Общие вопросы

Что такое AWS Single Sign-On (AWS SSO)?

Сервис AWS SSO позволяет централизованно управлять доступом ко множеству аккаунтов AWS и бизнес-приложений. Также этот сервис обеспечивает пользователям доступ с единым входом ко всем закрепленным за ними аккаунтам и приложениям. AWS SSO упрощает централизованное управление доступом и разрешениями пользователей для всех аккаунтов в AWS Organizations по технологии SSO. На портале AWS SSO вы можете создавать пользовательские удостоверения и управлять ими, а также легко подключаться к уже существующим источникам удостоверений, например Microsoft Active Directory, Okta Universal Directory и Azure Active Directory (Azure AD).

Каковы преимущества использования сервиса AWS SSO?

AWS SSO можно использовать, чтобы просто и быстро обеспечить доступ сотрудников к нескольким аккаунтам AWS, облачным приложениям, поддерживающим SAML (например, Salesforce, Office 365 и Box), приложениям собственной разработки, а затем централизованно управлять этим доступом. Сотрудники могут работать эффективнее, используя существующие корпоративные учетные данные Active Directory или учетные данные, настроенные в AWS SSO, для доступа к приложениям из индивидуально настроенного пользовательского портала. Сотрудникам не придется запоминать множество учетных данных и URL-адресов для доступа к облачным приложениям, а новые сотрудники с первого дня смогут эффективно включаться в работу. После добавления пользователей в соответствующую группу в каталоге они автоматически получают доступ к аккаунтам и приложениям, доступным для участников этой группы. Сервис улучшает контроль над использованием облачных приложений, так как позволяет централизованно выполнять мониторинг и аудит авторизации с использованием AWS CloudTrail.

Какие проблемы решает AWS SSO?

AWS SSO избавляет от административных сложностей использования собственного SSO-решения по созданию данных для доступа к нескольким аккаунтам AWS и бизнес-приложениям. При использовании нескольких аккаунтов AWS и постоянном добавлении новых аккаунтов настройка SSO с помощью Active Directory Federation Services (AD FS) для доступа к этим аккаунтам потребует изучения специального языка для программирования заявлений AD FS. Необходимо будет подготавливать аккаунты AWS с требуемыми разрешениями для доступа к ним. Сервис AWS SSO, за использование которого не взимается дополнительная плата, облегчает действия по повторяющейся настройке и разрозненному управлению путем тесной интеграции с AWS. При использовании отдельных паролей для доступа к различным аккаунтам AWS и облачным приложениям AWS SSO упрощает работу пользователей и усиливает безопасность, устраняя необходимость в отдельных паролях для каждого аккаунта AWS или облачного бизнес-приложения. AWS SSO решает проблему ограниченной наглядности доступа к облачным приложениям за счет интеграции с AWS CloudTrail и предоставляя единый центр для аудита доступа по технологии SSO к аккаунтам AWS, а также облачным приложениям, поддерживающим SAML (например, Office 365, Salesforce и Box).

В каких случаях рекомендуется использовать AWS SSO?

AWS SSO рекомендуется использовать для быстрого повышения эффективности сотрудников за счет предоставления им доступа к аккаунтам AWS и облачным бизнес-приложениям. При этом не требуется создавать специальные скрипты или инвестировать средства в стандартные SSO-решения. AWS SSO рекомендуется также использовать для снижения административной сложности и стоимости настройки и обслуживания доступа по технологии SSO.

AWS SSO – это стартовая точка, откуда сотрудники с помощью пользовательского портала AWS SSO могут получить доступ к аккаунтам AWS и необходимым приложениям для работы, независимо от того, где именно разработаны и размещены эти приложения.

Какие задачи позволяет решить AWS SSO?

AWS SSO можно использовать, чтобы просто и быстро предоставить сотрудникам доступ к нескольким аккаунтам AWS, управляемым с помощью AWS Organizations, облачным бизнес-приложениям (например, Salesforce, Office 365 и Box) и собственным приложениям, поддерживающим язык разметки декларации безопасности (SAML) 2.0. Сотрудники могут использовать существующие корпоративные учетные данные или учетные данные, настроенные в AWS SSO, для доступа к бизнес-приложениям из единого пользовательского портала. AWS SSO позволяет осуществлять аудит доступа пользователей к облачным сервисам с помощью AWS CloudTrail.

Кому рекомендуется использовать AWS SSO?

AWS SSO предназначен для администраторов, которые управляют несколькими аккаунтами AWS и бизнес-приложениями и хотят организовать централизованный доступ пользователей к этим облачным сервисам, а также предоставить сотрудникам единый центр для доступа к аккаунтам и приложениям без необходимости запоминать дополнительный пароль.

Как начать использовать AWS SSO?

Новому клиенту AWS SSO необходимо выполнить указанные ниже действия.

  1. Войти в Консоль управления AWS своего основного аккаунта AWS и перейти в консоль AWS SSO.
  2. Выбрать каталог, используемый для хранения удостоверений пользователей и групп на консоли AWS SSO. По умолчанию AWS SSO предоставляет каталог, который можно использовать для управления пользователями и группами в AWS SSO. Вы также можете сменить каталог и подключиться к каталогу Microsoft AD, просмотрев список инстансов Managed Microsoft AD и AD Connector, которые AWS SSO автоматически обнаруживает в вашем аккаунте. Если вы хотите подключиться к каталогу Microsoft AD, см. раздел Начало работы с AWS Directory Service.
  3. Предоставить пользователям доступ по технологии SSO к аккаунтам AWS организации: выбрать аккаунты из списка, заполненного AWS SSO, а затем выбрать пользователей или группы из каталога и установить для них нужные разрешения. 
  4. Предоставить пользователям доступ к облачным бизнес-приложениям следующим образом.
    1. Выбрать одно приложение из списка заранее интегрированных приложений, поддерживаемых в AWS SSO.
    2. Настроить приложение согласно инструкциям по настройке.
    3. Выбрать пользователей или группы, у которых должен быть доступ к этому приложению.
  5. Предоставить пользователям интернет-адрес для входа в AWS SSO, созданный при настройке каталога. Пользователи смогут выполнять вход в AWS SSO и получать доступ к аккаунтам и бизнес-приложениям.

Сколько стоит использование AWS SSO?

Дополнительная плата за использование сервиса AWS SSO не взимается.

В каких регионах AWS доступен сервис AWS SSO?

Сведения о доступности AWS SSO по регионам см. в таблице регионов AWS.

Поддержка источников удостоверений и приложений

Какие источники удостоверений можно использовать с AWS SSO?

На портале AWS SSO вы можете создавать пользовательские удостоверения и управлять ими, а также легко подключаться к уже существующим источникам удостоверений, например Microsoft Active Directory, Okta Universal Directory, Azure Active Directory (Azure AD) или другому поддерживаемому поставщику удостоверений. Подробнее см. в Руководстве пользователя AWS SSO.

Можно ли подключить к AWS SSO несколько источников удостоверений?

Нет. В любой момент времени к AWS SSO может быть подключено не более одного каталога или поставщика удостоверений SAML 2.0. Однако можно сменить один подключенный источник удостоверений на другой.

Какие поставщики удостоверений SAML 2.0 можно использовать совместно с AWS SSO?

Вы можете подключить AWS SSO к большинству поставщиков удостоверений SAML 2.0, таких как Okta Universal Directory или Azure Active Directory. Подробнее см. в Руководстве пользователя AWS SSO.

Как можно предоставить удостоверения от существующего поставщика удостоверений в AWS SSO?

Прежде чем вы сможете назначать разрешения, требуется предоставить в AWS SSO удостоверения от существующих поставщиков. Вы можете автоматически синхронизировать информацию о пользователях и группах из Okta Universal Directory, Azure AD, OneLogin и PingFederate, используя стандарт системы управления междоменными удостоверениями (SCIM). Для других поставщиков удостоверений можно создавать пользователей от вашего поставщика удостоверений в консоли AWS SSO. Подробнее см. в Руководстве пользователя AWS SSO.

Можно ли автоматизировать синхронизацию удостоверений от моего поставщика удостоверений в AWS SSO?

Да. Если вы используете Okta Universal Directory, Azure AD, OneLogin или PingFederate, можно применять SCIM для автоматической синхронизации информации о пользователях и группах между поставщиком удостоверений и AWS SSO. Подробнее см. в Руководстве пользователя AWS SSO.

Как подключить AWS SSO к моей Microsoft Active Directory?

Вы можете подключить AWS SSO к корпоративному каталогу Active Directory (AD) или AWS Managed Microsoft AD с помощью AWS Directory Service. Подробнее см. в Руководстве пользователя AWS SSO.

Я управляю пользователями и группами в Active Directory локально. Как мне применить эти группы и отдельных пользователей в AWS SSO? 

Для подключения локальной версии Active Directory к AWS SSO существует два варианта: (1) использовать AD Connector или (2) использовать доверенный канал AWS Managed Microsoft AD.

AD Connector просто подключает существующий локальный каталог Active Directory к AWS. AD Connector – это шлюз, с помощью которого вы можете перенаправить запросы к каталогу в локальное развертывание Microsoft Active Directory без кэширования информации в облаке. Подробнее о подключении локального каталога с помощью AD Connector вы можете узнать в Руководстве администратора по AWS Directory Service.

AWS Managed Microsoft AD упрощает настройку и запуск Microsoft Active Directory на платформе AWS. Ее можно использовать для настройки леса доверенных каналов между локальным каталогом и AWS Managed Microsoft AD. Подробнее о настройках доверенных каналов можно узнать в Руководстве администратора по AWS Directory Service.

Я управляю пользователями и группами в AWS Identity and Access Management (IAM). Могу ли я использовать пользователей и группы IAM в AWS SSO?

В настоящее время AWS SSO не поддерживает пользователей и группы AWS IAM.

Можно ли использовать пулы пользователей Amazon Cognito в качестве источника удостоверений в AWS SSO?

Amazon Cognito – это сервис, который помогает в управлении удостоверениями для взаимодействующих с клиентом приложений. Он не поддерживается в AWS SSO как источник удостоверений. Вы можете создавать пользовательские удостоверения и управлять ими через AWS SSO или внешний источник удостоверений, как например Microsoft Active Directory, Okta Universal Directory, Azure Active Directory (Azure AD) или другого поддерживаемого поставщика удостоверений.

Поддерживает ли AWS SSO браузеры, командную строку и мобильные интерфейсы?

Да, вы можете использовать AWS SSO для контроля доступа к Консоли управления AWS и CLI версии 2. AWS SSO позволяет пользователям использовать CLI и Консоли управления AWS с поддержкой единого входа. Приложение AWS Mobile Console также интегрируется с AWS SSO, поэтому вы можете одинаково входить в систему через браузер, мобильные устройства и интерфейсы командной строки.

Какие облачные приложения можно подключить к AWS SSO?

К AWS SSO можно подключить указанные ниже приложения.

  1. Интегрированные приложения AWS SSO. Интегрированные приложения AWS SSO, такие как SageMaker Studio или IoT SiteWise, используют AWS SSO для аутентификации и работы с удостоверениями, которые у вас есть в AWS SSO. Для синхронизации удостоверений в этих приложениях или отдельной настройки федерации не нужны дополнительные настройки.
  2. Интегрированные приложения, поддерживающие SAML. AWS SSO имеет встроенную интеграцию для распространенных бизнес-приложений. Подробный список см. в консоли AWS SSO.
  3. Специальные приложения, поддерживающие SAML. AWS SSO поддерживает приложения, использующие федерацию удостоверений по стандарту SAML 2.0. Вы можете включить в AWS SSO поддержку этих приложений с помощью мастера пользовательских приложений.

Доступ к аккаунтам AWS через Single Sign-On

Какие аккаунты AWS можно подключить к AWS SSO?

К AWS SSO можно подключить любые аккаунты AWS, управляемые с помощью AWS Organizations. Чтобы предоставить доступ к аккаунту по технологии SSO, необходимо включить все возможности в организации.

Как настроить доступ по технологии SSO к аккаунтам AWS в организационной единице (OU) внутри организации?

Можно выбрать нужные аккаунты внутри организации или отфильтровать их по OU.

Как контролировать разрешения пользователей, когда они используют AWS SSO для доступа к своим аккаунтам?

При предоставлении доступа можно ограничить разрешения пользователей, выбрав набор разрешений. Набор разрешений – это группа разрешений, которую можно создать в AWS SSO по образцу политик для должностных обязанностей, управляемых AWS, или любых других управляемых политик AWS. Управляемые политики AWS для должностных обязанностей предназначены для максимального соответствия распространенным должностным обязанностям в ИТ-отрасли. При необходимости можно полностью перенастроить набор разрешений, чтобы соответствовать требованиям безопасности. AWS SSO автоматически применяет эти разрешения к выбранным аккаунтам. После настройки AWS SSO позволяет легко применять наборы разрешений к соответствующим аккаунтам. Когда пользователи получают доступ к аккаунтам через пользовательский портал AWS SSO, эти ограничения задают рамки действий пользователей в аккаунтах. Можно предоставить пользователям несколько наборов разрешений. Тогда при доступе к аккаунтам через пользовательский портал пользователи смогут выбрать, какой набор разрешений использовать для текущего сеанса.

Как автоматизировать управление разрешениями в нескольких аккаунтах?

AWS SSO обеспечивает поддержку интерфейсов API и AWS CloudFormation для автоматизации управления разрешениями в средах с несколькими аккаунтами, а также получения разрешений программными средствами в целях аудита и управления.

Для каких аккаунтов AWS можно получить данные для доступа к интерфейсу командной строки (CLI) AWS?

Данные для доступа к интерфейсу командной строки (CLI) AWS можно получить для любых аккаунтов AWS и разрешений пользователя, назначенных администратором AWS SSO. Эти данные для доступа к CLI могут использоваться для программного доступа к аккаунту AWS.

В течение какого времени действительны данные для доступа к CLI AWS, полученные через пользовательский портал AWS SSO?

Данные для доступа к AWS CLI, полученные через пользовательский портал AWS SSO, действительны в течение 60 минут. Новый набор данных для доступа можно запросить без ограничений, как только потребуется.

Доступ к бизнес-приложениям по технологии SSO

Как настроить доступ по технологии SSO к бизнес-приложениям (например, Salesforce)?

Перейдите из консоли AWS SSO к панели приложений, выберите пункт Configure new application (Настроить новое приложение) и выберите приложение из списка облачных приложений, заранее интегрированных с AWS SSO. Следуйте инструкциям на экране, чтобы настроить приложение. Как только приложение настроено, к нему можно предоставлять доступ. Выберите группы или пользователей, которым нужно предоставить доступ к приложению, затем выберите пункт Assign Access (Предоставить доступ) для завершения процесса.

В компании используются бизнес-приложения, которые отсутствуют в списке заранее интегрированных с AWS SSO приложений. Могу ли я использовать AWS SSO? 

Да. Если приложение поддерживает SAML 2.0, его можно настроить как специальное приложение SAML 2.0. Перейдите из консоли AWS SSO к панели приложений, выберите пункт Configure new application (Настроить новое приложение), затем пункт Custom SAML 2.0 application (Специальное приложение SAML 2.0). Следуйте инструкциям, чтобы настроить приложение. Как только приложение настроено, к нему можно предоставлять доступ. Выберите группы или пользователей, которым нужно предоставить доступ к приложению, затем выберите пункт Assign Access (Предоставить доступ) для завершения процесса.

Приложение поддерживает только OpenID Connect (OIDC). Можно ли использовать его с AWS SSO?

AWS SSO поддерживает только приложения на основе SAML 2.0.

Поддерживает ли AWS SSO технологию единого входа для встроенных мобильных приложений и приложений рабочего стола?

Нет. AWS SSO поддерживает только технологию единого входа в бизнес-приложения через веб-браузеры.

Разное

Какие данные клиента сохраняет AWS SSO?

AWS SSO сохраняет данные о назначении аккаунтов AWS и облачных приложений пользователям и группам, а также о том, какие разрешения предоставлены для доступа к аккаунтам AWS. AWS SSO создает роли IAM для каждого набора разрешений на доступ, созданного для пользователей, и управляет этими ролями в каждом аккаунте AWS.

Поддерживает ли AWS SSO многофакторную аутентификацию (MFA)?

Да. Сервис позволяет включить возможность использования многофакторной аутентификации на телефонах пользователей или сделать ее обязательной. Можно также требовать предоставления дополнительной информации для входа в AWS SSO, подключив сервер удаленной аутентификации пользователей (RADIUS) и настроив его для работы с Active Directory или AD Connector.

Как сотрудникам компании начать работу с AWS SSO?

Для начала работы с AWS SSO сотрудникам нужно перейти в пользовательский портал AWS SSO, который создается при настройке источника удостоверений в AWS SSO. Если вы управляете пользователями в AWS SSO, ваши сотрудники могут использовать адрес электронной почты и пароль, использованные при настройке AWS SSO, для входа в пользовательский портал. Если вы подключите AWS SSO к Microsoft Active Directory или поставщику удостоверений SAML 2.0, ваши сотрудники могут выполнить вход в пользовательский портал с существующими корпоративными учетными данными, а затем просмотреть доступные им аккаунты и приложения. Для доступа к аккаунту или приложению сотруднику необходимо выбрать соответствующий значок в пользовательском портале AWS SSO.

Для AWS SSO доступен API?

Да. AWS SSO предоставляет API назначения аккаунтов, чтобы помочь автоматизировать управление разрешениями в средах с несколькими аккаунтами, а также программными средствами получать разрешения в целях аудита и управления.

Есть вопросы?
Свяжитесь с нами