Geral

O que é o AWS Single Sign-On (AWS SSO)?

O AWS SSO é um serviço que facilita o gerenciamento centralizado do acesso a várias contas e aplicativos empresariais da AWS e fornece aos usuários acesso de logon único a todas as suas contas e aplicativos atribuídos em um só local. Com o AWS SSO, você pode gerenciar com facilidade o acesso de SSO e as permissões de usuário a todas as suas contas no AWS Organizations de forma centralizada. O AWS SSO permite a criação e o gerenciamento de identidades de usuário no armazenamento de identidades do AWS SSO ou a fácil conexão à sua origem de identidade existente, incluindo o Microsoft Active Directory, o Diretório universal da Okta e o Azure Active Directory (Azure AD).

Quais os benefícios do AWS SSO?

Use o AWS SSO para atribuir e gerenciar com rapidez e facilidade o acesso de seus funcionários a várias contas da AWS, aplicativos de nuvem habilitados por SAML (como Salesforce, Office 365 e Box) e aplicativos internos personalizados, tudo de um só lugar. Os funcionários podem ser mais produtivos fazendo login com suas credenciais corporativas do Active Directory ou com as credenciais configuradas no AWS SSO, a fim de acessar os aplicativos do portal de usuário personalizado. Agora, os funcionários não precisarão se lembrar de vários conjuntos de credenciais e URLs de acesso para aplicativos de nuvem, e novos funcionários podem ser produtivos a partir do primeiro dia. Depois de adicionar os usuários ao grupo apropriado em seu diretório, eles receberão acesso automaticamente às contas e aplicativos habilitados para membros desse grupo. Você terá mais visibilidade no aplicativo de nuvem, pois poderá monitorar e realizar auditoria da atividade de login centralmente no AWS CloudTrail.

Quais problemas o AWS SSO resolve?

O AWS SSO elimina a complexidade administrativa de soluções de SSO personalizadas usadas para provisionar e gerenciar identidades em contas e aplicativos empresariais da AWS. À medida que você usa várias contas da AWS, e adiciona regularmente outras contas, a configuração do SSO com o AD FS (Serviços de Federação do Active Directory) para o acesso dessas contas exige conhecimento sobre a linguagem de programação de declarações do AD FS. Você também precisa preparar as contas da AWS com as permissões necessárias para acessar essas contas. O AWS SSO está disponível sem custo adicional e reduz a complexidade das configurações repetitivas e do gerenciamento discrepante por meio da integração sólida com a AWS. Se você usar senhas separadas para acessar contas ou aplicativos de nuvem diferentes da AWS, o AWS SSO simplificará a experiência do usuário e melhorará a segurança eliminando senhas individuais necessárias a cada conta ou aplicativo empresarial de nuvem da AWS. O AWS SSO também soluciona o problema de visibilidade limitada do acesso aos seus aplicativos de nuvem, realizando a integração com o AWS CloudTrail e fornecendo um local central para você realizar a auditoria do acesso por SSO às contas da AWS e aplicativos de nuvem habilitados por SAML, como Office 365, Salesforce e Box.

Por que eu devo usar o AWS SSO?

Use o AWS SSO para ajudar seus funcionários a ganhar produtividade rapidamente concedendo a eles acesso às contas e aplicativos empresariais de nuvem da AWS, sem precisar escrever scripts personalizados ou investir em soluções de SSO para fins gerais. Use também o AWS SSO para reduzir a complexidade administrativa e o custo de configurar e gerenciar o acesso por SSO.

O AWS SSO é o local onde seus funcionários podem acessar suas contas da AWS e os aplicativos necessários durante o trabalho, no portal do usuário do AWS SSO, independentemente do local onde esses aplicativos tenham sido compilados ou estejam hospedados.

O que eu posso fazer com o AWS SSO?

Use o AWS SSO para atribuir aos funcionários, de forma rápida e fácil, acesso às contas da AWS gerenciadas com o AWS Organizations, aplicativos empresariais de nuvem (como Salesforce, Office 365 e Box) e aplicativos personalizados que dão suporte a SAML (Security Assertion Markup Language) 2.0. Os funcionários podem entrar com suas credenciais corporativas ou com as credenciais configuradas no AWS SSO para acessar os aplicativos empresariais de um único portal de usuário. O AWS SSO também permite que você realize a auditoria do acesso dos usuários a serviços de nuvem usando o AWS CloudTrail.

Quem deve usar o AWS SSO?

O AWS SSO serve para administradores que gerenciam várias contas e aplicativos empresariais da AWS, desejam centralizar o gerenciamento de acesso do usuário a esses serviços de nuvem e querem fornecer aos funcionários um único local para acessar essas contas e aplicativos sem precisar se lembrar de outra senha.

Como posso começar a usar o AWS SSO?

Como novo cliente do AWS SSO, você:

  1. Entra no Console de Gerenciamento da AWS da conta mestre em sua conta da AWS e navega até o console do AWS SSO.
  2. Seleciona o diretório que utiliza para armazenar identidades dos usuários e grupos no console do AWS SSO. O AWS SSO oferece por padrão um diretório que você pode usar para gerenciar usuários e grupos dentro do AWS SSO. Você também pode alterar o diretório para conectar-se a um diretório do Microsoft AD clicando em uma lista de instâncias do AD gerenciadas pelas Microsoft e do AD Connector que o AWS SSO descobre em sua conta automaticamente. Se deseja se conectar a um diretório do Microsoft AD, consulte Conceitos básicos do AWS Directory Service.
  3. Concede aos usuários acesso por SSO às contas da AWS em sua organização, selecionando as contas da AWS de uma lista preenchida pelo AWS SSO e, em seguida, usuários ou grupos de seu diretório e as permissões que você deseja conceder a eles. 
  4. Conceda aos usuários o acesso aos aplicativos empresariais de nuvem fazendo o seguinte:
    1. Selecionando um dos aplicativos na lista de aplicativos pré-integrados que têm suporte do AWS SSO.
    2. Configurando o aplicativo seguindo as instruções de configuração.
    3. Selecionando os usuários ou grupos que devem poder acessar esse aplicativo.
  5. Dê aos seus usuários o endereço da Web de entrada do AWS SSO gerado durante a configuração do diretório. Assim, eles poderão entrar no AWS SSO e acessar as contas e aplicativos empresariais.

Quanto custa o AWS SSO?

O AWS SSO é oferecido gratuitamente.

Em quais regiões da AWS o AWS SSO está disponível?

Consulte a Tabela de regiões da AWS para conhecer a disponibilidade do AWS SSO por região.

Suporte a origens de identidade e a aplicativos

Que origens de identidade posso usar com o AWS SSO?

Com o AWS SSO, você pode criar e gerenciar identidades de usuário no armazenamento de identidades do AWS SSO ou conectar-se facilmente à sua origem de identidade existente, incluindo o Microsoft Active Directory, o Diretório universal da Okta, o Azure Active Directory (Azure AD) ou outro IdP com suporte. Consulte o Guia do usuário do AWS SSO para saber mais.

Posso conectar mais de uma origem de identidade ao AWS SSO?

Não. Em um determinado momento, você só pode ter um diretório ou um provedor de identidade SAML 2.0 conectado ao AWS SSO. Porém, você pode alterar a origem da identidade que esteja conectada a um diferente.

Que IdPs SAML 2.0 posso usar com o AWS SSO?

Você pode conectar o AWS SSO à maioria dos provedores de identidade (IdPs) SAML 2.0, como o Diretório universal da Okta ou o Azure Active Directory. Consulte o Guia do usuário do AWS SSO para saber mais.

Como posso provisionar identidades do meu IdP existente para o AWS SSO?

Identidades do seu IdP existente devem ser provisionadas ao AWS SSO antes que você possa atribuir permissões. Você pode sincronizar informações de usuários e grupos do Diretório universal da Okta, do Azure AD e do OneLogin usando o padrão System for Cross-domain Identity Management (SCIM). Para outros IdPs, é possível provisionar usuários no seu IdP usando o console do AWS SSO. Consulte o Guia do usuário do AWS SSO para saber mais.

Posso automatizar a sincronização de identidade do meu IdP para o AWS SSO?

Sim. Se você usar o Diretório universal da Okta, o Azure AD ou o OneLogin, poderá usar o SCIM para sincronizar as informações de usuário e grupo de seu IdP para o AWS SSO automaticamente. Consulte o Guia do usuário do AWS SSO para saber mais.

Como faço para conectar o AWS SSO ao Microsoft Active Directory?

É possível conectar o AWS SSO ao seu Active Directory (AD) no local ou a um diretório do AWS Managed Microsoft AD usando o AWS Directory Service. Consulte o Guia do usuário do AWS SSO para saber mais.

Gerencio usuários e grupos no Active Directory no local. Como posso aproveitar esses usuários e grupos no AWS SSO?

Você tem duas opções para conectar o Active Directory hospedado no local ao AWS SSO: (1) usar o AD Connector ou (2) usar a relação de confiança do AWS Managed Microsoft AD.

O AD Connector simplesmente conecta o Active Directory no local à AWS. O AD Connector é um gateway de diretório com o qual é possível redirecionar solicitações para o Microsoft Active Directory no local sem armazenar em cache quaisquer informações na nuvem. Para conectar diretórios no local usando o AD Connector, consulte o Guia de administração do AWS Directory Service.

O AWS Managed Microsoft AD facilita a configuração e a execução do Microsoft Active Directory na AWS. Ele pode ser usado para configurar uma relação de confiança de floresta entre seu diretório no local e o AWS Managed Microsoft AD. Para configurar uma relação de confiança, consulte o Guia de administração do AWS Directory Service.

Gerencio usuários e grupos no AWS Identity and Access Management (IAM). Posso usar os usuários e grupos do IAM no AWS SSO?

No momento, o AWS SSO não oferece suporte a usuários e grupos do AWS IAM.

Posso usar grupos de usuários do Amazon Cognito como a origem de identidade no AWS SSO?

O Amazon Cognito é um serviço que ajuda você a gerenciar identidades para seus aplicativos direcionados a clientes; não é uma origem de identidade compatível com o AWS SSO. Você pode criar e gerenciar identidades da sua força de trabalho no AWS SSO ou na sua origem de identidade externa, incluindo o Microsoft Active Directory, o Diretório universal da Okta, o Azure Active Directory (Azure AD) ou outro IdP com suporte.

O AWS SSO oferece suporte para navegador, linha de comando e interfaces móveis?

Sim, é possível usar o AWS SSO para controlar o acesso ao Console de gerenciamento da AWS e à CLI v2. O AWS SSO permite que seus usuários acessem a CLI e o Console de gerenciamento da AWS por meio de logon único. O aplicativo AWS Mobile Console também oferece suporte ao AWS SSO para que você tenha uma experiência consistente de login nas interfaces de navegador, dispositivos móveis e linha de comando.

Que aplicativos de nuvem posso conectar ao AWS SSO?

É possível conectar os seguintes aplicativos ao AWS SSO:

  1. Aplicativos integrados ao AWS SSO: aplicativos integrados ao AWS SSO, como o SageMaker Studio e o IoT SiteWise, usam o AWS SSO para autenticação e trabalho com as identidades que você tiver no AWS SSO. Não é necessária qualquer configuração adicional para sincronizar identidades com esses aplicativos ou para configurar federações a elas separadamente.
  2. Aplicativos SAML pré-integrados: o AWS SSO é fornecido pre-integrado com os aplicativos empresariais mais usados. Para obter uma lista abrangente, consulte o console do AWS SSO.
  3. Aplicativos SAML personalizados: o AWS SSO oferece suporte a aplicativos que aceitam a federação de identidades com o SAML 2.0. É possível habilitar o AWS SSO para oferecer suporte a esses aplicativos usando o assistente personalizado dos aplicativos.

Acesso a Single Sign-On para contas da AWS

Quais contas da AWS eu posso conectar ao AWS SSO?

Adicione qualquer conta da AWS gerenciada usando o AWS Organizations para o AWS SSO. Você precisa permitir que todos os recursos em suas organizações gerenciem o SSO de suas contas.

Como configurar o SSO para contas da AWS em uma UO (unidade organizacional) dentro da minha organização?

Escolha as contas dentro da organização ou filtre as contas por UO.

Como posso controlar quais permissões meus usuários recebem quando usam o AWS SSO para acessar suas contas?

Ao conceder acesso aos seus usuários, é possível limitar as permissões dos usuários escolhendo um conjunto de permissões. Os conjuntos de permissão são uma coleção de permissões que você pode criar no AWS SSO, modelando-as com base nas políticas gerenciadas pela AWS para funções de trabalho ou quaisquer políticas gerenciadas pela AWS. As políticas gerenciadas pela AWS para funções de trabalho foram desenvolvidas para ficarem alinhadas da forma mais próxima possível às funções de trabalho no setor de TI. Se for necessário, também será possível personalizar totalmente o conjunto de permissões a fim de atender aos seus requisitos de segurança. O AWS SSO aplica automaticamente essas permissões às contas selecionadas. À medida que você altera os conjuntos de permissão, o AWS SSO permite que você aplique as alterações às contas relevantes. Quando seus usuários acessam as contas por meio do portal de usuário do AWS SSO, essas permissões restringem o que eles podem fazer nessas contas. Também é possível conceder vários conjuntos de permissão aos seus usuários. Ao acessarem a conta por meio do portal do usuário, eles podem escolher qual conjunto de permissões desejam aceitar para essa sessão.

Como automatizo o gerenciamento de permissões em várias contas?

O AWS SSO fornece suporte a APIs e AWS CloudFormation para automatizar o gerenciamento de permissões em ambientes com várias contas e recuperar as permissões de forma programada, para fins de auditoria e governança.

Para quais contas da AWS posso obter credenciais da Interface de linhas de comando (CLI) da AWS?

Você pode obter credenciais da ILC da AWS para quaisquer contas e permissões de usuário da AWS atribuídas a você pelo administrador do AWS SSO. Essas credenciais da ILC podem ser usadas para acesso programático à conta da AWS.

Qual a validade das credenciais da Interface da Linha de Comando da AWS obtidas no portal de usuários do AWS SSO?

As credenciais da ILC da AWS obtidas pelo portal de usuários do AWS SSO são válidas por 60 minutos. Você pode obter um novo conjunto de credenciais quantas vezes quiser.

Acesso por SSO aos aplicativos empresariais

Como configurar o SSO para aplicativos empresariais, como o Salesforce?

No console do AWS SSO, navegue até o painel de aplicativos, escolha Configurar novo aplicativo e escolha um aplicativo na lista de aplicativos de nuvem pré-integrados ao AWS SSO. Siga as instruções na tela para configurar o aplicativo. Agora, seu aplicativo está configurado, e você pode atribuir acesso a ele. Escolha os grupos ou usuários para os quais deseja fornecer acesso ao aplicativo e Escolher Atribuir Acesso para completar o processo.

Minha empresa usa aplicativos empresariais que não estão na lista de aplicativos pré-integrados do AWS SSO. Ainda posso usar o AWS SSO? 

Sim. Se o seu aplicativo oferecer suporte a SAML 2.0, você poderá configurar seu aplicativo como um aplicativo SAML 2.0 personalizado. No console do AWS SSO, navegue até o painel de aplicativos, escolha Configurar novo aplicativo e escolha o aplicativo SAML 2.0 Personalizado. Siga as instruções para configurar o aplicativo. Agora, seu aplicativo está configurado, e você pode atribuir acesso a ele. Escolha os grupos ou usuários para os quais você quer fornecer acesso ao aplicativo e escolha Atribuir Acesso para completar o processo.

Meu aplicativo só dá suporte ao OpenID Connect (OIDC). Posso usá-lo com o AWS SSO?

Não. O AWS SSO só dá suporte a aplicativos com base em SAML 2.0.

O AWS SSO oferece suporte de logon único a aplicativos móveis e de desktop nativos?

Não. O AWS SSO oferece suporte ao logon único para aplicativos empresariais exclusivamente por meio de navegadores da web.

Diversos

Quais dados o AWS SSO armazenará em meu nome?

O AWS SSO armazenará dados sobre quais contas e aplicativos de nuvem da AWS foram atribuídos a quais usuários e grupos e, também, quais permissões foram concedidas para acesso às contas da AWS. O AWS SSO também criará e gerenciará funções do IAM em contas individuais da AWS para cada conjunto de permissões para os quais você concede acesso aos seus usuários.

O AWS SSO oferece suporte à MFA (autenticação multifator)?

Sim. Você pode ativar ou exigir que os usuários configurem uma aplicação multifator em seus telefones ou exigir que os usuários forneçam um fator adicional para conexão ao AWS SSO por meio da operação de um servidor RADIUS (Remote Authentication Dial-In User Service) e configuração do servidor RADIUS para trabalhar com o Active Directory ou o AD Connector.

Como meus funcionários podem começar a usar o AWS SSO?

Os funcionários podem começar a usar o AWS SSO acessando o portal de usuário do AWS SSO gerado quando você configura a identidade da sua origem no AWS SSO. Se você gerenciar usuários no AWS SSO, seus funcionários poderão usar seus endereços de e-mail e senhas configurados no AWS SSO para entrar no portal do usuário. Se você conectar o AWS SSO a um Microsoft Active Directory ou a um provedor de identidade SAML 2.0, seus funcionários poderão acessar o portal do usuário com suas credenciais corporativas existentes e, em seguida, ver as contas e aplicativos atribuídos a eles. Para acessar uma conta ou aplicativo, os funcionários devem escolher o ícone associado no portal de usuário do AWS SSO.

Há uma API disponível para AWS SSO?

Sim. O AWS SSO fornece APIs de atribuição de conta para ajudá-lo a automatizar o gerenciamento de permissões em ambientes com várias contas e recuperar as permissões de forma programada para fins de auditoria e governança.