AWS Single Sign‑On
Централизованное управление доступом ко множеству аккаунтов AWS и приложений.
В AWS Single Sign-On (AWS SSO) вы один раз создаете или подключаете удостоверения сотрудников и централизованно управляете доступом всей организации в AWS. Контролируется как доступ только к своим аккаунтам AWS, так и к облачным приложениям. Можно создать удостоверения пользователей непосредственно в AWS SSO или перенести их из Microsoft Active Directory или стандартного поставщика удостоверений, такого как Okta Universal Directory или Azure AD. AWS SSO – это единый административный интерфейс для точного определения, настройки и выдачи доступов. Ваши сотрудники получают пользовательский портал для доступа ко всем назначенным аккаунтам AWS, инстансам Amazon EC2 Windows или облачным приложениям. Гибкая настройка AWS SSO позволяет параллельную работу или смену управления доступом к аккаунту AWS через AWS IAM.
Начать работу с AWS SSO очень легко. Всего несколько кликов мышкой в консоли управления – и вы сможете подключить уже существующие источники удостоверений и предоставить пользователям доступ к их аккаунтам в AWS, облачным приложениям и другим приложениям на базе SAML, добавленным в AWS SSO.
Преимущества
Централизуйте создание или подключение удостоверений
Вы можете создавать удостоверения и группы пользователей непосредственно в AWS SSO. Или подключиться к существующим пользователям и группам доменных служб Microsoft Active Directory, Domain Services, Okta Universal Directory, Azure AD или другого поставщика стандартных удостоверений. Так или иначе, вы управляете и проводите аутентификацию пользователей в удобном месте, а AWS SSO выдает разрешения на доступ к аккаунтам AWS, облачным приложениям и другим добавленным приложениям на базе SAML.
Управляйте доступом нескольких аккаунтов AWS из единого места
Благодаря интеграции с AWS Organizations, сервис AWS SSO позволяет контролировать доступы к нескольким аккаунтом, не выполняя дополнительную настройку в каждом из них. Пользовательские разрешения можно задавать на основе общих должностных обязанностей, а затем дополнительно настраивать в соответствии с конкретными требованиями безопасности. Также вы можете выдавать пользователям или их группам точные разрешения для отдельных аккаунтов, когда это необходимо. AWS SSO также позволяет использовать такие атрибуты пользователей, как центр расходов, должность или язык, для контроля доступа на основе атрибутов (ABAC).
Управляйте доступом к облачным приложениям
С помощью AWS Single Sign-On можете просто контролировать доступ к вашим облачным приложениям. Пользователи могут использовать учетные данные каталога для входа на портал веб-пользователей AWS SSO и получать доступ к назначенным приложениям, таким как Amazon SageMaker Studio, AWS Systems Manager Change Manager, и стандартным облачным приложениям, включая Salesforce, Box и Microsoft 365, за один клик.
Как это работает
Примеры использования
Включайте доступ к аккаунтам AWS по единому входу
Пользователи могут использовать учетные данные каталога для единого входа в несколько аккаунтов AWS. На персонализированном веб-портале пользователей в едином месте отображаются все назначенные роли в аккаунтах AWS. Пользователи также могут выполнять единый вход через интерфейс командной строки AWS (CLI), SDK AWS или приложение мобильной консоли, используя учетные данные каталога для последовательной аутентификации.
Включите доступ к интегрированным приложениям
AWS SSO интегрирован с такими приложениями, как Amazon SageMaker Studio, AWS Systems Manager Change Manager и AWS IoT SiteWise, чтобы обеспечить аутентификацию и авторизацию без настройки. Все интегрированные приложения последовательно используют одинаковое представление пользователей и групп для совместной работы и применения ресурсов в рамках приложений.
Включите доступа к облачным приложениям по единому входу
С помощью мастера настройки приложения AWS SSO можно с легкостью настроить единый вход в систему для приложений, поддерживающих язык разметки декларации безопасности (SAML) 2.0.
AWS SSO также предлагает предварительно подготовленные настройки для многих облачных приложений, включая Salesforce, Box и Microsoft 365.
Избранные клиенты
Invenia – облачная платформа машинного обучения, которая использует большие высокочастотные данные для решения сложных проблем, связанных с управлением энергоресурсами, в режиме реального времени. Как поставщик облачных решений мы активно используем AWS и ряд приложений на основе SaaS. Однако нас не устраивали информационные и регуляторные риски, связанные с управлением учетными данными пользователей во множестве независимых систем. Внедрение AWS SSO позволило нам обеспечить доступ к тем же приложениям, но с использованием имеющихся корпоративных учетных данных и без проблем, связанных с управлением традиционным SSO-решением. Блестяще!
— Саша МакДональд, исполнительный директор компании Invenia
Syncron — поставщик облачных решений для послепродажного обслуживания, которые позволяют ведущим мировым производителям увеличивать срок службы их товаров и обеспечивать высокое качество обслуживания клиентов. Как поставщик облачных решений мы осознаем, что потенциальные перерывы в работе и угрозы безопасности при наличии у пользователей большого количества уникальных учетных данных. С помощью AWS SSO можно легко и быстро подключать пользователей к AWS, используя их корпоративные учетные данные, что позволяет нам сосредоточиться на улучшении качества предоставляемых услуг, не отвлекаясь на управление жизненным циклом учетных данных в нашей многопользовательской структуре AWS.
— Ричард Баркестам, главный технический директор компании Syncron
Избранные партнеры по программе AWS Competency в сфере безопасности
Программа AWS Competency создана для идентификации, проверки и популяризации партнеров Продвинутого уровня и уровня Премьер в Партнерской сети AWS (APN), которые продемонстрировали наличие технических навыков в AWS и успешную работу с клиентами. Подробнее см. в программе AWS Competency.
Okta, Inc.
Okta – это компания, выступающая за доверие.
OneLogin, Inc.
OneLogin – ведущая компания по управлению удостоверениями в облаке, которая позволяет предприятиям обеспечить безопасность подключений для всех пользователей и устройств.
Ping Identity
Ping Identity предоставляет простой защищенный доступ к приложениям и ресурсам отовсюду и используется более чем половиной компаний из списка Fortune 100.
Встроенная поддержка аккаунтов AWS и бизнес-приложений
AWS SSO помогает управлять доступом к аккаунтам AWS и бизнес-приложениям. Полный список бизнес-приложений, интегрированных с AWS SSO, см. на странице облачных приложений AWS SSO.
Публикации в блогах и статьи
Подробнее об основных функциях AWS Single Sign-On