Geral

O que é o AWS Single Sign-On (AWS SSO)?

AWS SSO é um serviço da AWS que permite o uso das credenciais de seu Microsoft Active Directory para acessar seus aplicativos baseados na nuvem, como contas e aplicativos empresariais da AWS (Office 365, Salesforce, Box) usando SSO (logon único).

Quais são os benefícios do AWS SSO?

Use o AWS SSO para atribuir e gerenciar com rapidez e facilidade o acesso de seus funcionários a várias contas da AWS, aplicativos de nuvem habilitados por SAML (como Salesforce, Office 365 e Box) e aplicativos internos personalizados, tudo de um só lugar. Os funcionários podem ser mais produtivos fazendo login com seus nomes de usuário e senhas corporativas do Active Directory, a fim de acessar os aplicativos do portal de usuário personalizado. Agora, os funcionários não precisarão se lembrar de vários conjuntos de credenciais e URLs de acesso para aplicativos de nuvem, e novos funcionários podem ser produtivos a partir do primeiro dia. Depois de adicionar os usuários ao grupo do Active Directory apropriado, eles receberão acesso automaticamente às contas e aplicativos habilitados para membros desse grupo. Você terá mais visibilidade no aplicativo de nuvem, pois poderá monitorar e realizar auditoria da atividade de login centralmente no AWS CloudTrail.

Quais problemas o AWS SSO resolve?

O AWS SSO elimina a complexidade administrativa de soluções de SSO personalizadas usadas para provisionar e gerenciar identidades em contas e aplicativos empresariais da AWS. À medida que você usa várias contas da AWS, e adiciona regularmente outras contas, a configuração do SSO com o AD FS (Serviços de Federação do Active Directory) para o acesso dessas contas exige conhecimento sobre a linguagem de programação de declarações do AD FS. Você também precisa preparar as contas da AWS com as permissões necessárias para acessar essas contas. O AWS SSO está disponível sem custo adicional, e reduz a complexidade das configurações repetitivas e do gerenciamento discrepante por meio da integração sólida com a AWS. Se você usar senhas separadas para acessar contas ou aplicativos de nuvem diferentes da AWS, o AWS SSO simplificará a experiência do usuário e melhorará a segurança eliminando senhas individuais necessárias a cada conta ou aplicativo empresarial de nuvem da AWS. O AWS SSO também soluciona o problema de visibilidade limitada do acesso aos seus aplicativos de nuvem, realizando a integração com o AWS CloudTrail e fornecendo um local central para você realizar a auditoria do acesso por SSO às contas da AWS e aplicativos de nuvem habilitados por SAML, como Office 365, Salesforce e Box.

Por que eu devo usar o AWS SSP?

Use o AWS SSO para ajudar seus funcionários a ganharem produtividade rapidamente concedendo a eles acesso às contas e aplicativos empresariais de nuvem da AWS, sem precisar escrever scripts personalizados ou investir em soluções de SSO para fins gerais. Use também o AWS SSO para reduzir a complexidade administrativa e o custo de configurar e gerenciar o acesso por SSO.

O AWS SSO é o local onde seus funcionários podem acessar suas contas da AWS, e os aplicativos necessários durante o trabalho, no portal do usuário do AWS SSO, independentemente do local onde esses aplicativos foram compilados ou estão hospedados.

O que eu posso fazer com o AWS SSO?

Use o AWS SSO para atribuir aos funcionários, de forma rápida e fácil, acesso às contas da AWS gerenciadas com as Organizações da AWS, aplicativos empresariais de nuvem (como Salesforce, Office 365 e Box) e aplicativos personalizados que dão suporte a SAML (Security Assertion Markup Language) 2.0. Os funcionários podem entrar com seus nomes de usuário e senhas corporativos para acessar os aplicativos empresariais de um único portal de usuário. O AWS SSO também permite que você realize a auditoria do acesso dos usuários a serviços de nuvem usando o AWS CloudTrail.

Quem deve usar o AWS SSO?

O AWS SSO serve para administradores que gerenciam várias contas e aplicativos empresariais da AWS, desejam centralizar o gerenciamento de acesso do usuário a esses serviços de nuvem e querem fornecer aos funcionários um único local para acessar essas contas e aplicativos sem precisarem se lembrar de outra senha.

Como posso começar a usar o AWS SSO?

Como novo cliente do AWS SSO, você:

  1. Entra no Console de Gerenciamento da AWS da conta mestre em sua conta da AWS e navega até o console do AWS SSO.
  2. Seleciona o diretório usado para armazenar as identidades de seus usúarios e grupos no console do AWS SSO, clicando em uma lista de instâncias do Active Directory e do Active Directory Connector descobertas automaticamente pelo AWS SSO em sua conta. Caso ainda não tenha configurado um diretório, confira Conceitos básicos.
  3. Concede aos usuários acesso por SSO às contas da AWS em sua organização, selecionando as contas da AWS de uma lista preenchida pelo AWS SSO, e depois selecionando usuários ou grupos de seu diretório e as permissões que você deseja conceder a eles. 
  4. Conceda aos usuários o acesso aos aplicativos empresariais de nuvem fazendo o seguinte:
    1. Selecionando um dos aplicativos na lista de aplicativos pré-integrados com suporte do AWS SSO.
    2. Configurando o aplicativo seguindo as instruções de configuração.
    3. Selecionando os usuários ou grupos que devem poder acessar esse aplicativo.
  5. Dê aos seus funcionários o endereço da Web de entrada do AWS SSO gerado durante a conexão com o diretório, para que possam entrar no AWS SSO com o próprio nome de usuário senha do Active Directory, e acessem as contas e aplicativos empresariais.

Quanto custa o AWS SSO?

O AWS SSO é oferecido gratuitamente.

Em quais regiões da AWS o AWS SSO está disponível?

Confira a Tabela de regiões da AWS para conhecer a disponibilidade do AWS SSO por Região.

Suporte a diretórios e aplicativos

Quais diretórios eu posso usar com o AWS SSO?

Você pode conectar o AWS SSO ao Microsoft Active Directory, e executar localmente ou na Nuvem AWS. O AWS SSO dá suporte ao AWS Directory Service para Microsoft Active Directory, também conhecido como Microsoft AD Gerenciado pela AWS e AD Connector. O AWS SSO não dá suporte ao AD Simples. Consulte Conceitos básicos do AWS Directory Service para saber mais.

A quais aplicativos baseados em nuvem eu posso me conectar usando o AWS SSO?

É possível conectar os seguintes aplicativos ao AWS SSO:

  1. Console de Gerenciamento da AWS: você pode configurar o acesso por SSO ao Console de Gerenciamento da AWS.
  2. Aplicativos SaaS de terceiros: o AWS SSO vem pré-integrado com os aplicativos empresariais mais usados. Para obter uma lista abrangente, consulte o console do AWS SSO.
  3. Aplicativos SAML personalizados: o AWS SSO dá suporte a aplicativos que permitem a federação de identidade usando SAML 2.0. Para aplicaticos que não vem pré-integrados ao AWS SSO, configure o SSO usando o assistente de aplicativos personalizado do AWS SSO.

Gerencio usuários e grupos no Active Directory local. Como eu conecto meu diretório ao AWS SSO? 

Você tem duas opções para conectar o Active Directory hospedado localmente ao AWS SSO: (1) Usar a relação de confiança do Microsoft AD gerenciado pela AWS, ou (2) usar o AD Connector.

O Microsoft AD gerenciado pela AWS cria um Active Directory totalmente gerenciado na Nuvem AWS, e pode ser usado para configurar uma relação de confiança de floresta entre seu diretório local e o Microsoft AD gerenciado pela AWS. Para configurar uma relação de confiança, confira Quando criar uma Relação de Confiança.

O AD Connector é um gateway de diretório que permite que suas solicitações de diretório assumam o papel de proxies para o seu Microsoft Active Directory local, sem que seja necessário armazenar em cache qualquer informação na nuvem. Para conectar um diretório local usando o AD Connector, confira AD Connector.

Gerencio usuários e grupos no AWS Identity and Access Management (IAM). Posso conectar meu diretório ao AWS SSO? 

No momento, o AWS SSO não dá suporte a usuários e grupos do AWS IAM.

Posso conectar mais de um diretório ao AWS SSO? 

Não. Você só pode ter um diretório conectado ao AWS SSO. Mas, você pode alterar o diretório conectado, escolhendo um diferente.

Acesso por SSO às contas da AWS

Quais contas da AWS eu posso conectar ao AWS SSO?

Adicione qualquer conta da AWS gerenciada usando as Organizações da AWS para o AWS SSO. Você precisa permitir que todos os recursos em suas organizações gerenciem o SSO de suas contas.

Como configurar o SSO para contas da AWS em uma UO (unidade organizacional) dentro da minha organização?

Escolha as contas dentro da organização ou filtre as contas por UO.

Como posso controlar quais permissões meus usuários recebem quando usam o SSO para acessar suas contas?

Ao conceder acesso por SSO aos seus usuários, é possível limitar as permissões dos usuários escolhendo um conjunto de permissões. Os conjuntos de permissão são uma coleção de permissões que você pode criar no AWS SSO, modelando-as com base nas políticas gerenciadas pela AWS para funções de trabalho ou quaisquer políticas gerenciadas pela AWS. As políticas gerencidas pela AWS para funções de trabalho foram desenvolvidas para ficarem alinhadas da forma mais próxima possível às funções de trabalho no setor de TI. Se for necessário, também será possível personalizar totalmente o conjunto de permissões a fim de atender aos seus requisitos de segurança. O AWS SSO aplica automaticamente essas permissões às contas selecionadas. À medida que você altera os conjuntos de permissão, o AWS SSO permite que você aplique as alterações às contas relevantes. Quando seus usuários acessam as contas por meio do portal de usuário do AWS SSO, essas permissões restringem o que eles podem fazer nessas contas. Também é possível conceder vários conjuntos de permissão aos seus usuários. Ao acessarem a conta por meio do portal do usuário, eles podem escolher qual conjunto de permissões desejam aceitar para essa sessão.

Acesso por SSO aos aplicativos empresariais

Como configurar o SSO para aplicativos empresariais, como o Salesforce?

No console do AWS SSO, navegue até o painel de aplicativos, escolha Configurar novo aplicativo, e escolha um aplicativo na lista de aplicativos de nuvem pré-integrados ao AWS SSO. Siga as instruções na tela para configurar o aplicativo. Agora, seu aplicativo está configurado, e você pode atribuir acesso a ele. Escolha os grupos ou usuários para os quais deseja fornecer acesso ao aplicativo e Escolher Atribuir Acesso para completar o processo.

Minha empresa usa aplicativos empresariais que não estão na lista de aplicativos pré-integrados do AWS SSO. Ainda posso usar o AWS SSO? 

Sim. Se o seu aplicativo oferecer suporte a SAML 2.0, você poderá configurar seu aplicativo como um aplicativo SAML 2.0 personalizado. No console do AWS SSO, navegue até o painel de aplicativos, escolha Configurar novo aplicativo, e escolha o aplicativo SAML 2.0 Personalizado. Siga as instruções para configurar o aplicativo. Agora, seu aplicativo está configurado, e você pode atribuir acesso a ele. Escolha os grupos ou usuários para os quais você quer fornecer acesso ao aplicativo, e escolha Atribuir Acesso para completar o processo.

Meu aplicativo só dá suporte ao OpenID Connect (OIDC). Posso configurar o SSO com o AWS SSO?

Não. O AWS SSO só dá suporte a aplicativos com base em SAML 2.0.

Diversos

Quais dados o AWS SSO armazenará em meu nome?

O AWS SSO armazenará dados sobre quais contas e aplicativos de nuvem da AWS foram atribuídos a quais usuários e grupos, e também quais permissões foram concedidas para acesso às contas da AWS. O AWS SSO também criará e gerenciará funções de IAM em contas individuais da AWS para cada conjunto de permissões para os quais você concede acesso aos seus usuários.

O AWS SSO oferece suporte à MFA (autenticação multifator)? 

Sim. Você pode exigir que os usuários forneçam um fator adicional para conexão ao AWS SSO por meio da operação de um servidor RADIUS (Remote Authentication Dial-In User Service) e configuração do servidor RADIUS para trabalhar com o Active Directory ou o AD Connector.

Como meus funcionários podem começar a usar o AWS SSO?

Eles podem começar a usar o AWS SSO visitando o portal de usuário do AWS SSO gerado quando você conecta seu diretório ao AWS SSO. Eles podem entrar com o próprio nome de usuário e senha do Active Directory e, depois, ver as contas e aplicativos atribuídos a eles. Para acessar uma conta ou aplicativo, os funcionários escolhem o ícone associado no portal de usuário do AWS SSO.

Há uma API disponível para AWS SSO?

Não. Use o console do AWS SSO para executar todas as operações necessárias.