一般問題

什麼是 AWS Single Sign-On (AWS SSO)?

AWS SSO 是一項 AWS 服務,可讓您透過使用單一登入 (SSO),以現有的登入資料從 Microsoft Active Directory 存取雲端應用程式,例如 AWS 帳戶和其他商業應用程式 (Office 365、Salesforce、Box)。

AWS SSO 有哪些好處?

您可以使用 AWS SSO 從集中位置快速輕鬆地指派和管理員工對多個 AWS 帳戶、啟用 SAML 的雲端應用程式 (例如 Salesforce、Office 365 及 Box) 以及自訂內部應用程式的存取。員工可以使用現有的公司 Active Directory 使用者名稱和密碼登入,從個人化的使用者入口網站存取應用程式,如此能更具生產力。員工們現在不需要記住好幾組登入資料和雲端應用程式的存取 URL,而且新進員工第一天就可以上手,融入工作之中。將使用者新增至適當的 Active Directory 群組之後,他們便會自動獲得針對該群組成員啟用之帳戶和應用程式的存取。因為您可以從 AWS CloudTrail 集中監控與稽核登入活動,所以可對雲端應用程式使用狀況取得更好的可見性。

AWS SSO 解決了哪些問題?

在 AWS 帳戶和商業應用程式之間佈建和管理不同身分時,AWS SSO 消除了運用自訂 SSO 解決方案的管理複雜性。因為您使用多個 AWS 帳戶並經常新增帳戶,設定 SSO 搭配 Active Directory Federation Services (AD FS) 來存取這些帳戶需要學習自訂的 AD FS 宣告程式設計語言。您還需要準備擁有必要許可的 AWS 帳戶以存取這些帳戶。AWS SSO 無須額外費用便可使用,而且透過與 AWS 緊密結合,可降低重複設定和分開管理的複雜性。如果您使用不同密碼存取不同的 AWS 帳戶或雲端應用程式,AWS SSO 可讓每個 AWS 帳戶或雲端商業應用程式再也不需要個別密碼,如此能簡化使用者體驗並提升安全性。藉由與 AWS CloudTrail 整合,為您對 AWS 帳戶和啟用 SAML 的雲端應用程式 (例如 Office 365、Salesforce 和 Box) 的 SSO 存取稽核提供一個集中位置,AWS SSO 也解決了雲端應用程式存取的可見性受限問題。

為什麼應該使用 AWS SSO?

您應該使用 AWS SSO 將 AWS 帳戶和商業雲端應用程式的存取權授與員工,以協助員工更快有生產力,無須撰寫自訂指令碼或投資一般用途的 SSO 解決方案。還應該使用 AWS SSO 減少管理複雜性及設定與管理 SSO 存取的費用。

無論應用程式是在何處建置或託管,AWS SSO 都是員工在工作期間從 AWS SSO 使用者入口網站存取所需 AWS 帳戶和應用程式的位置。

AWS SSO 可以用來做什麼?

您可以使用 AWS SSO 將下列項目的存取快速輕鬆地指派給員工:由 AWS Organizations 管理的 AWS 帳戶、雲端應用程式 (例如 Salesforce、Office 365 及 Box),以及支援安全聲明標記語言 (SAML) 2.0 的自訂應用程式。員工可以使用他們現有的公司使用者名稱和密碼登入,從單一使用者入口網站存取商業應用程式。AWS SSO 還可讓您使用 AWS CloudTrail 來稽核使用者對雲端服務的存取。

哪些人應該使用 AWS SSO?

AWS SSO 適用於管理多個 AWS 帳戶和商業應用程式、想要集中管理這些雲端服務的使用者存取,以及想要為員工提供單一位置來存取這些帳戶和應用程式而無須記住其他密碼的管理員。

如何開始使用 AWS SSO?

身為新 AWS SSO 客戶,您可以:

  1. 以您的 AWS 帳戶登入主要帳戶的 AWS 管理主控台,再瀏覽至 AWS SSO 主控台。
  2. 按一下 AWS SSO 在您的帳戶中自動探索到的 Active Directory 和 Active Directory Connector 執行個體清單,然後從 AWS SSO 主控台選取您用來存放使用者和群組身分的目錄。如果您尚未設定任何目錄,請參閱入門
  3. 從 AWS SSO 產生的清單中選取 AWS 帳戶,以將 SSO 存取授與使用者在您組織中的 AWS 帳戶,然後再從目錄選取使用者或群組以及您想要授與的許可。 
  4. 提供使用者在商業雲端應用程式的存取:
    1. 從 AWS SSO 支援的預先整合應用程式清單選取一個應用程式。
    2. 依照組態指示操作來設定應用程式。
    3. 選取必須能存取此應用程式的使用者或群組。
  5. 將您連線至目錄時產生的 AWS SSO 登入網址提供給員工,讓他們能夠使用自己的 Active Directory 使用者名稱和密碼登入 AWS SSO,以存取帳戶和商業應用程式。

AWS SSO 的費用為何?

使用 AWS SSO 不需額外付費。

哪些 AWS 區域提供 AWS SSO?

請參閱 AWS 區域表,了解各個地區的 AWS SSO 可用性。

目錄和應用程式支援

哪些目錄可搭配 AWS SSO 使用?

您可以將 AWS SSO 連線至現場部署或 AWS 雲端中執行的 Microsoft Active Directory。AWS SSO 支援 AWS Directory Service for Microsoft Active Directory (也稱為 AWS Managed Microsoft AD) 及 AD Connector。AWS SSO 不支援簡易 AD。請參閱 AWS Directory Service 入門,進一步了解相關資訊。

可以使用 AWS SSO 連線至哪些雲端應用程式?

您可以將下列應用程式連線至 AWS SSO:

  1. AWS 管理主控台:您可以設定 AWS 管理主控台的 SSO 存取。
  2. 第三方的 SaaS 應用程式:AWS SSO 已預先與常用的商業應用程式整合。如需完整清單,請見 AWS SSO 主控台。
  3. 自訂 SAML 應用程式:AWS SSO 支援使用 SAML 2.0 來允許聯合身分的應用程式。對於未與 AWS SSO 預先整合的應用程式,您可以使用 AWS SSO 自訂應用程式精靈設定 SSO。

我使用現場部署的 Active Directory 管理使用者和群組。要如何將我的目錄連線至 AWS SSO?

有兩種方式可以將現場部署的 Active Directory 連線至 AWS SSO:(1) 使用 AWS Managed Microsoft AD 信任關係,或 (2) 使用 AD Connector。

AWS Managed Microsoft AD 會在 AWS 雲端建立完全受管的 Active Directory,並可用來設定現場部署的目錄和 AWS Managed Microsoft AD 之間的樹系信任關係。若要設定信任關係,請參閱建立信任關係的時機

AD Connector 是一個目錄閘道,可將目錄請求重新導向至現場部署 Microsoft Active Directory,而無須在雲端快取任何資訊。若要使用 AD Connector 連線現場部署的目錄,請參閱 AD Connector

我在 AWS Identity and Access Management (IAM) 管理使用者和群組。是否可以將我的目錄連線至 AWS SSO?

AWS SSO 目前不支援 AWS IAM 使用者和群組。

我是否可將一個以上的目錄連線至 AWS SSO?

否。在任何時候,您都只能將一個目錄連線至 AWS SSO。但是,您可以將連線的目錄變更為不同目錄。

AWS 帳戶的 SSO 存取

哪些 AWS 帳戶可以連線至 AWS SSO?

您可以將使用 AWS Organizations 管理的任何帳戶新增至 AWS SSO。您必須在組織啟用所有功能,才能管理您的帳戶 SSO。

要如何在組織內的組織單位 (OU) 設定 AWS 帳戶的 SSO?

您可以挑選組織內的帳戶或按 OU 篩選帳戶。

要如何控制使用者使用 SSO 存取其帳戶時所得到的許可?

將 SSO 存取授與您的使用者時,您可以藉由挑選一個許可組來限制使用者的許可。許可組是在 AWS SSO 中建立的一個許可集合,您可以根據工作職責的 AWS 受管政策或任何 AWS 受管政策來建立許可組。工作職責的 AWS 受管政策是專為貼近 IT 產業的工作職責所設計。如有需要,您也可以完全自訂許可組以符合您的安全需求。AWS SSO 會自動將這些許可套用至選取的帳戶。您變更許可組時,AWS SSO 可讓您輕鬆地將變更套用至相關帳戶。當您的使用者透過 AWS SSO 使用者入口網站存取這些帳戶時,這些許可就會限制他們在這些帳戶內可執行的動作。您也可以將多個許可組授與您的使用者。當使用者透過使用者入口網站存取帳戶時,他們可以選擇該工作階段要採用的許可組。

商業應用程式的 SSO 存取

如何將 SSO 設定至商業應用程式,例如 Salesforce?

從 AWS SSO 主控台瀏覽至應用程式窗格,選擇 Configure new application,並從預先與 AWS SSO 整合的雲端應用程式清單選擇一個應用程式。依照畫面指示設定應用程式。現在已經設定好您的應用程式,您可以指派應用程式的存取。選擇要提供此應用程式存取的群組或使用者,並選擇 Assign Access 以完成此程序。

我的公司使用不在 AWS SSO 預先整合應用程式清單中的商業應用程式。是否還可以使用 AWS SSO?

是。如果您的應用程式支援 SAML 2.0,便可以將應用程式設定成為自訂的 SAML 2.0 應用程式。從 AWS SSO 主控台瀏覽至應用程式窗格,選擇 Configure new application,然後選擇 Custom SAML 2.0 application。依照指示設定應用程式。現在已經設定好您的應用程式,您可以指派應用程式的存取。選擇要提供此應用程式存取的群組或使用者,並選擇 Assign Access 以完成此程序。

我的應用程式僅支援 OpenID Connect (OIDC)。我是否可以設定 SSO 搭配 AWS SSO 使用?

否。AWS SSO 僅支援以 SAML 2.0 為基礎的應用程式。

其他

AWS SSO 會代我存放哪些資料?

針對指派給使用者和群組的 AWS 帳戶和雲端應用程式,以及為了存取 AWS 帳戶而授與的許可,AWS SSO 會存放這些項目的相關資料。AWS SSO 還會針對您授權使用者存取的每個許可組,在個別 AWS 帳戶中建立和管理 IAM 角色。

AWS SSO 是否支援多重因素認證 (MFA)?

是。您可以執行遠端用戶撥入驗證服務 (RADIUS) 伺服器,並設定此 RADIUS 伺服器搭配 Active Directory 或 AD Connector 使用,要求使用者提供額外因素以登入 AWS SSO。

我的員工要如何開始使用 AWS SSO?

員工們可以瀏覽當您將目錄連線至 AWS SSO 時所產生的 AWS SSO 使用者入口網站,以開始使用 AWS SSO。他們可以使用自己的 Active Directory 使用者名稱和密碼登入,然後檢視指派給他們的帳戶和應用程式。員工若要存取某帳戶或應用程式,可以從 AWS SSO 使用者入口網站選擇關聯的圖示。

AWS SSO 是否有可用的 API?

否。您可以使用 AWS SSO 主控台執行所有需要的操作。

 

準備好開始使用了嗎?

註冊 AWS Single Sign-On
還有其他問題嗎?
聯絡我們