioni locali, dall'origine identità, per poi utilizzarli per il controllo di accessi basato sugli attributi in AWS.

È facile iniziare a usare AWS SSO. Ti basteranno pochi clic nella console di gestione di AWS SSO per connettere AWS SSO alla tua origine identità esistente e configurare le autorizzazioni per garantire l'accesso agli utenti degli account AWS Organizations assegnati e a centinaia di applicazioni preconfigurate in cloud, il tutto da un unico portale utente.

Caratteristiche amministrative

Integrato con AWS Organizations

AWS SSO è integrato con AWS Organizations e consente di selezionare uno o più account dall'organizzazione e concedere l'accesso a tali account. AWS SSO si basa sui ruoli e sulle policy di AWS Identity and Access Management (IAM) per agevolare la gestione dell'accesso a livello centrale in tutti gli account AWS dell'organizzazione AWS. Non è necessario eseguire configurazioni aggiuntive nei singoli account. Con pochi clic, puoi concedere l'accesso utente a tutti i tuoi account AWS utilizzati per un'applicazione o da un team.

Gestisci l'accesso SSO per molteplici account AWS

Con AWS Single Sign-On (SSO), puoi gestire l'accesso per molteplici account AWS a livello centralizzato. Quando gli utenti accedono ai portali utente personalizzati, potranno visualizzare tutti i ruoli assegnati negli account AWS da un'unica posizione.

Controllo degli accessi basato sugli attributi

AWS SSO facilita la creazione e l'utilizzo di autorizzazioni granulari per la forza lavoro sulla base degli attributi utente definiti nell'origine identità AWS SSO. AWS SSO consente di selezionare più attributi, come centri di costo, titoli o impostazioni locali, per poi utilizzarli per il controllo di accessi basato sugli attributi (ABAC) per semplificare e centralizzare l'amministrazione degli accessi. È possibile definire le autorizzazioni una sola volta per l'intera organizzazione AWS e poi concedere, revocare o modificare l'accesso AWS semplicemente modificando gli attributi nell'origine identità.

Crea e gestisci gli utenti in AWS SSO

AWS SSO fornisce ora una directory che è possibile utilizzare di default per creare utenti e disporli in gruppi all'interno del servizio. Puoi creare gli utenti in AWS SSO configurando i loro nomi e indirizzi e-mail. Quando viene creato un utente, AWS SSO invia in modo predefinito un'e-mail all'utente che può impostare una password a sua scelta. In pochi minuti, è possibile fornire a utenti e gruppi le autorizzazioni per accedere alle risorse AWS nell'intero account e a diverse applicazioni aziendali. Gli utenti accederanno a un portale specifico con le credenziali configurate in AWS SSO, quindi potranno visualizzare tutti gli account e le applicazioni assegnati loro in un singolo pannello.

Connessione a Microsoft Active Directory

Con AWS SSO puoi gestire l'accesso SSO agli account e alle applicazioni utilizzando le credenziali aziendali esistenti di Microsoft Active Directory Domain Services (AD DS). AWS SSO si connette ad AD DS tramite AWS Directory Service e ti consente di concedere agli utenti l'accesso ad account e applicazioni semplicemente aggiungendo gli utenti ai gruppi AD appropriati. Ad esempio, puoi creare un gruppo per un team di sviluppatori che lavora su un'applicazione e concedere a tale gruppo l'accesso agli account AWS per l'applicazione. Se nuovi sviluppatori entrano a far parte del team, è possibile aggiungerli al gruppo AD in modo da concedere loro automaticamente l'accesso a tutti gli account AWS per l'applicazione. AWS SSO consente anche di selezionare più attributi degli utenti, come centri di costo, titoli o impostazioni locali da AD e di utilizzarli per ABAC per semplificare e centralizzare l'amministrazione degli accessi.

Connetti e effettua il provisioning automatico degli utenti da parte di fornitori di identità basati su standard

Puoi connettere AWS SSO a Okta Universal Directory,Azure AD o a un altro fornitore di identità supportato (IdP) tramite Security Assertion Markup Language (SAML) 2.0 per garantire agli utenti la possibilità di accedere con le loro credenziali esistenti. Inoltre, AWS SSO è in grado di supportare System for Cross-domain Identity Management (SCIM) per il provisioning automatico degli utenti. È possibile gestire gli utenti nell'IdP, trasferirli rapidamente in AWS e gestire gli accessi ai loro account AWS e applicazioni aziendali a livello centralizzato. AWS SSO consente anche di selezionare più attributi degli utenti, come centri di costo, titoli o impostazioni locali da Okta Universal Directory e di utilizzarli per ABAC per semplificare e centralizzare l'amministrazione degli accessi.

Multi-Factor Authentication

Con AWS SSO, è possibile usare le funzionalità di autenticazione avanzata basate su standard per tutti gli utenti in tutte le origini identità. Se si utilizza un IdP SAML 2.0 IdP supportato come origine identità, è possibile abilitare la funzionalità Multi-Factor Authentication (MFA) del provider. Quando si utilizza Active Directory o AWS SSO come origine identità, AWS SSO supporta la specifica di autenticazione Web per aiutare a proteggere l'accesso degli utenti agli account AWS e alle applicazioni aziendali tramite chiavi di sicurezza che utilizzano FIDO, come YubiKey, e autenticatori biometrici integrati, come Touch ID su MacBook Apple e riconoscimento facciale su PC. È inoltre possibile abilitare le password valide per un solo accesso (TOTP) utilizzando le app di autenticazione come Google Authenticator o Twilio Authy. AWS SSO consente di applicare l'autenticazione MFA per tutti gli utenti, ad esempio richiedendo agli utenti di configurare i dispositivi con autenticazione MFA al momento dell'accesso.

Attività SSO di verifica tra applicazioni e account AWS

Tutte le attività amministrative ed SSO vengono registrate in AWS CloudTrail, per offrirti visibilità sull'attività SSO di verifica a livello centralizzato. Tramite CloudTrail puoi visualizzare attività quali i tentativi di accesso, le assegnazioni delle applicazioni e le modifiche di integrazione della directory. Ad esempio, puoi visualizzare le applicazioni sulle quali un utente ha eseguito l'accesso in un determinato periodo di tempo o quando a un utente è stato concesso l'accesso SSO a un'applicazione specifica.

Infrastruttura gestita a elevata disponibilità

AWS SSO è stato progettato su un'infrastruttura altamente disponibile gestita da AWS. Non è necessario distribuire e mantenere proxy, server Web o server federativi aggiuntivi se si incrementano e aggiungono nuove integrazioni di applicazioni aziendali. Invece puoi creare facilmente nuove integrazioni alle applicazioni aziendali utilizzando la console di AWS SSO.

Caratteristiche dell'esperienza dell'utente finale

Portale utente

Con AWS SSO, gli utenti possono trovare e accedere a tutti i loro account e applicazioni assegnati da un'unica posizione. È sufficiente che l'utente esegua l'accesso al portale utente personalizzato con le credenziali aziendali esistenti e con un clic può accedere a tutti gli account e applicazioni assegnati. Il portale utente facilita inoltre l'implementazione dell'accesso a nuove applicazioni aiutando gli utenti a scoprire nuove applicazioni nel portale utente.

Supporto browser, riga di comando e interfacce mobili

Quando gli utenti accedono tramite l'interfaccia a riga di comando AWS (CLI) possono utilizzare le proprie credenziali aziendali esistenti e ottenere un'esperienza di autenticazione omogenea, il tutto ricavando i vantaggi della gestione di credenziali automatica a breve termine. Dopo aver effettuato l'accesso, gli sviluppatori possono visualizzare i ruoli e gli account assegnati a AWS SSO. Possono inoltre creare profili che permettono loro di cambiare ruolo e account con un unico comando. L'app della Console mobile di AWS supporta anche AWS SSO. In questo modo potrai ottenere un'esperienza di accesso omogenea tra browser, dispositivi mobili e interfacce a riga di comando.

Integrazioni SSO incorporate nelle applicazioni aziendali

AWS SSO offre anche integrazioni SSO predefinite a molte applicazioni di business, come Salesforce, Box e Microsoft 365. Puoi configurare facilmente l'accesso SSO a tali applicazioni seguendo istruzioni dettagliate. AWS SSO ti guida nell'inserimento degli URL, certificati e metadati richiesti. Per un elenco completo delle applicazioni aziendali pre-integrate con AWS SSO, consulta le Applicazioni cloud AWS SSO.

Configurazione guidata dell'applicazione con integrazione SAML

Tramite la configurazione guidata dell'applicazione AWS SSO puoi creare integrazioni SSO sulle applicazioni con integrazione Security Assertion Markup Language (SAML) 2.0. La configurazione guidata dell'applicazione aiuta a selezionare e formattare le informazioni da inviare alle applicazioni per abilitare l'accesso SSO. Ad esempio, puoi creare un attributo SSO per il nome utente e specificarne il formato in base all'indirizzo e-mail di un utente dal relativo profilo AD.

Inizia a usare AWS Single Sign-On

Visita la pagina sulle nozioni di base
Sei pronto per iniziare?
Registrati
Hai altre domande?
Contattaci