Geral

O que é o AWS Single Sign-On (AWS SSO)?

O AWS Single Sign-On (AWS SSO) é onde você cria ou conecta as identidades da força de trabalho na AWS uma vez e gerencia o acesso de forma centralizada em toda a sua organização AWS. É possível optar por gerenciar o acesso apenas às suas contas AWS ou aplicações na nuvem. É possível criar identidades de usuário diretamente no AWS SSO, ou você poderá trazê-las do Microsoft Active Directory ou de um fornecedor de identidade baseado em padrões, como o Okta Universal Directory ou o Azure AD. Com o AWS SSO, você obtém uma experiência de administração unificada para definir, personalizar e atribuir acesso detalhado. Os usuários da força de trabalho recebem um portal do usuário para acessar todas as suas contas da AWS atribuídas ou aplicações na nuvem. O AWS SSO pode ser configurado de forma flexível para substituir ou funcionar junto com o gerenciamento de acesso a contas da AWS por meio do AWS IAM.

Quais são os benefícios do AWS SSO?

Use o AWS SSO para atribuir e gerenciar com rapidez e facilidade o acesso de seus funcionários a várias contas da AWS, aplicações em nuvem habilitadas para SAML (como Salesforce, Microsoft 365 e Box) e aplicações internas personalizadas, tudo de um só lugar. Os funcionários podem ser mais produtivos fazendo login com suas credenciais corporativas do Active Directory ou as credenciais configuradas no AWS SSO, a fim de acessar as aplicações no portal de usuário personalizado. Agora, os funcionários não precisarão se lembrar de vários conjuntos de credenciais e URLs de acesso para aplicativos de nuvem, e novos funcionários podem ser produtivos a partir do primeiro dia. Depois de adicionar os usuários ao grupo apropriado em seu diretório, eles receberão acesso automaticamente às contas e aplicativos habilitados para membros desse grupo. Você terá melhor visibilidade do uso da aplicação em nuvem, pois poderá monitorar e auditar a atividade de login de forma centralizada do AWS CloudTrail.

Quais problemas o AWS SSO resolve?

O AWS SSO elimina a complexidade administrativa de soluções de SSO personalizadas usadas para provisionar e gerenciar identidades em contas e aplicativos empresariais da AWS. À medida que você usa várias contas da AWS, e adiciona regularmente outras contas, a configuração do SSO com o AD FS (Serviços de Federação do Active Directory) para o acesso dessas contas exige conhecimento sobre a linguagem de programação de declarações do AD FS. Você também precisa preparar as contas da AWS com as permissões necessárias para acessar essas contas. O AWS SSO está disponível sem custo adicional e reduz a complexidade das configurações repetitivas e do gerenciamento discrepante por meio da integração sólida com a AWS. Se você usar senhas separadas para acessar contas ou aplicações de cloud diferentes da AWS, o AWS SSO simplificará a experiência do usuário e melhorará a segurança eliminando as senhas individuais necessárias para cada conta ou aplicação comercial de cloud. O AWS SSO também soluciona o problema de visibilidade limitada do acesso a suas aplicações em nuvem, integrando-se ao AWS CloudTrail e fornecendo um local central para você fazer auditoria do acesso por SSO às contas da AWS e aplicações em nuvem habilitadas para SAML, como Microsoft 365, Salesforce e Box.

Por que devo usar o AWS SSO?

Use o AWS SSO para ajudar seus funcionários a ganhar produtividade rapidamente concedendo a eles acesso às contas e aplicativos empresariais de nuvem da AWS, sem precisar escrever scripts personalizados ou investir em soluções de SSO para fins gerais. Use também o AWS SSO para reduzir a complexidade administrativa e o custo de configurar e gerenciar o acesso por SSO.

O AWS SSO é o local onde seus funcionários podem acessar suas contas da AWS e os aplicativos necessários durante o trabalho, no portal do usuário do AWS SSO, independentemente do local onde esses aplicativos tenham sido compilados ou estejam hospedados.

O que eu posso fazer com o AWS SSO?

Use o AWS SSO para atribuir aos funcionários, de forma rápida e fácil, acesso às contas da AWS gerenciadas com o AWS Organizations, aplicações empresariais em nuvem (como Salesforce, Microsoft 365 e Box) e aplicações personalizadas que oferecem suporte a Security Assertion Markup Language (SAML) 2.0. Os funcionários podem entrar com suas credenciais corporativas ou as credenciais configuradas no AWS SSO para acessar as aplicações corporativas em um único portal de usuário. O AWS SSO também permite que você realize a auditoria do acesso dos usuários a serviços de nuvem usando o AWS CloudTrail.

Quem deve usar o AWS SSO?

O AWS SSO serve para administradores que gerenciam várias contas e aplicativos empresariais da AWS, desejam centralizar o gerenciamento de acesso do usuário a esses serviços de nuvem e querem fornecer aos funcionários um único local para acessar essas contas e aplicativos sem precisar se lembrar de outra senha.

Como posso começar a usar o AWS SSO?

Como novo cliente do AWS SSO, você:

  1. Entra no Console de Gerenciamento da AWS da conta de gerenciamento na sua conta da AWS e navegue até o console do AWS SSO.
  2. Seleciona o diretório que utiliza para armazenar identidades e grupos de usuários no console do AWS SSO. O AWS SSO oferece por padrão um diretório que você pode usar para gerenciar usuários e grupos dentro do AWS SSO. Você também pode alterar o diretório para conectar-se a um diretório do Microsoft AD clicando em uma lista de instâncias do AD gerenciadas pelas Microsoft e do AD Connector que o AWS SSO descobre em sua conta automaticamente. Se quiser se conectar a um diretório do Microsoft AD, consulte Comece a usar o AWS Directory Service.
  3. Concede aos usuários acesso por SSO às contas da AWS em sua organização, selecionando as contas da AWS de uma lista preenchida pelo AWS SSO e, em seguida, usuários ou grupos de seu diretório e as permissões que você deseja conceder a eles. 
  4. Conceda aos usuários o acesso aos aplicativos empresariais de nuvem fazendo o seguinte:
    1. Selecionando um dos aplicativos na lista de aplicativos pré-integrados que têm suporte do AWS SSO.
    2. Configurando o aplicativo seguindo as instruções de configuração.
    3. Selecionando os usuários ou grupos que devem poder acessar esse aplicativo.
  5. Dê aos seus usuários o endereço da Web de entrada do AWS SSO gerado durante a configuração do diretório. Assim, eles poderão entrar no AWS SSO e acessar as contas e aplicativos empresariais.

Quanto custa o AWS SSO?

O AWS SSO é oferecido gratuitamente.

Em quais regiões da AWS o AWS SSO está disponível?

Consulte a Tabela de regiões da AWS para saber a disponibilidade do AWS SSO por região.

Suporte a origens de identidade e a aplicativos

Que origens de identidade posso usar com o AWS SSO?

Com o AWS SSO, você pode criar e gerenciar identidades de usuário no armazenamento de identidades do AWS SSO ou conectar-se facilmente à sua origem de identidade existente, incluindo o Microsoft Active Directory, o Diretório universal da Okta, o Azure Active Directory (Azure AD) ou outro IdP com suporte. Consulte o Guia do usuário do AWS SSO para saber mais.

Posso conectar mais de uma origem de identidade ao AWS SSO?

Não. Em um determinado momento, você só pode ter um diretório ou um provedor de identidade SAML 2.0 conectado ao AWS SSO. Porém, você pode alterar a origem da identidade que esteja conectada a um diferente.

Que IdPs SAML 2.0 posso usar com o AWS SSO?

Você pode conectar o AWS SSO à maioria dos provedores de identidade (IdPs) SAML 2.0, como o Diretório universal da Okta ou o Azure Active Directory. Consulte o Guia do usuário do AWS SSO para saber mais.

Como posso provisionar identidades do meu IdP existente para o AWS SSO?

Identidades do seu IdP existente devem ser provisionadas ao AWS SSO antes que você possa atribuir permissões. Você pode sincronizar informações de usuários e grupos do Diretório universal da Okta, do Azure AD, do OneLogin e do PingFederate usando o padrão System for Cross-domain Identity Management (SCIM). Para outros IdPs, é possível provisionar usuários no seu IdP usando o console do AWS SSO. Consulte o Guia do usuário do AWS SSO para saber mais.

Posso automatizar a sincronização de identidade do meu IdP para o AWS SSO?

Sim. Se você usar o Diretório universal da Okta, o Azure AD, o OneLogin ou o PingFederate, poderá usar o SCIM para sincronizar as informações de usuário e grupo de seu IdP para o AWS SSO automaticamente. Consulte o Guia do usuário do AWS SSO para saber mais.

Como faço para conectar o AWS SSO ao Microsoft Active Directory?

É possível conectar o AWS SSO ao seu Active Directory (AD) no local ou a um diretório do AWS Managed Microsoft AD usando o AWS Directory Service. Consulte o Guia do usuário do AWS SSO para saber mais.

Gerencio usuários e grupos no Active Directory no local. Como posso aproveitar esses usuários e grupos no AWS SSO?

Você tem duas opções para conectar o Active Directory hospedado no local ao AWS SSO: (1) usar o AD Connector ou (2) usar a relação de confiança do AWS Managed Microsoft AD.

O AD Connector simplesmente conecta o Active Directory no local à AWS. O AD Connector é um gateway de diretório com o qual é possível redirecionar solicitações para o Microsoft Active Directory no local sem armazenar em cache quaisquer informações na nuvem. Para conectar diretórios no local usando o AD Connector, consulte o Guia de administração do AWS Directory Service.

O AWS Managed Microsoft AD facilita a configuração e a execução do Microsoft Active Directory na AWS. Ele pode ser usado para configurar uma relação de confiança de floresta entre seu diretório no local e o AWS Managed Microsoft AD. Para configurar uma relação de confiança, consulte o Guia de administração do AWS Directory Service.

Gerencio usuários e grupos no AWS Identity and Access Management (IAM). Posso usar os usuários e grupos do IAM no AWS SSO?

No momento, o AWS SSO não oferece suporte a usuários e grupos do AWS IAM.

Posso usar grupos de usuários do Amazon Cognito como a origem de identidade no AWS SSO?

O Amazon Cognito é um serviço que ajuda você a gerenciar identidades para seus aplicativos direcionados a clientes; não é uma origem de identidade compatível com o AWS SSO. Você pode criar e gerenciar identidades da sua força de trabalho no AWS SSO ou na sua origem de identidade externa, incluindo o Microsoft Active Directory, o Diretório universal da Okta, o Azure Active Directory (Azure AD) ou outro IdP com suporte.

O AWS SSO oferece suporte para navegador, linha de comando e interfaces móveis?

Sim, é possível usar o AWS SSO para controlar o acesso ao Console de gerenciamento da AWS e à CLI v2. O AWS SSO permite que seus usuários acessem a CLI e o Console de gerenciamento da AWS por meio de logon único. O aplicativo AWS Mobile Console também oferece suporte ao AWS SSO para que você tenha uma experiência consistente de login nas interfaces de navegador, dispositivos móveis e linha de comando.

Que aplicativos de nuvem posso conectar ao AWS SSO?

É possível conectar os seguintes aplicativos ao AWS SSO:

  1. Aplicativos integrados ao AWS SSO: aplicativos integrados ao AWS SSO, como o SageMaker Studio e o IoT SiteWise, usam o AWS SSO para autenticação e trabalho com as identidades que você tiver no AWS SSO. Não é necessária qualquer configuração adicional para sincronizar identidades com esses aplicativos ou para configurar federações a elas separadamente.
  2. Aplicativos SAML pré-integrados: o AWS SSO é fornecido pre-integrado com os aplicativos empresariais mais usados. Para obter uma lista abrangente, consulte o console do AWS SSO.
  3. Aplicativos SAML personalizados: o AWS SSO oferece suporte a aplicativos que aceitam a federação de identidades com o SAML 2.0. É possível habilitar o AWS SSO para oferecer suporte a esses aplicativos usando o assistente personalizado dos aplicativos.

Acesso a Single Sign-On para contas da AWS

Quais contas da AWS eu posso conectar ao AWS SSO?

Adicione qualquer conta da AWS gerenciada usando o AWS Organizations para o AWS SSO. Você precisa permitir que todos os recursos em suas organizações gerenciem o SSO de suas contas.

Como configurar o SSO para contas da AWS em uma UO (unidade organizacional) dentro da minha organização?

Escolha as contas dentro da organização ou filtre as contas por UO.

Como posso controlar quais permissões meus usuários recebem quando usam o AWS SSO para acessar suas contas?

Ao conceder acesso aos seus usuários, é possível limitar as permissões dos usuários escolhendo um conjunto de permissões. Os conjuntos de permissão são uma coleção de permissões que você pode criar no AWS SSO, modelando-as com base nas políticas gerenciadas pela AWS para funções de trabalho ou quaisquer políticas gerenciadas pela AWS. As políticas gerenciadas pela AWS para funções de trabalho foram desenvolvidas para ficarem alinhadas da forma mais próxima possível às funções de trabalho no setor de TI. Se for necessário, também será possível personalizar totalmente o conjunto de permissões a fim de atender aos seus requisitos de segurança. O AWS SSO aplica automaticamente essas permissões às contas selecionadas. À medida que você altera os conjuntos de permissão, o AWS SSO permite que você aplique as alterações às contas relevantes. Quando seus usuários acessam as contas por meio do portal de usuário do AWS SSO, essas permissões restringem o que eles podem fazer nessas contas. Também é possível conceder vários conjuntos de permissão aos seus usuários. Ao acessarem a conta por meio do portal do usuário, eles podem escolher qual conjunto de permissões desejam aceitar para essa sessão.

Como automatizo o gerenciamento de permissões em várias contas?

O AWS SSO fornece suporte a APIs e ao AWS CloudFormation para automatizar o gerenciamento de permissões em ambientes com várias contas e recuperar as permissões de forma programada, para fins de auditoria e governança.

Posso implementar o controle de acesso baseado em atributos no AWS SSO?

Sim. O AWS SSO permite selecionar os atributos do usuário, como central de custos, cargo ou local a partir de sua fonte de identidade, e usá-los para o ABAC (controle de acesso por atributo) no AWS. Você pode definir as permissões uma vez, então conceder, revogar ou modificar o acesso AWS apenas mudando os atributos em sua fonte de identidade.

Como seleciono quais atributos do usuário usar para o ABAC?

Para implementar o ABAC, você pode selecionar os atributos no armazenamento de identidades do AWS para os usuários do AWS SSO e usuários sincronizados do Microsoft AD ou IdPs externos do SAML 2.0, inclusive Okta Universal Directory, Azure AD, OneLogin ou PingFederate. Ao usar um IdP como sua fonte de identidade, é possível enviar opcionalmente os atributos como parte de uma declaração do SAML 2.0.

Para quais contas da AWS posso obter credenciais da CLI (interface da linha de comando) da AWS?

Você pode obter credenciais da ILC da AWS para quaisquer contas e permissões de usuário da AWS atribuídas a você pelo administrador do AWS SSO. Essas credenciais da ILC podem ser usadas para acesso programático à conta da AWS.

Qual a validade das credenciais da Interface da Linha de Comando da AWS obtidas no portal de usuários do AWS SSO?

As credenciais da ILC da AWS obtidas pelo portal de usuários do AWS SSO são válidas por 60 minutos. Você pode obter um novo conjunto de credenciais quantas vezes quiser.

Acesso por SSO aos aplicativos empresariais

Como configurar o SSO para aplicativos empresariais, como o Salesforce?

No console do AWS SSO, navegue até o painel de aplicativos, escolha Configurar novo aplicativo e escolha um aplicativo na lista de aplicativos de nuvem pré-integrados ao AWS SSO. Siga as instruções na tela para configurar o aplicativo. Agora, seu aplicativo está configurado, e você pode atribuir acesso a ele. Escolha os grupos ou usuários para os quais deseja fornecer acesso ao aplicativo e Escolher Atribuir Acesso para completar o processo.

Minha empresa usa aplicativos empresariais que não estão na lista de aplicativos pré-integrados do AWS SSO. Ainda posso usar o AWS SSO? 

Sim. Se o seu aplicativo oferecer suporte a SAML 2.0, você poderá configurar seu aplicativo como um aplicativo SAML 2.0 personalizado. No console do AWS SSO, navegue até o painel de aplicativos, escolha Configurar novo aplicativo e escolha o aplicativo SAML 2.0 Personalizado. Siga as instruções para configurar o aplicativo. Agora, seu aplicativo está configurado, e você pode atribuir acesso a ele. Escolha os grupos ou usuários para os quais você quer fornecer acesso ao aplicativo e escolha Atribuir Acesso para completar o processo.

Meu aplicativo só dá suporte ao OpenID Connect (OIDC). Posso usá-lo com o AWS SSO?

Não. O AWS SSO só dá suporte a aplicativos com base em SAML 2.0.

O AWS SSO oferece suporte de logon único a aplicativos móveis e de desktop nativos?

Não. O AWS SSO oferece suporte ao logon único para aplicativos empresariais exclusivamente por meio de navegadores da web.

Diversos

Quais dados o AWS SSO armazenará em meu nome?

O AWS SSO armazenará dados sobre quais contas e aplicativos de nuvem da AWS foram atribuídos a quais usuários e grupos e, também, quais permissões foram concedidas para acesso às contas da AWS. O AWS SSO também criará e gerenciará funções do IAM em contas individuais da AWS para cada conjunto de permissões para o qual você concede acesso aos seus usuários.

Quais recursos MFA (autenticação multifator) posso usar com o AWS SSO?

Com o AWS SSO, é possível habilitar recursos de autenticação forte baseada em padrões para todos os usuários em todas as fontes de identidade. Se você usar um IdP SAML 2.0 com suporte como sua fonte de identidade, poderá habilitar os recursos de autenticação multifator do seu provedor. Ao usar o AWS SSO ou o Active Directory como sua fonte de identidade, o AWS SSO suporta a especificação Web Authentication para ajudar a proteger o acesso do usuário às contas da AWS e às aplicações corporativas com as chaves de segurança habilitadas para FIDO, como YubiKey, e autenticadores biométricos incorporados, como Touch ID nos Apple MacBooks e reconhecimento facial nos PCs. Você também pode habilitar TOTPs (senhas exclusivas) usando aplicações de autenticação, como Google Authenticator ou Twilio Authy.

Também pode usar sua configuração MFA RADIUS (Remote Authentication Dial-In User Service) existente com AWS SSO e AWS Directory Services para autenticar seus usuários como uma forma secundária de verificação. Para saber mais sobre como configurar o MFA com o AWS SSO, visite o Guia do Usuário do AWS SSO.

O AWS SSO dá suporte à especificação Web Authentication?

Sim. Para as identidades no armazenamento de identidades do AWS SSO e no Active Directory, o AWS SSO suporta a especificação Web Authentication (WebAuthn) para ajudar a proteger o acesso do usuário às contas da AWS e às aplicações corporativas com as chaves de segurança habilitadas para FIDO, como YubiKey, e autenticadores biométricos incorporados, como Touch ID nos Apple MacBooks e reconhecimento facial nos PCs. Você também pode habilitar TOTPs (senhas exclusivas) usando aplicações de autenticação, como Google Authenticator ou Twilio Authy.

Como meus funcionários podem começar a usar o AWS SSO?

Os funcionários podem começar a usar o AWS SSO acessando o portal de usuário do AWS SSO gerado quando você configura a identidade da sua origem no AWS SSO. Se você gerenciar usuários no AWS SSO, seus funcionários poderão usar seus endereços de e-mail e senhas configurados no AWS SSO para entrar no portal do usuário. Se você conectar o AWS SSO a um Microsoft Active Directory ou a um provedor de identidade SAML 2.0, seus funcionários poderão acessar o portal do usuário com suas credenciais corporativas existentes e, em seguida, ver as contas e aplicativos atribuídos a eles. Para acessar uma conta ou aplicativo, os funcionários devem escolher o ícone associado no portal de usuário do AWS SSO.

Há uma API disponível para AWS SSO?

Sim. O AWS SSO fornece APIs de atribuição de conta para ajudá-lo a automatizar o gerenciamento de permissões em ambientes com várias contas e recuperar as permissões de forma programada para fins de auditoria e governança.