Detalhes

O AWS Single Sign-On (SSO) facilita o gerenciamento centralizado do acesso a várias contas e aplicações de negócios da AWS, e fornece aos usuários acesso de logon único a todas as contas e aplicações atribuídas em um só local. Com o AWS SSO, você pode gerenciar com facilidade o acesso e as permissões de usuário a todas as suas contas no AWS Organizations de forma centralizada. O SSO configura e mantém todas as permissões necessárias para as suas contas automaticamente, sem exigir nenhuma configuração adicional nas contas individuais. Você atribui permissões de usuário com base nas funções de trabalho comuns e as personaliza para atender a requisitos de segurança específicos. O AWS SSO também inclui integrações incorporadas em várias aplicações de negócios, como Salesforce, Box e Microsoft 365.

Com o AWS SSO, você pode criar e gerenciar as identidades do usuário no armazenamento de identidades do AWS SSO ou conectar facilmente sua fonte de identidade existente, incluindo o Microsoft Active Directory, o Diretório universal da Okta e o Azure Active Directory (Azure AD). O AWS SSO permite selecionar os atributos do usuário, como central de custos, cargo ou local, a partir de sua fonte de identidade e usá-los para o controle de acesso por atributo na AWS.

É fácil começar a usar o AWS SSO. Com apenas alguns cliques no console de gerenciamento do AWS SSO, você pode conectar o AWS SSO à sua fonte de identidade existente e configurar permissões que concedem aos usuários acesso às contas atribuídas da AWS Organizations e centenas de aplicativos em nuvem pré-configurados, tudo em um único portal de usuário.

Recursos administrativos

Integrado ao AWS Organizations

O AWS SSO é integrado ao AWS Organizations, permitindo a seleção de uma ou mais contas de sua organização e a concessão de acesso aos usuários a essas contas. O AWS SSO utiliza as funções e as políticas do AWS Identity and Access Management (IAM) para ajudá-lo a gerenciar o acesso de modo central a todas as contas AWS em sua empresa AWS. Nenhuma configuração adicional é necessária para as contas individuais. Com apenas alguns cliques, você pode conceder aos usuários acesso a todas as contas da AWS que estão sendo usadas para um aplicativo ou por uma equipe.

Gerencie o acesso via SSO para várias contas da AWS

Com o AWS Single Sign-On (SSO), você pode gerenciar de forma centralizada o acesso via SSO para várias contas da AWS. Quando os usuários entrarem nos portais de usuário personalizados, poderão ver todas as suas funções atribuídas em contas da AWS em um só lugar.

Controle de acesso por atributo

O AWS SSO facilita criar e usar permissões refinadas para sua força de trabalho com base nos atributos do usuário definidos na fonte de identidade do AWS SSO. O AWS SSO permite selecionar vários atributos, como central de custos, cargo ou local, e usá-los para o ABAC (controle de acesso por atributo) para simplificar e centralizar a administração do acesso. Você pode definir as permissões uma vez para toda a empresa AWS, então conceder, revogar ou modificar o acesso AWS apenas mudando os atributos em sua fonte de identidade.

Criar e gerenciar usuários no AWS SSO

O AWS SSO oferece por padrão um diretório que você pode usar para criar usuários e organizá-los em grupos dentro do AWS SSO. Você pode criar usuários no AWS SSO configurando seus endereços de e-mail e nomes. Por padrão, quando você cria usuários, o AWS SSO lhes envia um e-mail para que eles possam definir suas próprias senhas. Em minutos, você pode conceder a usuários e grupos permissões de acesso aos recursos da AWS em todas as suas contas da AWS, bem como a diversos aplicativos empresariais. Os usuários fazem login em um portal de usuários com as credenciais que eles configuraram no AWS SSO, para acessar de um único lugar todas as contas e aplicativos atribuídos.

Conecta-se ao Microsoft Active Directory

Com o AWS SSO, você pode gerenciar o acesso por SSO às contas e aplicativos usando suas identidades corporativas existentes no Microsoft Active Directory Domain Services (AD DS). O AWS SSO se conecta ao AD DS por meio do AWS Directory Service e permite que você conceda aos usuários acesso a contas e aplicativos simplesmente adicionando os usuários aos grupos do AD apropriados. Por exemplo, você pode criar um grupo para uma equipe de desenvolvedores que está trabalhando em um aplicativo e conceder ao grupo acesso às contas da AWS para o aplicativo. Quando novos desenvolvedores entram para a equipe e você os adiciona ao grupo do AD, eles recebem automaticamente acesso a todas as contas da AWS para a aplicação. O AWS SSO permite selecionar vários atributos do usuário, como central de custos, cargo ou local a partir de seu AD, e usá-los para o ABAC para simplificar e centralizar a administração do acesso.

Conecte e provisione automaticamente usuários de provedores de identidade baseados em padrões

Você pode conectar o AWS SSO ao Diretório universal da Okta, ao Azure AD ou a outro provedor de identidade com suporte por meio da SAML (Security Assertion Markup Language 2.0) para que seus usuários possam fazer login com suas credenciais existentes. Além disso, o AWS SSO também oferece suporte ao sistema para gerenciamento de identidade entre domínios (SCIM) para automação do provisionamento de usuários. Você pode gerenciar seus usuários no seu IdP, inseri-los na AWS rapidamente e gerenciar centralmente seu acesso a todas as contas e aplicações de negócios da AWS. O AWS SSO permite selecionar vários atributos do usuário, como central de custos, cargo ou local a partir de seu Diretório universal da Okta, e usá-los para o ABAC para simplificar e centralizar a administração do acesso.

Multi-factor authentication

Com o AWS SSO, é possível usar recursos de autenticação forte baseada em padrões para todos os usuários em todas as fontes de identidade. Se você usar um IdP SAML 2.0 com suporte como sua fonte de identidade, poderá habilitar os recursos multi-factor authentication (MFA) do seu provedor. Ao usar o Active Directory ou o AWS SSO como sua fonte de identidade, o AWS SSO suporta a especificação Web Authentication para ajudar a proteger o acesso do usuário às contas da AWS e às aplicações de negócios com as chaves de segurança habilitadas para FIDO, como YubiKey, e os autenticadores biométricos incorporados, como Touch ID nos Apple MacBooks e reconhecimento facial nos PCs. Você também pode habilitar TOTPs (senhas exclusivas) usando aplicações de autenticação, como Google Authenticator ou Twilio Authy. O AWS SSO permite forçar o MFA a todos os usuários, inclusive o requisito para os usuários configurarem os dispositivos MFA durante o login.

Auditar a atividade de SSO entre aplicativos e contas da AWS

Toda atividade administrativa e de SSO é registrada no AWS CloudTrail, proporcionando a visibilidade para auditar a atividade de SSO centralmente. Por meio do CloudTrail, você pode ver atividades como tentativas de entrada, atribuições de aplicativo e mudanças de integração de diretório. Por exemplo, você pode ver os aplicativos que um usuário acessou durante um certo período ou quando um usuário recebeu acesso por SSO a um aplicativo específico.

Infraestrutura gerenciada altamente disponível

O AWS SSO foi desenvolvido em uma infraestrutura altamente disponível. Não há outros proxies, servidores Web ou servidores de federação para implantação e manutenção à medida que você amplia e adiciona novas integrações de aplicativos empresariais. Em vez disso, você pode criar facilmente novas integrações nos seus aplicativos empresariais usando o console do AWS SSO.

Recursos de experiência do usuário final

Portal do usuário

Com o AWS SSO, os usuários podem encontrar e acessar todas as contas e aplicativos atribuídos em um só lugar. Os usuários podem simplesmente fazer login no portal de usuário personalizado com suas credenciais corporativas existentes e, com um clique, acessar as contas e aplicativos atribuídos. O portal do usuário também ajuda você a distribuir o acesso a novos aplicativos com mais facilidade ajudando os usuários a descobrirem novos aplicativos no portal do usuário.

Suporte para navegador, linha de comando e interfaces móveis

Quando os usuários fazem login por meio da Interface da linha de comando (CLI) da AWS, eles podem usar suas credenciais corporativas existentes e obter uma experiência de autenticação consistente, ao mesmo tempo que obtêm os benefícios do gerenciamento automatizado de credenciais em curto prazo. Depois de fazer login, os desenvolvedores podem ver suas contas e funções atribuídas ao AWS SSO e também podem criar perfis que permitem alternar entre funções e contas em um único comando. O aplicativo AWS Mobile Console também oferece suporte ao AWS SSO para que você tenha uma experiência consistente de login nas interfaces de navegador, dispositivos móveis e linha de comando.

Integrações de SSO incorporadas a aplicações de negócios

O AWS SSO oferece integrações de SSO incorporadas a muitas aplicações de negócios, incluindo Salesforce, Box e Microsoft 365. Você pode configurar facilmente o acesso por SSO a essas aplicações seguindo instruções passo a passo. O AWS SSO orienta você por toda a inserção das URLs, dos certificados e dos metadados exigidos. Para obter a lista completa de aplicativos empresariais pré-integrados com o AWS SSO, consulte Aplicativos com suporte pelo AWS SSO.

Assistente de configuração de aplicativo habilitado para SAML

Você pode criar integrações de SSO de logon único para aplicativos habilitados para Security Assertion Markup Language (SAML) 2.0 usando o assistente de configuração de aplicativos do AWS SSO. O assistente de configuração de aplicativos ajuda você a selecionar e a formatar as informações para enviar aplicativos para habilitar o acesso por SSO. Por exemplo, você pode criar um atributo de SAML para nome de usuário e especificar o formato do atributo com base no endereço de email do perfil do AD de um usuário.

Introdução ao AWS Single Sign-On

Visite a página de conceitos básicos
Pronto para começar?
Cadastre-se
Tem outras dúvidas?
Entre em contato conosco