Recursos do AWS IAM Identity Center (sucessor do AWS Single Sign-on)

O AWS IAM Identity Center (sucessor do AWS Single Sign-on) facilita o gerenciamento centralizado do acesso a várias contas da AWS e aplicações empresariais. Ele fornece à sua força de trabalho acesso de logon único a todas as contas e aplicações atribuídas em um só lugar. Com o IAM Identity Center, você pode gerenciar facilmente o acesso centralizado e as permissões de usuário para todas as suas contas no AWS Organizations. O IAM Identity Center configura e mantém todas as permissões necessárias para as suas contas automaticamente, sem exigir nenhuma configuração adicional nas contas individuais. Você atribui permissões de usuário com base em funções de trabalho comuns e as personaliza para atender a seus requisitos de segurança específicos. O IAM Identity Center também inclui integrações incorporadas a aplicações da AWS, como Amazon SageMaker Studio, Gerente de Alterações do AWS Systems Manager e AWS IoT SiteWise, e muitos aplicações de negócios, como Salesforce, Box e Microsoft 365.

Você pode criar e gerenciar as identidades do usuário no armazenamento de identidades do IAM Identity Center ou conectar facilmente sua fonte de identidade existente, incluindo o Microsoft Active Directory, o Okta, o Ping Identity, o JumpCloud e o Azure Active Directory (Azure AD). O IAM Identity Center permite selecionar os atributos do usuário, como central de custos, cargo ou local a partir de sua fonte de identidade, e usá-los para o attribute-based access control (ABAC – Controle de acesso por atributo) no AWS.

É fácil começar a usar o IAM Identity Center. Com apenas alguns cliques no console de gerenciamento do IAM Identity Center, você pode se conectar à sua fonte de identidade existente. A partir daí, você pode configurar permissões que concedem aos seus usuários acesso às contas atribuídas no AWS Organizations e centenas de aplicações em nuvem pré-configuradas, tudo em um único portal de usuário.

O IAM Identity Center fornece um repositório de identidades por padrão que você pode usar para criar usuários e organizá-los em grupos no IAM Identity Center. Você pode criar usuários no IAM Identity Center configurando seus endereços de e-mail e nomes. Por padrão, quando você cria usuários, o IAM Identity Center envia um e-mail para que eles possam definir suas próprias senhas. Em minutos, você pode conceder a usuários e grupos permissões de acesso aos recursos da AWS em todas as suas contas da AWS, bem como a diversas aplicações empresariais. Os usuários fazem login em um portal de usuários com as credenciais que eles configuraram no IAM Identity Center, para acessar de um único lugar todas as contas e aplicações atribuídas.

Você pode conectar o IAM Identity Center ao Diretório universal da Okta, ao Azure AD ou a outro provedor de identidades (IdP) com suporte por meio da SAML (Security Assertion Markup Language 2.0) para que seus usuários possam fazer login com suas credenciais existentes. Além disso, o IAM Identity Center também oferece suporte ao sistema para gerenciamento de identidade entre domínios (SCIM) para automação do provisionamento de usuários. Você pode gerenciar seus usuários no seu IdP, inseri-los na AWS rapidamente e gerenciar centralmente seu acesso a todas as contas e aplicações de negócios da AWS. O IAM Identity Center permite selecionar vários atributos do usuário, como central de custos, cargo ou local a partir de seu Diretório universal da Okta, e usá-los para o ABAC para simplificar e centralizar a administração do acesso.

Com o IAM Identity Center, você pode gerenciar o acesso por logon único às contas e aplicações usando suas identidades corporativas existentes no Microsoft Active Directory Domain Services (AD DS). O IAM Identity Center se conecta ao AD DS por meio do AWS Directory Service e permite que você conceda aos usuários acesso a contas e aplicações simplesmente adicionando os usuários aos grupos do AD apropriados. Por exemplo, você pode criar um grupo para uma equipe de desenvolvedores que está trabalhando em uma aplicação e conceder ao grupo acesso às contas da AWS para a aplicação. Quando novos desenvolvedores entram para a equipe e você os adiciona ao grupo do AD, eles recebem automaticamente acesso a todas as contas da AWS para a aplicação. O IAM Identity Center permite selecionar vários atributos do usuário, como central de custos, cargo ou local a partir de seu AD, e usá-los para o ABAC para simplificar e centralizar a administração do acesso.

O IAM Identity Center permite forçar o MFA a todos os usuários, inclusive o requisito para os usuários configurarem os dispositivos MFA durante o login. Com o IAM Identity Center, é possível usar recursos de autenticação forte baseada em padrões para todos os usuários em todas as fontes de identidade. Se você usar um IdP SAML 2.0 compatível como sua fonte de identidade, poderá habilitar os recursos de autenticação multifator (MFA) do seu provedor. Ao usar o Active Directory ou o IAM Identity Center como sua fonte de identidade, o IAM Identity Center suporta a especificação Web Authentication para ajudar a proteger o acesso do usuário às contas da AWS e às aplicações de negócios usando as chaves de segurança habilitadas para FIDO, como YubiKey, e os autenticadores biométricos incorporados, como Touch ID nos Apple MacBooks e reconhecimento facial nos PCs. Você também pode habilitar time-based one-time-passwords (TOTPs – senhas exclusivas baseadas em tempo) usando aplicações de autenticação, como Google Authenticator ou Twilio Authy.

O IAM Identity Center utiliza as funções e as políticas do AWS Identity and Access Management (IAM) para ajudá-lo a gerenciar o acesso de modo central a todas as contas AWS em sua empresa AWS. O IAM Identity Center usa conjuntos de permissões, que são coleções de uma ou mais políticas do IAM. Em seguida, você atribui conjuntos de permissões para definir o acesso para seus usuários/grupos. Com base nessas atribuições, o serviço cria um perfil do IAM controlado pelo IAM Identity Center e anexa as políticas especificadas no conjunto de permissões a essas funções em cada conta atribuída. Nenhuma configuração adicional é necessária para as contas individuais.

No console do IAM Identity Center, use atribuições de aplicações para fornecer acesso de logon único a muitas aplicações de negócios SAML 2.0, incluindo Salesforce, Box e Microsoft 365. Você pode configurar facilmente o acesso por logon único a essas aplicações, seguindo as instruções passo a passo contidas no IAM Identity Center. Ele orientará você em relação à entrada dos URLs, dos certificados e dos metadados exigidos. Para obter uma lista completa de aplicações de negócios pré-integradas ao IAM Identity Center, consulte “Aplicações em nuvem do IAM Identity Center”.

O IAM Identity Center facilita criar e usar permissões refinadas para sua força de trabalho com base nos atributos do usuário definidos no armazenamento de identidades do IAM Identity Center. O IAM Identity Center permite selecionar vários atributos, como central de custos, cargo ou local, e usá-los para o ABAC (controle de acesso por atributo) para simplificar e centralizar a administração do acesso. Você pode definir as permissões uma vez para toda a empresa AWS, então conceder, revogar ou modificar o acesso AWS apenas mudando os atributos em sua fonte de identidade.

Saiba mais sobre o ABAC »

O IAM Identity Center é compatível com acesso de API e administração centralizados diretamente de uma conta de administrador delegada no AWS Organizations para todas as contas-membro em sua organização. Isso significa que você pode designar uma conta em sua organização que poderá ser usada para administrar centralmente todas as contas-membro. Com a administração delegada, é possível aderir às práticas recomendadas reduzindo a necessidade de uso da sua conta de gerenciamento.

O IAM Identity Center comporta padrões de segurança e requisitos de conformidade, incluindo suporte para Payment Card Industry - Data Security Standard (PCI DSS – Padrão de segurança de dados para o setor de cartões de pagamento), International Organization for Standardization (ISO), System and Organization Controls (SOC – Controles de sistemas e organizações) 1, 2 e 3, Esquema Nacional de Seguridad (ENS) Elevado, os requisitos de relatórios Tipo 2 da International Standard on Assurance Engagements (ISAE – Norma Internacional de Compromissos de seguros) 3000 da Financial Market Supervisory Authority (FINMA – Autoridade de Supervisão do Mercado Financeiro) e Multi-Tier Cloud Security (MTCS – Segurança em nuvem de várias camadas). O serviço continua avaliado pelo Information Security Registered Assessors Program (IRAP – Programa de avaliadores de segurança registrados) no nível PROTECTED.

O IAM Identity Center requer integração com o AWS Organizations, permitindo a seleção de uma ou mais contas de sua organização e a concessão de acesso aos usuários a essas contas. Com apenas alguns cliques, você pode começar a usar o IAM Identity Center e conceder à sua força de trabalho acesso a todas as contas da AWS que estão sendo usadas para uma aplicação ou uma equipe.

Você pode criar integrações de logon único para aplicações habilitadas para SAML 2.0 usando o assistente de configuração de aplicações do IAM Identity Center. O assistente de configuração de aplicações ajuda você a selecionar e a formatar as informações para enviar aplicações a fim de habilitar o acesso por logon único. Por exemplo, você pode criar um atributo de SAML para nome de usuário e especificar o formato do atributo com base no endereço de e-mail do perfil do AD de um usuário.

Todas as atividades de acesso administrativo e multiconta são registradas no AWS CloudTrail, dando a você visibilidade para auditar a atividade do IAM Identity Center de maneira centralizada. Por meio do CloudTrail, você pode ver atividades como tentativas de entrada, atribuições de aplicações e mudanças de integração de diretório. Por exemplo, você pode ver as aplicações que um usuário acessou durante certo período ou quando um usuário recebeu acesso a uma aplicação específica.