Общие вопросы

Что такое AWS Single Sign-On (AWS SSO)?

AWS SSO – это сервис AWS, который позволяет использовать существующие учетные данные Microsoft Active Directory для доступа к облачным приложениям, например к аккаунтам AWS и бизнес-приложениям (Office 365, Salesforce, Box), с помощью технологии единого входа (SSO).

Каковы преимущества использования сервиса AWS SSO?

AWS SSO можно использовать, чтобы просто и быстро обеспечить доступ сотрудников к нескольким аккаунтам AWS, облачным приложениям, поддерживающим SAML (например, Salesforce, Office 365 и Box), приложениям собственной разработки, а затем централизованно управлять этим доступом. Сотрудники могут работать эффективнее, используя существующие корпоративные имена пользователей и пароли Active Directory для доступа к приложениям из индивидуально настроенного пользовательского портала. Сотрудникам не придется запоминать множество учетных данных и URL-адресов для доступа к облачным приложениям, а новые сотрудники с первого дня смогут эффективно включаться в работу. После добавления пользователей в соответствующую группу Active Directory они автоматически получают доступ к аккаунтам и приложениям, доступным для участников этой группы. Сервис улучшает контроль над использованием облачных приложений, так как позволяет централизованно выполнять мониторинг и аудит авторизации с использованием AWS CloudTrail.

Какие проблемы решает AWS SSO?

AWS SSO избавляет от административных сложностей использования собственного SSO-решения по созданию данных для доступа к нескольким аккаунтам AWS и бизнес-приложениям. При использовании нескольких аккаунтов AWS и постоянном добавлении новых аккаунтов настройка SSO с помощью Active Directory Federation Services (AD FS) для доступа к этим аккаунтам потребует изучения специального языка для программирования заявлений AD FS. Необходимо будет подготавливать аккаунты AWS с требуемыми разрешениями для доступа к ним. Сервис AWS SSO, за использование которого не взимается дополнительная плата, облегчает действия по повторяющейся настройке и разрозненному управлению путем тесной интеграции с AWS. При использовании отдельных паролей для доступа к различным аккаунтам AWS и облачным приложениям AWS SSO упрощает работу пользователей и усиливает безопасность, устраняя необходимость в отдельных паролях для каждого аккаунта AWS или облачного бизнес-приложения. AWS SSO решает проблему ограниченной наглядности доступа к облачным приложениям за счет интеграции с AWS CloudTrail и предоставляя единый центр для аудита доступа по технологии SSO к аккаунтам AWS, а также облачным приложениям, поддерживающим SAML (например, Office 365, Salesforce и Box).

В каких случаях рекомендуется использовать AWS SSO?

AWS SSO рекомендуется использовать для быстрого повышения эффективности сотрудников за счет предоставления им доступа к аккаунтам AWS и облачным бизнес-приложениям. При этом не требуется создавать специальные скрипты или инвестировать средства в стандартные SSO-решения. AWS SSO рекомендуется также использовать для снижения административной сложности и стоимости настройки и обслуживания доступа по технологии SSO.

AWS SSO – это стартовая точка, откуда сотрудники с помощью пользовательского портала AWS SSO могут получить доступ к аккаунтам AWS и необходимым приложениям для работы, независимо от того, где именно разработаны и размещены эти приложения.

Какие задачи позволяет решить AWS SSO?

AWS SSO можно использовать, чтобы просто и быстро предоставить сотрудникам доступ к нескольким аккаунтам AWS, облачным приложениям (например, Salesforce, Office 365 и Box), поддерживающим язык разметки декларации безопасности (SAML) 2.0. Сотрудники могут использовать существующие корпоративные имена пользователей и пароли для доступа к бизнес-приложениям из единого пользовательского портала. AWS SSO позволяет осуществлять аудит доступа пользователей к облачным сервисам с помощью AWS CloudTrail.

Кому рекомендуется использовать AWS SSO?

AWS SSO предназначен для администраторов, которые управляют несколькими аккаунтами AWS и бизнес-приложениями и хотят организовать централизованный доступ пользователей к этим облачным сервисам, а также предоставить сотрудникам единый центр для доступа к аккаунтам и приложениям без необходимости запоминать дополнительный пароль.

Как начать использовать AWS SSO?

Новому клиенту AWS SSO необходимо выполнить указанные ниже действия.

  1. Войти в Консоль управления AWS своего основного аккаунта AWS и перейти в консоль AWS SSO.
  2. Из консоли AWS SSO выбрать каталог с удостоверениями пользователей и групп, нажав на список инстансов Active Directory и Active Directory Connector, которые AWS SSO автоматически обнаружит в аккаунте AWS. Если каталог еще не настроен, см. Начало работы.
  3. Предоставить пользователям доступ по технологии SSO к аккаунтам AWS организации: выбрать аккаунты из списка, заполненного AWS SSO, а затем выбрать пользователей или группы из каталога и установить для них нужные разрешения. 
  4. Предоставить пользователям доступ к облачным бизнес-приложениям следующим образом:
    1. Выбрать одно приложение из списка заранее интегрированных приложений, поддерживаемых в AWS SSO.
    2. Настроить приложение согласно инструкциям по настройке.
    3. Выбрать пользователей или группы, у которых должен быть доступ к этому приложению.
  5. Предоставить сотрудникам интернет-адрес для входа в AWS SSO, созданный при соединении с каталогом. Сотрудники смогут использовать свои имя пользователя и пароль от Active Directory для входа в AWS SSO, доступа к аккаунтам и бизнес-приложениям.

Сколько стоит использование AWS SSO?

Дополнительная плата за использование сервиса AWS SSO не взимается.

В каких регионах AWS доступен сервис AWS SSO?

Сведения о доступности AWS SSO по регионам см. в таблице регионов AWS.

Поддержка каталогов и приложений

Какие каталоги можно использовать совместно с AWS SSO?

AWS SSO можно подключить к каталогу Microsoft Active Directory, работающему локально или в облаке AWS. AWS SSO поддерживает AWS Directory Service для Microsoft Active Directory, также известный как AWS Managed Microsoft AD, и AD Connector. AWS SSO не поддерживает Simple AD. Дополнительные сведения см. в разделе Начало работы с AWS Directory Service.

Можно ли использовать пулы пользователей Amazon Cognito в качестве подключенного каталога в AWS SSO?

В настоящий момент нет. На сегодня AWS SSO поддерживает в качестве пользовательского каталога только Microsoft Active Directory. Другие типы каталогов могут быть добавлены в будущем на основании отзывов и заинтересованности пользователей.

Какие облачные приложения можно подключить к AWS SSO?

К AWS SSO можно подключить указанные ниже приложения.

  1. Консоль управления AWS. К Консоли управления AWS можно настроить доступ по технологии SSO.
  2. Сторонние SaaS-приложения. AWS SSO обеспечивает встроенную интеграцию распространенных бизнес-приложений. Подробный список см. в консоли AWS SSO.
  3. Специальные приложения, поддерживающие SAML. AWS SSO поддерживает приложения, позволяющие вход с использованием федерации удостоверений посредством SAML 2.0. Для приложений, которые не были заранее интегрированы с AWS SSO, можно настроить доступ по технологии SSO с помощью специального мастера настройки приложений AWS SSO.

Я управляю пользователями и группами в Active Directory локально. Как подключить мой каталог к AWS SSO?

Для подключения локальной версии Active Directory к AWS SSO существует два варианта: (1) использовать доверенный канал AWS Managed Microsoft AD, (2) использовать AD Connector.

AWS Managed Microsoft AD создает полностью управляемую Active Directory в облаке AWS. Ее можно использовать для настройки леса доверенных каналов между локальным каталогом и AWS Managed Microsoft AD. Дополнительные сведения о настройке доверенного канала см. в разделе Когда необходимо создать доверенный канал.

AD Connector – это шлюз, позволяющий перенаправлять запросы к каталогу в адрес локального развертывания Microsoft Active Directory, без кэширования информации в облаке. Дополнительные сведения о подключении локального каталога с помощью AD Connector см. в разделе AD Connector.

Я управляю пользователями и группами в AWS Identity and Access Management (IAM). Могу ли я подключить свой каталог к AWS SSO?

В настоящее время AWS SSO не поддерживает пользователей и группы AWS IAM.

Можно подключить к AWS SSO несколько каталогов?

Нет. В любой момент времени к AWS SSO может быть подключено не более одного каталога. Однако можно сменить один подключенный каталог на другой.

Доступ к аккаунтам AWS по технологии SSO

Какие аккаунты AWS можно подключить к AWS SSO?

К AWS SSO можно подключить любые аккаунты AWS, управляемые с помощью AWS Organizations. Чтобы предоставить доступ к аккаунту по технологии SSO, необходимо включить все возможности в организации.

Как настроить доступ по технологии SSO к аккаунтам AWS в организационной единице (OU) внутри организации?

Можно выбрать нужные аккаунты внутри организации или отфильтровать их по OU.

Как контролировать разрешения пользователей, когда они используют доступ к своему аккаунту по технологии SSO?

При предоставлении доступа по технологии SSO можно ограничить разрешения пользователей, выбрав набор разрешений. Набор разрешений – это группа разрешений, которую можно создать в AWS SSO по образцу политик для должностных обязанностей, управляемых AWS, или любых других управляемых политик AWS. Управляемые политики AWS для должностных обязанностей предназначены для максимального соответствия распространенным должностным обязанностям в ИТ-отрасли. При необходимости можно полностью перенастроить набор разрешений, чтобы соответствовать требованиям безопасности. AWS SSO автоматически применяет эти разрешения к выбранным аккаунтам. После настройки AWS SSO позволяет легко применять наборы разрешений к соответствующим аккаунтам. Когда пользователи получают доступ к аккаунтам через пользовательский портал AWS SSO, эти ограничения задают рамки действий пользователей в аккаунтах. Можно предоставить пользователям несколько наборов разрешений. Тогда при доступе к аккаунтам через пользовательский портал пользователи смогут выбрать, какой набор разрешений использовать для текущей сессии.

Для каких аккаунтов AWS можно получить данные для доступа к интерфейсу командной строки AWS?

Данные для доступа к интерфейсу командной строки (CLI) AWS можно получить для любых аккаунтов AWS и разрешений пользователя, назначенных администратором AWS SSO. Эти данные для доступа к CLI могут использоваться для программного доступа к аккаунту AWS.

В течение какого времени действительны данные для доступа к CLI AWS, полученные через пользовательский портал AWS SSO?

Данные для доступа к AWS CLI, полученные через пользовательский портал AWS SSO, действительны в течение 60 минут. Новый набор данных для доступа можно запросить без ограничений, как только потребуется.

Доступ к бизнес-приложениям по технологии SSO

Как настроить доступ по технологии SSO к бизнес-приложениям (например, Salesforce)?

Перейдите из консоли AWS SSO к панели приложений, выберите пункт Configure new application (Настроить новое приложение) и выберите приложение из списка облачных приложений, заранее интегрированных с AWS SSO. Следуйте инструкциям на экране, чтобы настроить приложение. Как только приложение настроено, к нему можно предоставлять доступ. Выберите группы или пользователей, которым нужно предоставить доступ к приложению, затем выберите пункт Assign Access (Предоставить доступ) для завершения процесса.

В компании используются бизнес-приложения, которые отсутствуют в списке заранее интегрированных с AWS SSO приложений. Могу ли я использовать AWS SSO? 

Да. Если приложение поддерживает SAML 2.0, его можно настроить как специальное приложение SAML 2.0. Перейдите из консоли AWS SSO к панели приложений, выберите пункт Configure new application (Настроить новое приложение), затем пункт Custom SAML 2.0 application (Специальное приложение SAML 2.0). Следуйте инструкциям, чтобы настроить приложение. Как только приложение настроено, к нему можно предоставлять доступ. Выберите группы или пользователей, которым нужно предоставить доступ к приложению, затем выберите пункт Assign Access (Предоставить доступ) для завершения процесса.

Приложение поддерживает только OpenID Connect (OIDC). Можно ли настроить доступ к нему по технологии SSO с помощью AWS SSO?

AWS SSO поддерживает только приложения на основе SAML 2.0.

Поддерживает ли AWS SSO технологию единого входа для встроенных мобильных приложений и приложений рабочего стола?

Нет. AWS SSO поддерживает только технологию единого входа в бизнес-приложения через веб-браузеры. 

Разное

Какие данные клиента сохраняет AWS SSO?

AWS SSO сохраняет данные о назначении аккаунтов AWS и облачных приложений пользователям и группам, а также о том, какие разрешения предоставлены для доступа к аккаунтам AWS. AWS SSO создает роли IAM и управляет ими в отдельных аккаунтах AWS для каждого набора разрешений, предоставленных пользователям.

Поддерживает ли AWS SSO многофакторную аутентификацию (MFA)?

Да. От пользователей можно требовать предоставление дополнительной информации для входа в AWS SSO, если использовать сервер сервиса удаленной аутентификации пользователей (RADIUS) и настроить сервер RADIUS для работы с Active Directory или AD Connector.

Как сотрудникам компании начать работу с AWS SSO?

Для начала работы с AWS SSO сотрудникам нужно перейти в пользовательский портал AWS SSO, который создается при подключении каталога к AWS SSO. Там они могут авторизоваться с именем пользователя и паролем Active Directory, а затем просмотреть доступные им аккаунты и приложения. Для доступа к аккаунту или приложению сотруднику необходимо выбрать соответствующий значок в пользовательском портале AWS SSO.

Для AWS SSO доступен API?

Нет. Для выполнения всех необходимых операций можно использовать консоль AWS SSO.

Я заинтересован в добавлении своего бизнес-приложения в качестве встроенной интеграции в AWS SSO. Как получить дополнительную информацию?

Для получения дополнительной информации свяжитесь с нами по электронной почте.

Готовы начать работу?

Регистрация в AWS Single Sign-On
Есть вопросы?
Свяжитесь с нами