一般問題

什麼是 AWS Single Sign-On (AWS SSO)?

AWS SSO 是一項 AWS 服務,讓您能夠輕鬆地集中管理對多個 AWS 帳戶和商業應用程式的存取,以及從一個位置以單一登入的方式存取指派給他們的所有帳戶和應用程式。有了 AWS SSO,您可以在 AWS Organizations 中集中管理所有帳戶的 SSO 存取及使用者許可,輕鬆便利。藉助 AWS SSO,您可以在 AWS SSO 的身份存放區中建立和管理使用者身份,或者輕鬆連線至您現有的身份來源,包括 Microsoft Active Directory、Okta Universal Directory 和 Azure Active Directory (Azure AD)。

AWS SSO 有哪些優點?

您可以使用 AWS SSO 從集中位置快速輕鬆地指派和管理員工對多個 AWS 帳戶、啟用 SAML 的雲端應用程式 (例如 Salesforce、Office 365 及 Box) 以及自訂內部應用程式的存取。員工可以使用現有的公司 Active Directory 登入資料或您在 AWS SSO 中設定的登入資料登入,從個人化的使用者入口網站存取應用程式,如此能更具生產力。員工們現在不需要記住好幾組登入資料和雲端應用程式的存取 URL,而且新進員工第一天就可以上手,融入工作之中。將使用者新增至目錄中適當的群組之後,他們便會自動獲得針對該群組成員啟用之帳戶和應用程式的存取。因為您可以從 AWS CloudTrail 集中監控與稽核登入活動,所以可對雲端應用程式使用狀況取得更好的可見性。

AWS SSO 解決了哪些問題?

在 AWS 帳戶和商業應用程式之間佈建和管理不同身分時,AWS SSO 消除了運用自訂 SSO 解決方案的管理複雜性。因為您使用多個 AWS 帳戶並經常新增帳戶,設定 SSO 搭配 Active Directory Federation Services (AD FS) 來存取這些帳戶需要學習自訂的 AD FS 宣告程式設計語言。您還需要準備擁有必要許可的 AWS 帳戶以存取這些帳戶。AWS SSO 無須額外費用便可使用,而且透過與 AWS 緊密結合,可降低重複設定和分開管理的複雜性。如果您使用不同密碼存取不同的 AWS 帳戶或雲端應用程式,AWS SSO 可讓每個 AWS 帳戶或雲端商業應用程式再也不需要個別密碼,如此能簡化使用者體驗並提升安全性。藉由與 AWS CloudTrail 整合,為您對 AWS 帳戶和啟用 SAML 的雲端應用程式 (例如 Office 365、Salesforce 和 Box) 的 SSO 存取稽核提供一個集中位置,AWS SSO 也解決了雲端應用程式存取的可見性受限問題。

為什麼應該使用 AWS SSO?

您應該使用 AWS SSO 將 AWS 帳戶和商業雲端應用程式的存取權授與員工,以協助員工更快有生產力,無須撰寫自訂指令碼或投資一般用途的 SSO 解決方案。還應該使用 AWS SSO 減少管理複雜性及設定與管理 SSO 存取的費用。

無論應用程式是在何處建置或託管,AWS SSO 都是員工在工作期間從 AWS SSO 使用者入口網站存取所需 AWS 帳戶和應用程式的位置。

AWS SSO 可以用來做什麼?

您可以使用 AWS SSO 將下列項目的存取快速輕鬆地指派給員工:由 AWS Organizations 管理的 AWS 帳戶、商業雲端應用程式 (例如 Salesforce、Office 365 及 Box),以及支援安全聲明標記語言 (SAML) 2.0 的自訂應用程式。員工可以使用他們現有的公司登入資料或其在 AWS SSO 中設定的登入資料登入,從單一使用者入口網站存取商業應用程式。AWS SSO 還可讓您使用 AWS CloudTrail 來稽核使用者對雲端服務的存取。

哪些人應該使用 AWS SSO?

AWS SSO 適用於管理多個 AWS 帳戶和商業應用程式、想要集中管理這些雲端服務的使用者存取,以及想要為員工提供單一位置來存取這些帳戶和應用程式而無須記住其他密碼的管理員。

如何開始使用 AWS SSO?

身為新 AWS SSO 客戶,您可以:

  1. 以您的 AWS 帳戶登入主要帳戶的 AWS 管理主控台,再瀏覽至 AWS SSO 主控台。
  2. 從 AWS SSO 主控台選擇用於儲存您的使用者和群組身分的目錄。AWS SSO 現在預設會提供一個目錄,您可以使用該目錄在 AWS SSO 中管理使用者和群組。此外,您還可以按一下 AWS SSO 在帳戶中自動發現的受管 Microsoft AD 和 AD Connector 執行個體,來變更連線至 Microsoft AD 目錄的目錄。若要連線至 Microsoft AD 目錄,請參閱開始使用 AWS Directory Service
  3. 從 AWS SSO 產生的清單中選取 AWS 帳戶,以將 SSO 存取授與使用者在您組織中的 AWS 帳戶,然後再從目錄選取使用者或群組以及您想要授與的許可。 
  4. 提供使用者在商業雲端應用程式的存取:
    1. 從 AWS SSO 支援的預先整合應用程式清單選取一個應用程式。
    2. 依照組態指示操作來設定應用程式。
    3. 選取必須能存取此應用程式的使用者或群組。
  5. 將您設定目錄時產生的 AWS SSO 登入網址提供給使用者,讓他們能夠登入 AWS SSO,以及存取帳戶和商業應用程式。

AWS SSO 的費用為何?

使用 AWS SSO 不需額外付費。

哪些 AWS 區域提供 AWS SSO?

請參閱 AWS 區域表,了解各個地區的 AWS SSO 可用性。

身份來源和應用程式支援

我可以在 AWS SSO 中使用哪些身份來源?

藉助 AWS SSO,您可以在 AWS SSO 的身份存放區中建立和管理使用者身份,或者輕鬆連線至您現有的身份來源,包括 Microsoft Active Directory、Okta Universal Directory、Azure Active Directory (Azure AD) 或其他支援的 IdP。如需進一步了解,請參閱 AWS SSO 使用者指南

我是否可將多個身份來源連線至 AWS SSO?

否。在任何時候,您都只能將一個目錄或一個 SAML 2.0 身份供應商連線至 AWS SSO。但是,您可以將連線的身份來源變更為不同的身份來源。

哪些 SAML 2.0 IdP 可搭配 AWS SSO 使用?

您可以將 AWS SSO 連線至大多數 SAML 2.0 IdP,例如 Okta Universal Directory 或 Azure Active Directory。如需進一步了解,請參閱 AWS SSO 使用者指南

我要如何從現有 IdP 將身份佈建至 AWS SSO?

必須先將現有 IdP 中的身份佈建至 AWS SSO,才能指派許可。 您可以使用跨網域身份管理系統 (SCIM) 標準,從 Okta Universal Directory、Azure AD、 OneLogin 及 PingFederate 自動同步使用者與群組資訊。若是其他 IdP,您可以使用 AWS SSO 主控台從 IdP 佈建使用者。如需進一步了解,請參閱 AWS SSO 使用者指南

我是否可以從我的 IdP 自動化身份同步處理作業至 AWS SSO?

是。若您使用 Okta Universal Director、Azure AD、OneLogin 或 PingFederate,您可以使用 SCIM,從您的 IdP 自動同步處理使用者與群組資訊至 AWS SSO。如須進一步了解,請參閱 AWS SSO 使用者指南

如何將 AWS SSO 連線至我的 Microsoft Active Directory?

您可以使用 AWS Directory Service,將 AWS SSO 連線至內部部署 Active Directory (AD) 或 AWS 受管 Microsoft AD directory。如需進一步了解,請參閱 AWS SSO 使用者指南

我使用內部部署的 Active Directory 管理我的使用者和群組。如何充分利用 AWS SSO 中的這些使用者和群組?

有兩種方式可以將內部部署的 Active Directory 連線至 AWS SSO:(1) 使用 AD Connector,或 (2) 使用 AWS Managed Microsoft AD 信任關係。

AD Connector 只需將您現有的內部部署 Active Directory 連線至 AWS。AD Connector 是一個目錄閘道,您可以在此將目錄請求重新導向至內部部署 Microsoft Active Directory,而無須在雲端快取任何資訊。若要使用 AD Connector 連線內部部署目錄,請參閱 AWS Directory Service 管理指南

藉助 AWS Managed Microsoft AD,可以輕鬆地在 AWS 中設定和執行 Microsoft Active Directory。它可用於在內部部署目錄和 AWS Managed Microsoft AD 之間建立樹系信任關係。若要建立信任關係,請參閱 AWS Directory Service 管理指南

我在 AWS Identity and Access Management (IAM) 管理使用者和群組。是否可以在 AWS SSO 中使用 IAM 使用者和群組?

AWS SSO 目前不支援 AWS IAM 使用者和群組。

是否可使用 Amazon Cognito 使用者集區作為 AWS SSO 中的身份來源?

Amazon Cognito 是一項服務,可協助您管理客戶專用的應用程式身份;它不是 AWS SSO 中受支援的身份來源。至 AWS SSO您可以在 AWS SSO 或外部身份來源中建立和管理人力身份,包括 Microsoft Active Directory、Okta Universal Directory、Azure Active Directory (Azure AD) 或其他支援的 IdP

AWS SSO 是否支援瀏覽器、命令列和行動介面?

是,您可以使用 AWS SSO 來控制對 AWS 管理主控台和 CLI v2 的存取。AWS SSO 讓使用者能夠透過單一登入體驗,存取 CLI 和 AWS 管理主控台。AWS 主控台行動應用程式還支援 AWS SSO,因此您可以在瀏覽器、行動裝置和命令列界面上獲得一致的登入體驗。

哪些雲端應用程式可以連線至 AWS SSO?

您可以將下列應用程式連線至 AWS SSO:

  1. AWS SSO 整合式應用程式:AWS SSO 整合式應用程式,例如 SageMaker StudioIoT SiteWise,使用 AWS SSO 進行身份驗證,並使用您在 AWS SSO 中擁有的身份。無需額外組態即可將身份同步處理至這些應用程式,或將聯合身份進行單獨設定。
  2. 預先整合的 SAML 應用程式:AWS SSO 已預先與常用的商業應用程式整合。如需完整清單,請見 AWS SSO 主控台。
  3. 自訂 SAML 應用程式:AWS SSO 支援使用 SAML 2.0 來允許聯合身份的應用程式。您可以使用自訂應用程式精靈,使 AWS SSO 支援這些應用程式。

AWS 帳戶的單一登入存取

哪些 AWS 帳戶可以連線至 AWS SSO?

您可以將使用 AWS Organizations 管理的任何帳戶新增至 AWS SSO。您必須在組織啟用所有功能,才能管理您的帳戶 SSO。

要如何在組織內的組織單位 (OU) 設定 AWS 帳戶的 SSO?

您可以挑選組織內的帳戶或按 OU 篩選帳戶。

要如何控制使用者使用 AWS SSO 存取其帳戶時所得到的許可?

將存取權授與您的使用者時,您可以藉由挑選一個許可組來限制使用者的許可。許可組是在 AWS SSO 中建立的一個許可集合,您可以根據工作職責的 AWS 受管政策或任何 AWS 受管政策來建立許可組。工作職責的 AWS 受管政策是專為貼近 IT 產業的工作職責所設計。如有需要,您也可以完全自訂許可組以符合您的安全需求。AWS SSO 會自動將這些許可套用至選取的帳戶。您變更許可組時,AWS SSO 可讓您輕鬆地將變更套用至相關帳戶。當您的使用者透過 AWS SSO 使用者入口網站存取這些帳戶時,這些許可就會限制他們在這些帳戶內可執行的動作。您也可以將多個許可組授與您的使用者。當使用者透過使用者入口網站存取帳戶時,可以選擇該工作階段要採用的許可組。

如何跨多個帳戶自動化許可管理?

AWS SSO 提供 APIAWS CloudFormation 支援,以在多帳戶環境中自動化許可管理,並以程式設計方式擷取許可,用於稽核和管控用途。

我可以取得哪些 AWS 帳戶的 AWS 命令列界面 (CLI) 登入資料?

您可以取得 AWS SSO 管理員指派給您的所有 AWS 帳戶的 AWS CLI 登入資料和使用者許可。這些 CLI 登入資料可用於透過程式設計方式存取 AWS 帳戶。

來自 AWS SSO 使用者入口網站的 AWS 命令列界面登入資料有效期多長?

自 AWS SSO 使用者入口網站擷取的 AWS CLI 登入資料有效時間為 60 分鐘。您可以視需要重新取得一組登入資料。

商業應用程式的 SSO 存取

如何將 SSO 設定至商業應用程式,例如 Salesforce?

從 AWS SSO 主控台瀏覽至應用程式窗格,選擇 Configure new application,並從預先與 AWS SSO 整合的雲端應用程式清單選擇一個應用程式。依照畫面指示設定應用程式。現在已經設定好您的應用程式,您可以指派應用程式的存取。選擇要提供此應用程式存取的群組或使用者,並選擇 Assign Access 以完成此程序。

我的公司使用不在 AWS SSO 預先整合應用程式清單中的商業應用程式。是否還可以使用 AWS SSO?

是。如果您的應用程式支援 SAML 2.0,便可以將應用程式設定成為自訂的 SAML 2.0 應用程式。從 AWS SSO 主控台瀏覽至應用程式窗格,選擇 Configure new application,然後選擇 Custom SAML 2.0 application。依照指示設定應用程式。現在已經設定好您的應用程式,您可以指派應用程式的存取。選擇要提供此應用程式存取的群組或使用者,並選擇 Assign Access 以完成此程序。

我的應用程式僅支援 OpenID Connect (OIDC)。我是否可以將其搭配 AWS SSO 使用?

否。AWS SSO 僅支援以 SAML 2.0 為基礎的應用程式。

AWS SSO 是否支援單一登入到原生行動和桌面應用程式?

否。AWS SSO 僅支援透過 Web 瀏覽器單一登入商業應用程式。

其他

AWS SSO 會代我存放哪些資料?

針對指派給使用者和群組的 AWS 帳戶和雲端應用程式,以及為了存取 AWS 帳戶而授與的許可,AWS SSO 會存放這些項目的相關資料。AWS SSO 還會針對您授權使用者存取的每個許可組,在個別 AWS 帳戶中建立和管理 IAM 角色。

AWS SSO 是否支援多重因素認證 (MFA)?

是。您可以啟用或要求使用者在手機設定多重因素應用程式,或者要求使用者提供額外的因素,透過操作遠端用戶撥入驗證服務 (RADIUS) 伺服器,並將 RADIUS 伺服器設成搭配使用 Active Directory 或 AD Connector 來登入 AWS SSO。

我的員工要如何開始使用 AWS SSO?

員工們可以瀏覽當您將在 AWS SSO 中設定身份來源時所產生的 AWS SSO 使用者入口網站,以開始使用 AWS SSO。若您在 AWS SSO 中管理使用者,您的員工可以使用其在 AWS SSO 中設定的電子郵件地址和密碼登入使用者入口網站。若將 AWS SSO 連線至 Microsoft Active Directory 或 SAML 2.0 身份供應商,您的員工可以使用其現有的公司登入資料登入使用者入口網站,然後檢視指派給他們的帳戶和應用程式。員工若要存取某帳戶或應用程式,可以從 AWS SSO 使用者入口網站選擇關聯的圖示。

AWS SSO 是否有可用的 API?

是。AWS SSO 提供帳戶指派 APIs,以協助您在多帳戶環境中自動化許可管理,並以程式設計方式擷取許可,用於稽核和管控用途。

準備好開始使用了嗎?

註冊 AWS Single Sign-On
還有其他問題嗎?
聯絡我們