AWS Single Sign‑On

Централизованное управление доступом ко множеству аккаунтов AWS и бизнес-приложений по технологии единого входа (SSO).

Сервис AWS Single Sign-On (SSO) позволяет централизованно управлять доступом ко множеству аккаунтов AWS и бизнес-приложений. Также этот сервис обеспечивает пользователям доступ с единым входом ко всем закрепленным за ними аккаунтам и приложениям. AWS SSO упрощает централизованное управление доступом и разрешениями пользователей для всех аккаунтов в AWS Organizations. AWS SSO настраивает и обслуживает все необходимые разрешения для ваших аккаунтов автоматически, без дополнительной настройки отдельных аккаунтов. Пользовательские разрешения можно задавать на основе общих должностных обязанностей, а затем дополнительно настраивать в соответствии с конкретными требованиями безопасности. AWS SSO также обеспечивает встроенную поддержку интеграции со многими бизнес-приложениями (например, Salesforce, Box и Office 365).

На портале AWS SSO вы можете создавать пользовательские удостоверения и управлять ими, а также легко подключаться к уже существующим источникам удостоверений, например Microsoft Active Directory, Okta Universal Directory и Azure Active Directory (Azure AD).

Начать работу с AWS SSO совсем не сложно. Всего несколько кликов мышкой в консоли управления AWS SSO – и вы сможете подключить уже существующие источники удостоверений и предоставить пользователям доступ к их аккаунтам в AWS Organizations, а также к сотням предварительно интегрированных облачных приложений. И все это доступно в одном портале.

Преимущества

Централизованное управление разрешениями на доступ к аккаунтам AWS

AWS SSO упрощает централизованное управление доступом и разрешениями пользователей для всех аккаунтов в AWS Organizations. Дополнительная настройка отдельных аккаунтов не требуется. AWS SSO автоматически настраивает и поддерживает все необходимые разрешения в связанных аккаунтах. Пользовательские разрешения можно задавать на основе общих должностных обязанностей, а затем дополнительно настраивать в соответствии с конкретными требованиями безопасности. Также вы можете выдавать пользователям или их группам особые разрешения на доступ к отдельным аккаунтам, когда это необходимо. Например, для работы со средствами защиты специалистам по безопасности можно предоставить административный уровень доступа к соответствующим аккаунтам AWS, а для наблюдения за остальными аккаунтами AWS – лишь аудиторский уровень доступа. AWS SSO обеспечивает поддержку интерфейсов API и AWS CloudFormation для автоматизации управления разрешениями в средах с несколькими аккаунтами, а также получения разрешений программными средствами в целях аудитов и управления.

Создание пользователей в AWS SSO или подключение к уже существующей системе идентификации

Вы можете создавать удостоверения и группы непосредственно в AWS SSO. А если вы уже используете Microsoft Active Directory Domain Services, Okta Universal Directory, Azure AD или другой поддерживаемый поставщик удостоверений, ваши пользователи могут войти в AWS с помощью существующих корпоративных учетных данных, а администраторы организации – продолжать управлять пользователями и группами в текущей системе идентификации.

Единый центр для доступа к аккаунтам и приложениям

В AWS SSO предусмотрен единый портал, где пользователи могут найти и просмотреть все назначенные им роли в аккаунтах AWS и бизнес-приложениях. AWS SSO предлагает предварительно настроенные интеграции SAML со многими бизнес-приложениями, в том числе Salesforce, Box и Office 365. AWS отслеживает изменения таких интеграций и автоматически обновляет их для своих клиентов. С помощью мастера настройки приложений AWS SSO можно расширить доступ по технологии SSO к любому приложению, поддерживающему язык разметки декларации безопасности (Security Assertion Markup Language, SAML) 2.0.

Простота использования

С AWS SSO достаточно нескольких нажатий кнопки мыши, чтобы создать высокодоступный сервис единого входа в систему для организации. Развертывать или обслуживать дополнительную инфраструктуру не требуется. Все административные действия и действия, связанные со входом в систему, записываются в AWS CloudTrail, что помогает проводить аудит и обеспечивать соответствие требованиям. Можно централизованно просматривать, когда пользователи пытались получить доступ к аккаунтам и приложениям и с какого IP-адреса. Кроме того, можно просматривать, когда пользователи получили доступ к аккаунтам и приложениям, когда назначенные разрешения для аккаунта AWS изменились и когда их доступ по технологии единого входа был закрыт. AWS SSO дает возможность централизованно отслеживать все действия, связанные с единым входом в систему.

Принцип работы сервиса

SSO-diagram
600x400_imageAPI
Компания Image API использует AWS Single Sign-On (SSO) для управления однотенантными средами AWS и другими критически важными приложениями с одной панели. Сервис SSO оказался настолько интуитивно понятным, что мы смогли внедрить его буквально через несколько недель после того, как впервые услышали о нем на re:Invent. Без SSO нам пришлось бы использовать разные имена пользователей и пароли для каждого VPC и всех остальных приложений. Эта возможность не только позволяет нам эффективно масштабироваться, но и упрощает управление средой. Идеальное решение для нашего бизнеса.
— Билл Джой, ИТ-директор, Image API

Invenia_LABS_logo_600x400
Invenia — облачная платформа машинного обучения, которая использует большие высокочастотные данные для решения сложных проблем, связанных с управлением энергоресурсами, в режиме реального времени. Как поставщик облачных решений мы активно используем AWS и ряд приложений на основе SaaS. Однако нас не устраивали информационные и регуляторные риски, связанные с управлением учетными данными пользователей во множестве независимых систем. Внедрение AWS SSO позволило нам обеспечить доступ к тем же приложениям, но с использованием имеющихся корпоративных учетных данных и без проблем, связанных с управлением традиционным SSO-решением. Блестяще!
 — Саша МакДональд, исполнительный директор компании Invenia


syncron-logo-600x400
Syncron — поставщик облачных решений для послепродажного обслуживания, которые позволяют ведущим мировым производителям увеличивать срок службы их товаров и обеспечивать высокое качество обслуживания клиентов. Как поставщик облачных решений мы осознаем, что потенциальные перерывы в работе и угрозы безопасности при наличии у пользователей большого количества уникальных учетных данных. С помощью AWS SSO можно легко и быстро подключать пользователей к AWS, используя их корпоративные учетные данные, что позволяет нам сосредоточиться на улучшении качества предоставляемых услуг, не отвлекаясь на управление жизненным циклом учетных данных в нашей многопользовательской структуре AWS.
    — Ричард Баркестам, главный технический директор компании Syncron


Программа AWS Competency создана для идентификации, проверки и популяризации партнеров Продвинутого уровня и уровня Премьер в Партнерской сети AWS (APN), которые продемонстрировали наличие технических навыков в AWS и успешную работу с клиентами. Подробнее см. в программе AWS Competency.

Okta, Inc.

600x400_Okta_Logo

Okta – это компания, выступающая за доверие.

Подробнее »

OneLogin, Inc.

400x135_AWS_SellerLogo_onelogin

OneLogin – ведущая компания по управлению удостоверениями в облаке, которая позволяет предприятиям обеспечить безопасность подключений для всех пользователей и устройств. 

Подробнее »

Встроенная поддержка аккаунтов AWS и бизнес-приложений

AWS SSO помогает управлять доступом к аккаунтам AWS и бизнес-приложениям. Полный список бизнес-приложений, интегрированных с AWS SSO, см. на странице облачных приложений AWS SSO.

AWS-600x400
600x400_atlassian
600x400_Box_Logo
Dropbox-600x400
Github
GSuite_600x400
O365_600x400
600x400_salesforce
600x400_servicenow
600x400_Slack_Logo

Публикации в блогах и статьи

1

Подробнее об основных функциях AWS Single Sign-On

Перейти на страницу с описанием функций
Готовы начать?
Регистрация
Есть вопросы?
Свяжитесь с нами