Подробности

Сервис AWS Single Sign-On (SSO) позволяет централизованно управлять доступом ко множеству аккаунтов AWS и бизнес-приложений. Также этот сервис обеспечивает пользователям доступ с единым входом ко всем закрепленным за ними аккаунтам и приложениям. AWS SSO упрощает централизованное управление доступом и разрешениями пользователей для всех аккаунтов в AWS Organizations по технологии SSO. SSO настраивает и обслуживает все необходимые разрешения для ваших аккаунтов автоматически без дополнительной настройки отдельных аккаунтов. Пользовательские разрешения можно задавать на основе общих должностных обязанностей, а затем дополнительно настраивать в соответствии с конкретными требованиями безопасности. AWS SSO обеспечивает также встроенную поддержку интеграции со многими бизнес-приложениями (например, Salesforce, Box и Office 365).

На портале AWS SSO вы можете создавать пользовательские удостоверения и управлять ими, а также легко подключаться к уже существующим источникам удостоверений, например Microsoft Active Directory и Azure Active Directory (Azure AD).

Начать работу с AWS SSO совсем не сложно. Всего несколько кликов мышкой в консоли управления AWS SSO – и вы сможете подключить уже существующие источники удостоверений и предоставить пользователям доступ к их аккаунтам в AWS Organizations, а также к сотням предварительно настроенных облачных приложений. И все это доступно в одном портале.

Возможности управления

Интеграция с AWS Organizations

AWS SSO интегрирован с AWS Organizations, что позволяет выбрать один или несколько аккаунтов из организации и предоставить пользователям доступ к ним. Дополнительная настройка отдельных аккаунтов не требуется. С помощью нескольких щелчков мышью можно предоставить пользователям доступ ко всем аккаунтам AWS, которые используются приложением или группой.

Integrated with AWS Organizations

Управление доступом ко множеству аккаунтов AWS по технологии SSO

С помощью AWS Single Sign-On (SSO) можно централизованно управлять доступом по технологии SSO ко множеству аккаунтов AWS. При входе в индивидуально настроенные пользовательские порталы пользователи увидят все закрепленные за ними роли в аккаунтах AWS в едином представлении.

Manage SSO access for multiple AWS accounts

Централизованное управление разрешениями для пользователей

С помощью AWS SSO в аккаунтах AWS можно централизованно управлять разрешениями ресурсов AWS для пользователей, когда они получают доступ к консоли управления AWS через пользовательский портал. Различные пользовательские разрешения можно назначать на основе общих должностных обязанностей, а затем настраивать дополнительно в соответствии с конкретными требованиями. К примеру, разработчикам можно предоставить полные административные разрешения для аккаунтов среды тестирования, а к рабочим аккаунтам предоставить разрешения для конкретных обязанностей (например, администратор базы данных или сети).

aws_sso_permission_sets

Создание пользователей и управление ими в AWS SSO

По умолчанию AWS SSO предоставляет каталог, который можно использовать для создания пользователей и их распределения по группам в AWS SSO. Создать пользователей в AWS SSO можно путем настройки адреса электронной почты и имени. По умолчанию при создании пользователя сервис AWS SSO отправляет на электронный адрес этого пользователя письмо, чтобы он мог задать себе пароль. За считанные минуты можно предоставить пользователям и группам разрешения на ресурсы AWS во всех ваших аккаунтах AWS, а также во многих бизнес‑приложениях. Пользователи смогут входить на пользовательский портал с помощью данных для доступа, которые они настроили в AWS SSO, и обращаться ко всем назначенным аккаунтам и приложениям из единого центра.

create and manage users in AWS SSO

Интеграция с Microsoft Active Directory

С помощью AWS SSO можно управлять доступом по технологии SSO к аккаунтам и приложениям, используя существующие корпоративные удостоверения Microsoft Active Directory Domain Services (AD DS). AWS SSO интегрируется с AD DS через AWS Directory Service и позволяет предоставлять доступ к аккаунтам и приложениям по технологии SSO путем добавления пользователей в соответствующие группы AD. Например, можно создать группу для команды разработчиков, работающих над приложением, и предоставить ей доступ к аккаунтам AWS, связанным с этим приложением. Когда к проекту присоединятся новые разработчики, их можно добавить в группу AD, и они автоматически получат доступ ко всем связанным аккаунтам AWS.

Microsoft Active Directory integration

Подключение и автоматическая настройка удостоверений от поставщиков со стандартизированным протоколом

AWS SSO можно подключить к Azure AD с помощью языка разметки декларации безопасности (Security Assertion Markup Language, SAML) 2.0, чтобы ваши пользователи могли войти с существующими учетными данными. Кроме того, сервис также интегрирован с системой управления междоменными удостоверениями (System for Cross-domain Identity Management, SCIM) для автоматизации подготовки удостоверений. Если вы управляете удостоверениями пользователей в Azure AD, можно быстро перенести их в AWS и централизованно управлять доступом ко всем аккаунтам AWS и бизнес-приложениям.

support for SAML 2.0 and SCIM1

Отслеживание действий SSO во всех приложениях и аккаунтах AWS

Все административные и SSO-действия записываются в AWS CloudTrail, что позволяет централизованно отслеживать SSO-действия и получать наглядную статистику. С помощью CloudTrail можно просматривать попытки авторизации, назначения приложений и изменения в интеграции каталога. К примеру, можно просматривать приложения, к которым пользователь получал доступ в заданный период времени, или выяснять, когда пользователь получил доступ к конкретному приложению по технологии SSO.

Высокодоступная управляемая инфраструктура

AWS SSO основан на высокодоступной инфраструктуре SSO под управлением AWS. По мере роста и добавления новой интеграции SSO клиентам не приходится развертывать дополнительные прокси-серверы, веб-серверы, серверы федерации, а затем обслуживать их. Ведь с помощью консоли AWS SSO можно легко создать новую интеграцию SSO с бизнес-приложениями.

Функции для конечных пользователей

Пользовательский портал

С помощью AWS SSO пользователи могут получить централизованный доступ ко всем закрепленным за ними аккаунтам и приложениям. Пользователи могут войти в индивидуально настроенный пользовательский портал с имеющимися корпоративными данными для доступа и получить доступ ко всем закрепленным за ними аккаунтам и приложениям с помощью одного щелчка мышью. Пользовательский портал облегчает развертывание доступа к новым приложениям, помогая пользователям видеть их в пользовательском портале.

aws_sso_user_portal

Поддержка браузеров, командной строки и мобильных интерфейсов

Пользователи могут войти в систему, используя свои существующие корпоративные учетные данные, через интерфейс командной строки AWS и автоматически получить краткосрочный доступ к управлению учетными данными. После входа разработчики могут видеть назначенные им аккаунты и роли AWS SSO, а также создавать профили, позволяющие переключаться между ролями и аккаунтами в одной команде. Приложение AWS Mobile Console также интегрируется с AWS SSO, поэтому вы можете одинаково входить в систему через браузер, мобильные устройства и интерфейсы командной строки.

Встроенная интеграция SSO с бизнес-приложениями

AWS SSO предлагает встроенную интеграцию SSO со многими бизнес-приложениями (например, Salesforce, Box и Office 365). Следуя пошаговым инструкциям, можно легко настроить доступ к этим приложениям по технологии SSO. AWS SSO поможет ввести требуемые URL-адреса, сертификаты и метаданные.

aws_sso_3p_apps

Мастер настройки приложений, поддерживающих SAML

С помощью мастера настройки приложений AWS SSO можно создать интеграцию единого входа в систему (SSO) для приложений, поддерживающих язык разметки декларации безопасности (SAML) 2.0. Мастер настройки приложений помогает выбрать и представить в требуемом виде информацию для отправки приложениям, чтобы задействовать доступ по технологии SSO. Например, можно создать атрибут SAML для имени пользователя и задать формат для атрибута на основе адреса электронной почты пользователя из профиля AD.

aws_sso_custom_saml_app

Начать работу с AWS Single Sign-On

Перейти на страницу начала работы
Готовы начать?
Регистрация
Есть вопросы?
Свяжитесь с нами