AWS Single Sign‑On
Централизованное управление доступом ко множеству аккаунтов AWS и бизнес-приложений по технологии единого входа (SSO).
Сервис AWS Single Sign-On (SSO) позволяет централизованно управлять доступом ко множеству аккаунтов AWS и бизнес-приложений. Также этот сервис обеспечивает пользователям доступ с единым входом ко всем закрепленным за ними аккаунтам и приложениям. AWS SSO упрощает централизованное управление доступом и разрешениями пользователей для всех аккаунтов в AWS Organizations. AWS SSO настраивает и обслуживает все необходимые разрешения для ваших аккаунтов автоматически, без дополнительной настройки отдельных аккаунтов. Пользовательские разрешения можно задавать на основе общих должностных обязанностей, а затем дополнительно настраивать в соответствии с конкретными требованиями безопасности. AWS SSO также обеспечивает встроенную поддержку интеграции со многими бизнес-приложениями (например, Salesforce, Box и Office 365).
На портале AWS SSO вы можете создавать пользовательские удостоверения и управлять ими, а также легко подключаться к уже существующим источникам удостоверений, например Microsoft Active Directory, Okta Universal Directory и Azure Active Directory (Azure AD).
Начать работу с AWS SSO совсем не сложно. Всего несколько кликов мышкой в консоли управления AWS SSO – и вы сможете подключить уже существующие источники удостоверений и предоставить пользователям доступ к их аккаунтам в AWS Organizations, а также к сотням предварительно интегрированных облачных приложений. И все это доступно в одном портале.
Преимущества
Централизованное управление разрешениями на доступ к аккаунтам AWS
AWS SSO упрощает централизованное управление доступом и разрешениями пользователей для всех аккаунтов в AWS Organizations. Дополнительная настройка отдельных аккаунтов не требуется. AWS SSO автоматически настраивает и поддерживает все необходимые разрешения в связанных аккаунтах. Пользовательские разрешения можно задавать на основе общих должностных обязанностей, а затем дополнительно настраивать в соответствии с конкретными требованиями безопасности. Также вы можете выдавать пользователям или их группам особые разрешения на доступ к отдельным аккаунтам, когда это необходимо. Например, для работы со средствами защиты специалистам по безопасности можно предоставить административный уровень доступа к соответствующим аккаунтам AWS, а для наблюдения за остальными аккаунтами AWS – лишь аудиторский уровень доступа. AWS SSO обеспечивает поддержку интерфейсов API и AWS CloudFormation для автоматизации управления разрешениями в средах с несколькими аккаунтами, а также получения разрешений программными средствами в целях аудитов и управления.
Создание пользователей в AWS SSO или подключение к уже существующим удостоверениям
Cоздавать удостоверения и группы можно непосредственно в AWS SSO. А если вы уже используете Microsoft Active Directory Domain Services, Okta Universal Directory, Azure AD или другой поддерживаемый поставщик удостоверений, ваши пользователи могут войти в AWS с помощью существующих корпоративных учетных данных, а администраторы организации – продолжать управлять пользователями и группами в текущей системе идентификации.
Единый центр для доступа к аккаунтам и приложениям
В AWS SSO предусмотрен единый портал, где пользователи могут найти и просмотреть все назначенные им роли в аккаунтах AWS и бизнес-приложениях. AWS SSO предлагает предварительно настроенные интеграции SAML со многими бизнес-приложениями, в том числе Salesforce, Box и Office 365. AWS отслеживает изменения таких интеграций и автоматически обновляет их для своих клиентов. С помощью мастера настройки приложений AWS SSO можно расширить доступ по технологии SSO к любому приложению, поддерживающему язык разметки декларации безопасности (Security Assertion Markup Language, SAML) 2.0.
Простота использования
С AWS SSO достаточно нескольких нажатий кнопки мыши, чтобы создать высокодоступный сервис единого входа в систему для организации. Развертывать или обслуживать дополнительную инфраструктуру не требуется. Все административные действия и действия, связанные со входом в систему, записываются в AWS CloudTrail, что помогает проводить аудит и обеспечивать соответствие требованиям. Можно централизованно просматривать, когда пользователи пытались получить доступ к аккаунтам и приложениям и с какого IP-адреса. Кроме того, можно просматривать, когда пользователи получили доступ к аккаунтам и приложениям, когда назначенные разрешения для аккаунта AWS изменились и когда их доступ по технологии единого входа был закрыт. AWS SSO дает возможность централизованно отслеживать все действия, связанные с единым входом в систему.
Принцип работы сервиса
Избранные клиенты
Компания Image API использует AWS Single Sign-On (SSO) для управления однотенантными средами AWS и другими критически важными приложениями с одной панели. Сервис SSO оказался настолько интуитивно понятным, что мы смогли внедрить его буквально через несколько недель после того, как впервые услышали о нем на re:Invent. Без SSO нам пришлось бы использовать разные имена пользователей и пароли для каждого VPC и всех остальных приложений. Эта возможность не только позволяет нам эффективно масштабироваться, но и упрощает управление средой. Идеальное решение для нашего бизнеса.
— Билл Джой, ИТ-директор, Image API
Invenia — облачная платформа машинного обучения, которая использует большие высокочастотные данные для решения сложных проблем, связанных с управлением энергоресурсами, в режиме реального времени. Как поставщик облачных решений мы активно используем AWS и ряд приложений на основе SaaS. Однако нас не устраивали информационные и регуляторные риски, связанные с управлением учетными данными пользователей во множестве независимых систем. Внедрение AWS SSO позволило нам обеспечить доступ к тем же приложениям, но с использованием имеющихся корпоративных учетных данных и без проблем, связанных с управлением традиционным SSO-решением. Блестяще!
— Саша МакДональд, исполнительный директор компании Invenia
Syncron — поставщик облачных решений для послепродажного обслуживания, которые позволяют ведущим мировым производителям увеличивать срок службы их товаров и обеспечивать высокое качество обслуживания клиентов. Как поставщик облачных решений мы осознаем, что потенциальные перерывы в работе и угрозы безопасности при наличии у пользователей большого количества уникальных учетных данных. С помощью AWS SSO можно легко и быстро подключать пользователей к AWS, используя их корпоративные учетные данные, что позволяет нам сосредоточиться на улучшении качества предоставляемых услуг, не отвлекаясь на управление жизненным циклом учетных данных в нашей многопользовательской структуре AWS.
— Ричард Баркестам, главный технический директор компании Syncron
Избранные партнеры по программе AWS Competency в сфере безопасности
Программа AWS Competency создана для идентификации, проверки и популяризации партнеров Продвинутого уровня и уровня Премьер в Партнерской сети AWS (APN), которые продемонстрировали наличие технических навыков в AWS и успешную работу с клиентами. Подробнее см. в программе AWS Competency.
Okta, Inc.
Okta – это компания, выступающая за доверие.
OneLogin, Inc.
OneLogin – ведущая компания по управлению удостоверениями в облаке, которая позволяет предприятиям обеспечить безопасность подключений для всех пользователей и устройств.
Ping Identity
Ping Identity предоставляет простой защищенный доступ к приложениям и ресурсам отовсюду и используется более чем половиной компаний из списка Fortune 100.
Встроенная поддержка аккаунтов AWS и бизнес-приложений
AWS SSO помогает управлять доступом к аккаунтам AWS и бизнес-приложениям. Полный список бизнес-приложений, интегрированных с AWS SSO, см. на странице облачных приложений AWS SSO.
Публикации в блогах и статьи
Подробнее об основных функциях AWS Single Sign-On