Integrações: Active Directory, Azure AD com AWS IAM e o AWS IAM Identity Center (sucessor do AWS Single Sign-On)

Por: Caio Ribeiro César, Arquiteto de Soluções AWS Brasil,
Felipe Bortoletto, Arquiteto de Soluções AWS Brasil e
Roberto Haramita, Technical Account Manager AWS Brasil.

12 de setembro de 2022: Este blogpost foi atualizado para refletir o novo nome do AWS Single Sign-On (SSO) – AWS IAM Identity Center. Leia mais sobre a mudança de nome aqui.

Nove anos atrás, em julho de 2012, foi lançado o AWS Identity Access Managament, que habilita a criação de usuários e funções, com permissionamento granular, dentro da conta AWS.

Com o crescimento das empresas ocorreu, consequentemente, o crescimento da infraestrutura de TI suportando-as e assim, as empresas começaram a dividir seus ambientes em várias contas para melhorar a segurança de suas aplicações. Para acessar as novas contas, era necessária a criação de um novo usuário do IAM, pois as identidades do IAM eram limitadas às suas contas criadoras, e com isso era necessário criar novas identidades para cada conta e trocar de identidade toda vez que fosse utilizar outro ambiente.

Essa situação gerou a necessidade da criação de um mecanismo de login centralizado para os usuários e um local centralizado para os administradores gerirem os ambientes. Para isso ser possível, foi necessária a criação de uma maneira de governar as contas das organizações, o AWS Organizations.

O AWS Organizations habilita o administrador a centralizar a governança de suas contas, permitindo uma melhor gestão de identidades, permissões, conformidade, recursos e faturamento.

Em Dezembro de 2017 foi lançado o AWS IAM Identity Center (sucessor do AWS Single Sign-On), um serviço que simplifica o permissionamento e a integração entre as múltiplas contas de uma organização utilizando um único login, resolvendo a necessidade de ter que mudar de identidade quando mudar de conta. O AWS IAM Identity Center (sucessor do AWS Single Sign-On) pode funcionar como um provedor de identidade primário (tal como o Active Directory) ou se integrar com provedor de identidade externo utilizando o padrão SAML, assim sincronizando as configurações e usuários desse provedor.

No vídeo abaixo serão mostradas demonstrações de como:

Integrar o Provedor de Identidade Externo (Azure AD) com o AWS IAM (2:20)

Integrar o ambiente Active Directory com o AWS IAM Identity Center (sucessor do AWS Single Sign-On) (19:55)

Integrar o Provedor de Identidade Externo (Azure AD) com o AWS IAM Identity Center (sucessor do AWS Single Sign-On) (29:25)

Integrar o Provedor de Identidade Externo (Azure AD) com o AWS CLI (46:50)

Sobre os autores

Caio Ribeiro César atualmente trabalha como arquiteto de soluções especializadas em tecnologia da Microsoft na nuvem AWS. Ele iniciou sua carreira profissional como administrador de sistemas, que continuou por mais de 14 anos em áreas como Segurança da Informação, Identity Online e Plataformas de Email Corporativo. Recentemente, se tornou fã da computação em nuvem da AWS e auxilia os clientes a utilizar o poder da tecnologia da Microsoft na AWS.

Felipe Bortoletto é um arquiteto de soluções na AWS. Ele tem trabalhado na Amazon desde 2017, começando como Engenheiro de TI, em 2019 ele participou do programa Tech U que proveu o conhecimento e pratica necessário para ser promovido para arquiteto de soluções em 2020. Atualmente está trabalhando com o mercado financeiro e se aprofundando na área de segurança.

Roberto Haramita é um profissional de infraestrutura de TI com 15 anos de experiência, atuando com a sustentação de ambientes de datacenter (servidores, virtualização, rede e segurança), planejamento de capacidade e implantação de projetos de infraestrutura de TI. Há alguns anos, tornou-se um admirador de computação em nuvem e ingressou na AWS, onde atua como gerente técnico de contas para parceiros.