Общие вопросы

Что такое AWS Single Sign-On (AWS SSO)?

AWS SSO – это сервис AWS, который позволяет использовать существующие учетные данные Microsoft Active Directory для доступа к облачным приложениям, например к аккаунтам AWS и бизнес-приложениям (Office 365, Salesforce, Box), с помощью технологии единого входа (SSO).

Каковы преимущества использования сервиса AWS SSO?

AWS SSO можно использовать, чтобы просто и быстро обеспечить доступ сотрудников к нескольким аккаунтам AWS, облачным приложениям, поддерживающим SAML (например, Salesforce, Office 365 и Box), приложениям собственной разработки, а затем централизованно управлять этим доступом. Сотрудники могут работать эффективнее, используя существующие корпоративные учетные данные Active Directory или учетные данные, настроенные в AWS SSO, для доступа к приложениям из индивидуально настроенного пользовательского портала. Сотрудникам не придется запоминать множество учетных данных и URL-адресов для доступа к облачным приложениям, а новые сотрудники с первого дня смогут эффективно включаться в работу. После добавления пользователей в соответствующую группу в каталоге они автоматически получают доступ к аккаунтам и приложениям, доступным для участников этой группы. Сервис улучшает контроль над использованием облачных приложений, так как позволяет централизованно выполнять мониторинг и аудит авторизации с использованием AWS CloudTrail.

Какие проблемы решает AWS SSO?

AWS SSO избавляет от административных сложностей использования собственного SSO-решения по созданию данных для доступа к нескольким аккаунтам AWS и бизнес-приложениям. При использовании нескольких аккаунтов AWS и постоянном добавлении новых аккаунтов настройка SSO с помощью Active Directory Federation Services (AD FS) для доступа к этим аккаунтам потребует изучения специального языка для программирования заявлений AD FS. Необходимо будет подготавливать аккаунты AWS с требуемыми разрешениями для доступа к ним. Сервис AWS SSO, за использование которого не взимается дополнительная плата, облегчает действия по повторяющейся настройке и разрозненному управлению путем тесной интеграции с AWS. При использовании отдельных паролей для доступа к различным аккаунтам AWS и облачным приложениям AWS SSO упрощает работу пользователей и усиливает безопасность, устраняя необходимость в отдельных паролях для каждого аккаунта AWS или облачного бизнес-приложения. AWS SSO решает проблему ограниченной наглядности доступа к облачным приложениям за счет интеграции с AWS CloudTrail и предоставляя единый центр для аудита доступа по технологии SSO к аккаунтам AWS, а также облачным приложениям, поддерживающим SAML (например, Office 365, Salesforce и Box).

В каких случаях рекомендуется использовать AWS SSO?

AWS SSO рекомендуется использовать для быстрого повышения эффективности сотрудников за счет предоставления им доступа к аккаунтам AWS и облачным бизнес-приложениям. При этом не требуется создавать специальные скрипты или инвестировать средства в стандартные SSO-решения. AWS SSO рекомендуется также использовать для снижения административной сложности и стоимости настройки и обслуживания доступа по технологии SSO.

AWS SSO – это стартовая точка, откуда сотрудники с помощью пользовательского портала AWS SSO могут получить доступ к аккаунтам AWS и необходимым приложениям для работы, независимо от того, где именно разработаны и размещены эти приложения.

Какие задачи позволяет решить AWS SSO?

AWS SSO можно использовать, чтобы просто и быстро предоставить сотрудникам доступ к нескольким аккаунтам AWS, управляемым с помощью AWS Organizations, облачным бизнес-приложениям (например, Salesforce, Office 365 и Box) и собственным приложениям, поддерживающим язык разметки декларации безопасности (SAML) 2.0. Сотрудники могут использовать существующие корпоративные учетные данные или учетные данные, настроенные в AWS SSO, для доступа к бизнес-приложениям из единого пользовательского портала. AWS SSO позволяет осуществлять аудит доступа пользователей к облачным сервисам с помощью AWS CloudTrail.

Кому рекомендуется использовать AWS SSO?

AWS SSO предназначен для администраторов, которые управляют несколькими аккаунтами AWS и бизнес-приложениями и хотят организовать централизованный доступ пользователей к этим облачным сервисам, а также предоставить сотрудникам единый центр для доступа к аккаунтам и приложениям без необходимости запоминать дополнительный пароль.

Как начать использовать AWS SSO?

Новому клиенту AWS SSO необходимо выполнить указанные ниже действия.

  1. Войти в Консоль управления AWS своего основного аккаунта AWS и перейти в консоль AWS SSO.
  2. Выбрать каталог, используемый для хранения удостоверений пользователей и групп на консоли AWS SSO. По умолчанию AWS SSO предоставляет каталог, который можно использовать для управления пользователями и группами в AWS SSO. Вы также можете сменить каталог и подключиться к каталогу Microsoft AD, просмотрев список инстансов Managed Microsoft AD и AD Connector, которые AWS SSO автоматически обнаруживает в вашем аккаунте. Если вы хотите подключиться к каталогу Microsoft AD, см. раздел Начало работы с AWS Directory Service.
  3. Предоставить пользователям доступ по технологии SSO к аккаунтам AWS организации: выбрать аккаунты из списка, заполненного AWS SSO, а затем выбрать пользователей или группы из каталога и установить для них нужные разрешения. 
  4. Предоставить пользователям доступ к облачным бизнес-приложениям следующим образом.
    1. Выбрать одно приложение из списка заранее интегрированных приложений, поддерживаемых в AWS SSO.
    2. Настроить приложение согласно инструкциям по настройке.
    3. Выбрать пользователей или группы, у которых должен быть доступ к этому приложению.
  5. Предоставить пользователям интернет-адрес для входа в AWS SSO, созданный при настройке каталога. Пользователи смогут выполнять вход в AWS SSO и получать доступ к аккаунтам и бизнес-приложениям.

Сколько стоит использование AWS SSO?

Дополнительная плата за использование сервиса AWS SSO не взимается.

В каких регионах AWS доступен сервис AWS SSO?

Сведения о доступности AWS SSO по регионам см. в таблице регионов AWS.

Поддержка каталогов и приложений

Какие каталоги можно использовать совместно с AWS SSO?

Для создания пользователей в AWS SSO и управления ими можно использовать каталог, предложенный AWS SSO по умолчанию. AWS SSO можно также подключить к каталогу Microsoft Active Directory, работающему локально или в облаке AWS. AWS SSO поддерживает AWS Directory Service для Microsoft Active Directory, также известный как AWS Managed Microsoft AD, и AD Connector. AWS SSO не поддерживает Simple AD. Дополнительные сведения см. в разделе Начало работы с AWS Directory Service.

Можно ли использовать пулы пользователей Amazon Cognito в качестве подключенного каталога в AWS SSO?

В настоящий момент нет. На сегодняшний день AWS SSO поддерживает создание пользователей и управление ими в AWS SSO или подключение к Microsoft Active Directory. Другие типы каталогов могут быть добавлены в будущем на основании отзывов и заинтересованности пользователей.

Какие облачные приложения можно подключить к AWS SSO?

К AWS SSO можно подключить указанные ниже приложения.

  1. Консоль управления AWS. К Консоли управления AWS можно настроить доступ по технологии SSO.
  2. Сторонние SaaS-приложения. AWS SSO обеспечивает встроенную интеграцию распространенных бизнес-приложений. Подробный список см. в консоли AWS SSO.
  3. Специальные приложения, поддерживающие SAML. AWS SSO поддерживает приложения, позволяющие вход с использованием федерации удостоверений посредством SAML 2.0. Для приложений, которые не были заранее интегрированы с AWS SSO, можно настроить доступ по технологии SSO с помощью специального мастера настройки приложений AWS SSO.

Я управляю пользователями и группами в Active Directory локально. Как подключить мой каталог к AWS SSO?

Для подключения локальной версии Active Directory к AWS SSO существует два варианта: (1) использовать доверенный канал AWS Managed Microsoft AD, (2) использовать AD Connector.

AWS Managed Microsoft AD создает полностью управляемую Active Directory в облаке AWS. Ее можно использовать для настройки леса доверенных каналов между локальным каталогом и AWS Managed Microsoft AD. Дополнительные сведения о настройке доверенного канала см. в разделе Когда необходимо создать доверенный канал.

AD Connector – это шлюз, позволяющий перенаправлять запросы к каталогу в адрес локального развертывания Microsoft Active Directory, без кэширования информации в облаке. Дополнительные сведения о подключении локального каталога с помощью AD Connector см. в разделе AD Connector.

Я управляю пользователями и группами в AWS Identity and Access Management (IAM). Могу ли я подключить свой каталог к AWS SSO?

В настоящее время AWS SSO не поддерживает пользователей и группы AWS IAM.

Можно подключить к AWS SSO несколько каталогов?

Нет. В любой момент времени к AWS SSO может быть подключено не более одного каталога. Однако можно сменить один подключенный каталог на другой.

Доступ к аккаунтам AWS по технологии SSO

Какие аккаунты AWS можно подключить к AWS SSO?

К AWS SSO можно подключить любые аккаунты AWS, управляемые с помощью AWS Organizations. Чтобы предоставить доступ к аккаунту по технологии SSO, необходимо включить все возможности в организации.

Как настроить доступ по технологии SSO к аккаунтам AWS в организационной единице (OU) внутри организации?

Можно выбрать нужные аккаунты внутри организации или отфильтровать их по OU.

Как контролировать разрешения пользователей, когда они используют доступ к своему аккаунту по технологии SSO?

При предоставлении доступа по технологии SSO можно ограничить разрешения пользователей, выбрав набор разрешений. Набор разрешений – это группа разрешений, которую можно создать в AWS SSO по образцу политик для должностных обязанностей, управляемых AWS, или любых других управляемых политик AWS. Управляемые политики AWS для должностных обязанностей предназначены для максимального соответствия распространенным должностным обязанностям в ИТ-отрасли. При необходимости можно полностью перенастроить набор разрешений, чтобы соответствовать требованиям безопасности. AWS SSO автоматически применяет эти разрешения к выбранным аккаунтам. После настройки AWS SSO позволяет легко применять наборы разрешений к соответствующим аккаунтам. Когда пользователи получают доступ к аккаунтам через пользовательский портал AWS SSO, эти ограничения задают рамки действий пользователей в аккаунтах. Можно предоставить пользователям несколько наборов разрешений. Тогда при доступе к аккаунтам через пользовательский портал пользователи смогут выбрать, какой набор разрешений использовать для текущей сессии.

Для каких аккаунтов AWS можно получить данные для доступа к интерфейсу командной строки AWS?

Данные для доступа к интерфейсу командной строки (CLI) AWS можно получить для любых аккаунтов AWS и разрешений пользователя, назначенных администратором AWS SSO. Эти данные для доступа к CLI могут использоваться для программного доступа к аккаунту AWS.

В течение какого времени действительны данные для доступа к CLI AWS, полученные через пользовательский портал AWS SSO?

Данные для доступа к AWS CLI, полученные через пользовательский портал AWS SSO, действительны в течение 60 минут. Новый набор данных для доступа можно запросить без ограничений, как только потребуется.

Доступ к бизнес-приложениям по технологии SSO

Как настроить доступ по технологии SSO к бизнес-приложениям (например, Salesforce)?

Перейдите из консоли AWS SSO к панели приложений, выберите пункт Configure new application (Настроить новое приложение) и выберите приложение из списка облачных приложений, заранее интегрированных с AWS SSO. Следуйте инструкциям на экране, чтобы настроить приложение. Как только приложение настроено, к нему можно предоставлять доступ. Выберите группы или пользователей, которым нужно предоставить доступ к приложению, затем выберите пункт Assign Access (Предоставить доступ) для завершения процесса.

В компании используются бизнес-приложения, которые отсутствуют в списке заранее интегрированных с AWS SSO приложений. Могу ли я использовать AWS SSO? 

Да. Если приложение поддерживает SAML 2.0, его можно настроить как специальное приложение SAML 2.0. Перейдите из консоли AWS SSO к панели приложений, выберите пункт Configure new application (Настроить новое приложение), затем пункт Custom SAML 2.0 application (Специальное приложение SAML 2.0). Следуйте инструкциям, чтобы настроить приложение. Как только приложение настроено, к нему можно предоставлять доступ. Выберите группы или пользователей, которым нужно предоставить доступ к приложению, затем выберите пункт Assign Access (Предоставить доступ) для завершения процесса.

Приложение поддерживает только OpenID Connect (OIDC). Можно ли настроить доступ к нему по технологии SSO с помощью AWS SSO?

AWS SSO поддерживает только приложения на основе SAML 2.0.

Поддерживает ли AWS SSO технологию единого входа для встроенных мобильных приложений и приложений рабочего стола?

Нет. AWS SSO поддерживает только технологию единого входа в бизнес-приложения через веб-браузеры. 

Разное

Какие данные клиента сохраняет AWS SSO?

AWS SSO сохраняет данные о назначении аккаунтов AWS и облачных приложений пользователям и группам, а также о том, какие разрешения предоставлены для доступа к аккаунтам AWS. AWS SSO создает роли IAM для каждого набора разрешений на доступ, созданного для пользователей, и управляет этими ролями в каждом аккаунте AWS.

Поддерживает ли AWS SSO многофакторную аутентификацию (MFA)?

Да. Сервис позволяет включить возможность использования многофакторной аутентификации на телефонах пользователей или сделать ее обязательной. Можно также требовать предоставления дополнительной информации для входа в AWS SSO, подключив сервер удаленной аутентификации пользователей (RADIUS) и настроив его для работы с Active Directory или AD Connector.

Как сотрудникам компании начать работу с AWS SSO?

Для начала работы с AWS SSO сотрудникам нужно перейти в пользовательский портал AWS SSO, который создается при настройке каталога в AWS SSO. Если вы управляете пользователями в AWS SSO, ваши сотрудники могут использовать адрес электронной почты и пароль, использованные при настройке AWS SSO, для входа в пользовательский портал. Если вы подключены к Microsoft Active Directory, ваши сотрудники могут выполнить вход в пользовательский портал с именем пользователя и паролем Active Directory, а затем просмотреть доступные им аккаунты и приложения. Для доступа к аккаунту или приложению сотруднику необходимо выбрать соответствующий значок в пользовательском портале AWS SSO.

Для AWS SSO доступен API?

Нет. Для выполнения всех необходимых операций можно использовать консоль AWS SSO.

Есть вопросы?
Свяжитесь с нами