AWS Single Sign-On (AWS SSO) 是您在 AWS 中建立或連線您的人力身分,並集中管理整個 AWS 組織之存取權的地方。您可以選擇僅管理對您的 AWS 帳戶或雲端應用程式的存取。您可以直接在 AWS SSO 中建立使用者身分,或者從 Microsoft Active Directory 或以標準為基礎的身分供應商 (例如 Okta Universal Directory 或 Azure AD) 中建立使用者身分。藉助 AWS SSO,您可以獲得統一的管理體驗,以定義、自訂和指派精細的存取權。您的人力使用者將獲得一個使用者入口網站,以存取其指派的所有 AWS 帳戶、Amazon EC2 Windows 執行個體或雲端應用程式。AWS SSO 可以靈活地設定為透過 AWS IAM 與 AWS 帳戶存取管理一起執行或將其取代。
AWS SSO 簡單易用好上手。只需在管理主控台中按幾下,您就可以將 AWS SSO 連線至您的現有身分來源並設定許可,以授予使用者存取為其指派的 AWS 帳戶、雲端應用程式和其他您新增至 AWS SSO 的 SAML 型應用程式。
優勢
建立或連線身分的集中地
您可以選擇在 AWS SSO 中建立使用者身分和群組。或者,您可以從 Microsoft Active Directory 網域服務、Okta Universal Directory、Azure AD 或其他標準型身分提供商連線至現有使用者和群組。在其他案例中,您可以在任何地方對使用者進行管理和身份驗證,AWS SSO 可以授權存取 AWS 帳戶、雲端應用程式和其他您新增至 AWS SSO 的 SAML 型應用程式。
管理從一個地方對多個 AWS 帳戶的存取
使用 AWS Organizations 整合,AWS SSO 讓您可以管理多個帳戶的存取權,無需在個別帳戶中進行額外設定。您可以根據一般的工作職責指派使用者許可,對其進行自訂以滿足您的特定安全要求,並為其指派更精細的許可以便在特定帳戶內進行所需的存取。AWS SSO 也可讓您使用使用者屬性 (例如成本中心、職稱或地區設定) 實施基於屬性的存取控制 (ABAC)。
管理對雲端應用程式的存取
使用 AWS Single Sign-On,您可以輕鬆控制人員對雲端應用程式的存取。您的使用者可以使用其目錄憑證登入其 AWS SSO Web 使用者入口網站,按一下即可存取其指派的應用程式,如 Amazon SageMaker Studio、AWS Systems Manager Change Manager 以及包括 Salesforce、Box 和 Microsoft 365 在內的標準型雲端應用程式。
運作方式

使用案例
啟用 AWS 帳戶的單一登入存取
您的使用者可以將其單一登入存取的目錄憑證用於多個 AWS 帳戶。其個人化 Web 使用者入口網站顯示了其在一個地方的 AWS 帳戶中指派的角色。使用者還可以使用其目錄憑證透過 AWS 命令列界面 (CLI)、AWS 開發套件或行動主控台應用程式進行單一登入,取得一致的身份驗證體驗。
啟用整合應用程式的存取
AWS SSO 與 Amazon SageMaker Studio、AWS Systems Manager Change Manager 和 AWS IoT SiteWise 等應用程式整合,取得無需任何組態的身份驗證和授權。這些整合的應用程式共用應用程式內的所有資源共享和共同作業之使用者和群組的一致檢視。
啟用雲端應用程式的單一登入存取
您可以使用 AWS SSO 應用程式組態精靈,輕鬆設定對支援安全聲明標記語言 (SAML 2.0) 之應用程式的單一登入存取。
AWS SSO 也可以提供許多雲端應用程式 (包括 Salesforce、Box 和 Microsoft 365) 的預先設定。
特色客戶

Invenia 是一個以雲端為基礎的機器學習平台,其使用大型、高頻率使用的資料來即時解決複雜的能源智慧問題。作為一家基於雲端的企業,我們廣泛依賴 AWS 和一系列基於 SaaS 的應用程式,但不喜歡與管理如此多獨立系統的使用者登入資料相關聯的安全性和合規風險。部署 AWS SSO 可讓我們提供對這些類似應用程式的存取,但是使用我們現有的企業登入資料,且省卻管理傳統 SSO 解決方案的任何煩惱 - 非常出色!
- Invenia 架構與操作部主管,Sascha McDonald

Syncron 是基於雲端的售後服務解決方案提供者,專注於讓世界領先的製造商最大化產品運作時間,並提偶能夠優異的客戶體驗。身為基於雲端的企業,我們非常在意使用者對獨特登入資料不堪重負所產生的生產力干擾和安全性挑戰。藉由 AWS SSO,我們能夠快速且輕鬆地使用使用者的一般企業登入資料將其連接至 AWS,從而讓我們能夠專注於繼續為客戶提供出色的服務,而無需在我們的 AWS 多帳戶結構中管理使用者登入資料的生命週期。
- Syncron 技術長 Richard Barkestam
特色安全能力合作夥伴
AWS 能力計劃旨在透過嫻熟的 AWS 技術專業知識和可靠的客戶成功經驗來識別、驗證和推廣 AWS Partner Network (APN) 進階和核心合作夥伴。若要進一步了解,請參閱 AWS 能力計劃。
內建支援 AWS 帳戶和商業應用程式
AWS SSO 可協助管理對您 AWS 帳戶和商業應用程式的存取。如需與 AWS SSO 預先整合的商業應用程式的完整清單,請參閱 AWS SSO 雲端應用程式。









