Подробности

Сервис AWS Single Sign-On (SSO) позволяет централизованно управлять доступом ко множеству аккаунтов AWS и бизнес-приложений. Также этот сервис обеспечивает пользователям доступ с единым входом ко всем закрепленным за ними аккаунтам и приложениям. AWS SSO упрощает централизованное управление доступом и разрешениями пользователей для всех аккаунтов в AWS Organizations. SSO настраивает и обслуживает все необходимые разрешения для ваших аккаунтов автоматически без дополнительной настройки отдельных аккаунтов. Пользовательские разрешения можно задавать на основе общих должностных обязанностей, а затем дополнительно настраивать в соответствии с конкретными требованиями безопасности. AWS SSO обеспечивает также встроенную поддержку интеграции со многими бизнес-приложениями (например, Salesforce, Box и Microsoft 365).

На портале AWS SSO вы можете создавать пользовательские удостоверения и управлять ими, а также легко подключаться к уже существующим источникам удостоверений, например Microsoft Active Directory, Okta Universal Directory и Azure Active Directory (Azure AD). AWS SSO позволяет выбирать атрибуты пользователя, например центр расходов, должность или язык, на основании источника идентификационных данных, а затем использовать их для управления доступом к AWS на основе атрибутов.

Начать работу с AWS SSO совсем не сложно. Всего несколько кликов мышкой в консоли управления AWS SSO – и вы сможете подключить уже существующие источники удостоверений и предоставить пользователям доступ к их аккаунтам в AWS Organizations, а также к сотням предварительно настроенных облачных приложений. И все это доступно в одном портале.

Возможности управления

Интеграция с AWS Organizations

AWS SSO интегрирован с AWS Organizations, что позволяет выбрать один или несколько аккаунтов из организации и предоставить пользователям доступ к ним. AWS SSO основывается на ролях и политиках AWS Identity and Access Management (IAM), благодаря чему вы сможете централизованно управлять доступом во всех аккаунтах AWS своей организации. Дополнительная настройка отдельных аккаунтов не требуется. С помощью нескольких щелчков мышью можно предоставить пользователям доступ ко всем аккаунтам AWS, которые используются приложением или группой.

Управление доступом ко множеству аккаунтов AWS по технологии SSO

С помощью AWS Single Sign-On (SSO) можно централизованно управлять доступом по технологии SSO ко множеству аккаунтов AWS. При входе в индивидуально настроенные пользовательские порталы пользователи увидят все закрепленные за ними роли в аккаунтах AWS в едином представлении.

Контроль доступа на основе атрибутов

AWS SSO упрощает процесс создания и использования точных разрешений для своих рабочих ресурсов на основе атрибутов пользователей, определенных в источнике удостоверений AWS SSO. AWS SSO позволяет выбирать несколько атрибутов, например центр расходов, должность или язык, а затем использовать их для контроля доступом на основе атрибутов (ABAC), чтобы упростить и централизовать управление доступом. Вы можете однажды определить разрешения для всей организации AWS, после чего доступ можно предоставлять, отзывать и изменять, просто изменяя атрибуты в источнике удостоверений.

Создание пользователей и управление ими в AWS SSO

По умолчанию AWS SSO предоставляет каталог, который можно использовать для создания пользователей и их распределения по группам в AWS SSO. Создать пользователей в AWS SSO можно путем настройки адреса электронной почты и имени. По умолчанию при создании пользователя сервис AWS SSO отправляет на электронный адрес этого пользователя письмо, чтобы он мог задать себе пароль. За считанные минуты можно предоставить пользователям и группам разрешения на ресурсы AWS во всех ваших аккаунтах AWS, а также во многих бизнес‑приложениях. Пользователи смогут входить на пользовательский портал с помощью данных для доступа, которые они настроили в AWS SSO, и обращаться ко всем назначенным аккаунтам и приложениям из единого центра.

Интеграция с Microsoft Active Directory

С помощью AWS SSO можно управлять доступом по технологии SSO к аккаунтам и приложениям, используя существующие корпоративные удостоверения Microsoft Active Directory Domain Services (AD DS). AWS SSO интегрируется с AD DS через AWS Directory Service и позволяет предоставлять доступ к аккаунтам и приложениям путем добавления пользователей в соответствующие группы AD. Например, можно создать группу для команды разработчиков, работающих над приложением, и предоставить ей доступ к аккаунтам AWS, связанным с этим приложением. Когда к проекту присоединятся новые разработчики, их можно добавить в группу AD, и они автоматически получат доступ ко всем связанным аккаунтам AWS. AWS SSO также позволяет выбирать несколько атрибутов, например центр расходов, должность или язык, из AD, а затем использовать их для контроля доступом на основе атрибутов (ABAC), чтобы упростить и централизовать управление доступом.

Подключение и автоматическая настройка удостоверений от поставщиков со стандартизированным протоколом

AWS SSO можно подключить к Okta Universal Directory, Azure AD или другому поддерживаемому поставщику удостоверений (IdP) с помощью языка разметки декларации безопасности (Security Assertion Markup Language, SAML) версии 2.0, чтобы ваши пользователи могли использовать для входа существующие учетные данные. Кроме того, AWS SSO также интегрирован с системой управления междоменными удостоверениями (System for Cross-domain Identity Management, SCIM) для автоматизации подготовки удостоверений. Вы можете управлять удостоверениями пользователей в поставщике удостоверений, быстро переносить их в AWS и централизованно управлять доступом ко всем аккаунтам AWS и бизнес-приложениям. AWS SSO также позволяет выбирать несколько атрибутов, например центр расходов, должность или язык, из Okta Universal Directory, а затем использовать их для контроля доступом на основе атрибутов (ABAC), чтобы упростить и централизовать управление доступом.

Многофакторная аутентификация

С помощью AWS SSO вы также можете использовать возможности строгой аутентификации на основе стандартов для всех своих пользователей во всех источниках удостоверений. Если вы используете источник удостоверений с поддержкой SAML 2.0 IdP, вы можете включить многофакторную аутентификацию (MFA), предоставляемую вашим поставщиком. Используя Active Directory или AWS SSO в качестве источника удостоверений, AWS SSO поддерживает спецификацию веб-аутентификации, что обеспечивает возможность защиты доступа пользователей к аккаунтам AWS и бизнес-приложениям с помощью ключей безопасности с поддержкой FIDO, например YubiKey, и встроенных средств биометрической аутентификации, например Touch ID на устройствах MacBook от Apple и распознавание лица на ПК. Вы также можете воспользоваться приложением для аутентификации, например Google Authenticator или Twilio Authy, чтобы включить использование одноразовых паролей (TOTP). AWS SSO позволяет включить MFA для всех своих пользователей, включая требование, по условиям которого пользователи должны настраивать устройства MFA во время входа.

Отслеживание действий SSO во всех приложениях и аккаунтах AWS

Все административные и SSO-действия записываются в AWS CloudTrail, что позволяет централизованно отслеживать SSO-действия и получать наглядную статистику. С помощью CloudTrail можно просматривать попытки авторизации, назначения приложений и изменения в интеграции каталога. К примеру, можно просматривать приложения, к которым пользователь получал доступ в заданный период времени, или выяснять, когда пользователь получил доступ к конкретному приложению по технологии SSO.

Высокодоступная управляемая инфраструктура

AWS SSO основан на высокодоступной инфраструктуре под управлением AWS. По мере роста бизнеса и добавления новых приложений клиентам не придется развертывать и обслуживать дополнительные прокси-серверы, веб-серверы, серверы федерации. Ведь с помощью консоли AWS SSO можно легко создать новую интеграцию с бизнес-приложениями.

Функции для конечных пользователей

Пользовательский портал

С помощью AWS SSO пользователи могут получить централизованный доступ ко всем закрепленным за ними аккаунтам и приложениям. Пользователи могут войти в индивидуально настроенный пользовательский портал с имеющимися корпоративными учетными данными и получить доступ ко всем закрепленным за ними аккаунтам и приложениям буквально одним щелчком мыши. Пользовательский портал облегчает развертывание доступа к новым приложениям, помогая пользователям находить их на пользовательском портале.

Поддержка браузеров, командной строки и мобильных интерфейсов

Когда пользователи выполняют вход с помощью интерфейса командной строки AWS (CLI), они могут использовать существующие корпоративные учетные данные, что обеспечит единообразное взаимодействие и преимущества быстрого автоматизированного управления учетными данными. После входа разработчики могут видеть назначенные им аккаунты и роли AWS SSO, а также создавать профили, позволяющие переключаться между ролями и аккаунтами в одной команде. Приложение AWS Mobile Console также поддерживает AWS SSO, поэтому вы можете одинаково входить в систему через браузер, мобильные устройства и интерфейсы командной строки.

Встроенная интеграция SSO с бизнес-приложениями

AWS SSO предлагает встроенную интеграцию SSO со многими бизнес-приложениями (например, Salesforce, Box и Microsoft 365). Следуя пошаговым инструкциям, можно легко настроить доступ к этим приложениям по технологии SSO. AWS SSO поможет ввести требуемые URL-адреса, сертификаты и метаданные. Полный список бизнес-приложений, интегрированных с AWS SSO, см. на странице облачных приложений AWS SSO.

Мастер настройки приложений, поддерживающих SAML

С помощью мастера настройки приложений AWS SSO можно создать интеграцию единого входа в систему для приложений, поддерживающих язык разметки декларации безопасности (SAML) 2.0. Мастер настройки приложений помогает выбрать и представить в требуемом виде информацию для отправки приложениям, чтобы задействовать доступ по технологии SSO. Например, можно создать атрибут SAML для имени пользователя и задать формат для атрибута на основе адреса электронной почты пользователя из профиля AD.

Начать работу с AWS Single Sign-On

Перейти на страницу начала работы
Готовы начать?
Регистрация
Есть вопросы?
Свяжитесь с нами