詳細資訊

透過 AWS Single Sign-On (SSO),使用者可以輕鬆地集中管理對多個 AWS 帳戶和商業應用程式的存取,以及從一個位置以單一登入的方式存取指派給他們的所有帳戶和應用程式。有了 AWS SSO,您可以在 AWS Organizations 中集中管理所有帳戶的存取及使用者許可,輕鬆便利。SSO 會自動集中設定及維護您帳戶需要的所有許可,不必另外進入個別帳戶設定。您可以根據一般工作職責指派使用者許可,並自訂這些許可以滿足特定安全需求。AWS SSO 也包括內建整合,可整合至許多商業應用程式,如 Salesforce、Box 和 Microsoft 365。

藉助 AWS SSO,您可以在 AWS SSO 的身分存放區中建立和管理使用者身分,或者輕鬆連接到您現有的身分來源,包括 Microsoft Active Directory、Okta Universal Directory 和 Azure Active Directory (Azure AD)。AWS SSO 可讓您從身分來源中選擇使用者屬性,例如成本中心、職稱或地區設定,然後使用這些屬性實施 AWS 中基於屬性的存取控制。

使用 AWS SSO 非常簡單。只需在 AWS SSO 管理主控台中按幾下,您就可以將 AWS SSO 連接到您的現有身分來源並設定許可,以授予您的使用者存取指派給他們的 AWS Organizations 帳戶和數百個預設定的雲端應用程式的權限,所有這些操作都可以在單一使用者入口網站完成。

管理功能

與 AWS Organizations 整合

AWS SSO 已和 AWS Organizations 整合,可讓您從組織選取一或多個帳戶,再將使用者存取授與這些帳戶。 AWS SSO 建立在 AWS Identity and Access Management (IAM) 角色和政策的基礎上,可協助您集中管理 AWS 組織中所有 AWS 帳戶的存取。無須個別帳戶的額外組態。只要按幾下,您便可將使用者存取授與用於某應用程式或某小組所使用的所有 AWS 帳戶。

管理多個 AWS 帳戶的 SSO 存取

使用 AWS Single Sign-On (SSO),您可以集中管理對多個 AWS 帳戶的 SSO 存取。當使用者登入其個人化入口網站時,他們將會在單一位置看到在 AWS 帳戶中獲指派的角色。

基於屬性的存取控制

藉助 AWS SSO,您可以根據 AWS SSO 身分來源中定義的使用者屬性,輕鬆地為組織內的人力建立和使用精細的許可。AWS SSO 可讓您選擇多個屬性 (例如成本中心、職稱或地區設定),然後使用這些屬性實施基於屬性的存取控制 (ABAC),以簡化和集中管理存取權限。可以為整個 AWS 組織定義一次許可,然後只需變更身分來源中的屬性即可授予、撤銷或修改 AWS 存取權限。

在 AWS SSO 中建立和管理使用者

AWS SSO 現在預設會提供一個目錄,您可以使用該目錄在 AWS SSO 內建立使用者並將其組織成群組。您可以透過設定電子郵件地址和名稱來在 AWS SSO 中建立使用者。建立使用者時,依預設,AWS SSO 會傳送電子郵件給使用者,以便使用者可以設定其自己的密碼。您可以在短短幾分鐘內,授與使用者和群組使用所有 AWS 帳戶中的 AWS 資源和眾多商業應用程式的許可。使用者可透過在 AWS SSO 中設定的登入資料登入使用者入口網站,在單一位置存取所有指派給他們的帳戶和應用程式。

與 Microsoft Active Directory 連接

使用 AWS SSO,您便可管理使用現有 Microsoft Active Directory 網域服務 (AD DS) 公司身份之帳戶和應用程式的 SSO 存取。AWS SSO 透過 AWS Directory Service 與 AD DS 連接,只要將使用者新增至適當的 AD 群組,便可將帳戶和應用程式的存取權限授與使用者。例如,您可以為使用某應用程式的一組開發人員建立一個群組,然後將此群組存取授與該應用程式的 AWS 帳戶。當新的開發人員加入小組時,您只要將其新增至 AD 群組,他們便會自動獲授與該應用程式的所有 AWS 帳戶存取權。 AWS SSO 還可讓您從 AD 選擇多個使用者屬性 (例如成本中心、職稱或地區設定),然後使用這些屬性實施 ABAC,以簡化和集中管理存取權限。

連接以標準為基礎的身分供應商並自動佈建使用者

您可以透過安全聲明標記語言 (SAML) 2.0 將 AWS SSO 與 Okta Universal Directory、Azure AD 或其他支援的身分供應商 (IdP) 連線,以便您的使用者可以使用其現有登入資料登入。並且,AWS SSO 還支援跨域身份管理系統 (SCIM),可實現使用者自動佈建。您可以在 IdP 中管理使用者,則可以將他們快速加入到 AWS,並集中管理他們對所有 AWS 帳戶和商業應用程式的存取。 AWS SSO 還可讓您從 Okta Universal Directory 選擇多個使用者屬性 (例如成本中心、職稱或地區設定),然後使用這些屬性實施 ABAC,以簡化和集中管理存取權限。

多重身分驗證

藉助 AWS SSO,您可以為所有身分來源中的全部使用者使用基於標準的強身分驗證功能。如果使用支援的 SAML 2.0 IdP 作為身分來源,則可啟用供應商的多重身分驗證 (MFA)。使用 Active Directory 或 AWS SSO 作為身分來源時,AWS SSO 支援 Web 身分驗證規格,以協助您使用已啟用 FIDO 的安全金鑰 (例如 YubiKey) 和內建生物身分驗證器 (例如 Apple MacBook 上的 Touch ID 和 PC 上的面部識別) 來保護使用者對 AWS 帳戶和商業應用程式的存取。還可以使用身分驗證器應用程序 (例如 Google Authenticator 或 Twilio Authy) 啟用一次性密碼 (TOTP)。AWS SSO 可讓您為所有使用者強制執行 MFA,包括要求使用者在登入期間設定 MFA 裝置。

稽核跨應用程式和 AWS 帳戶的 SSO 活動

所有管理和 SSO 活動都會記錄在 AWS CloudTrail 中,提供您集中的稽核 SSO 活動視野。您可以透過 CloudTrail 檢視例如登入嘗試、應用程式指派以及目錄整合變更等活動。例如,您可以看到使用者在指定時段內存取的應用程式,或是使用者何時將 SSO 存取指定給特定應用程式。

高可用性受管基礎設施

AWS SSO 是建立在高可用性的 AWS 受管基礎架構之上。當您擴展與增加新的商業應用程式整合時,無須部署與維護額外的代理主機、Web 伺服器或聯合伺服器。您可以改用 AWS SSO 主控台,輕鬆地將新的整合建立至您的商業應用程式。

最終使用者體驗功能

使用者入口網站

使用 AWS SSO 時,使用者可以在單一位置中尋找與存取所有指派給他們的帳戶和應用程式。使用者只要以現有的公司登入資料登入其個人化使用者入口網站,即可單鍵存取任何獲指派的帳戶和應用程式。使用者入口網站還可協助您更輕鬆地推出新應用程式的存取,協助在其入口網站中尋找新的應用程式。

支援瀏覽器、命令列和行動界面

當使用者透過 AWS 命令列界面 (CLI) 登入時,他們可以使用其現有的公司登入資料並獲得一致的身份驗證體驗,同時還享有自動化短期登入資料管理的優勢。登入後,開發人員可以看到獲指派的 AWS SSO 帳戶和角色,並且他們還可以使用單個命令建立設定檔案,以在角色和帳戶之間進行切換。AWS 主控台行動應用程式還支援 AWS SSO,因此您可以在瀏覽器、行動裝置和命令列界面上獲得一致的登入體驗。

內建與商業應用程式的 SSO 整合

AWS SSO 提供許多商業應用程式的內建 SSO 整合,包括 Salesforce、Box 和 Microsoft 365。您可以依照逐步指示,輕鬆地將 SSO 存取設定至這些應用程式。AWS SSO 會引導您輸入必要的 URL、憑證及中繼資料。如需與 AWS SSO 預先整合的商業應用程式的完整清單,請參閱 AWS SSO 雲端應用程式。

啟用 SAML 的應用程式組態精靈

您可以使用 AWS SSO 應用程式組態精靈,建立單一登入與啟用安全聲明標記語言 (SAML) 2.0 之應用程式的整合。應用程式組態精靈可協助您選取要傳送給啟用 SSO 存取之應用程式的資訊,以及設定其格式。例如,您可以針對使用者名稱建立 SAML 屬性,並根據使用者 AD 描述檔中的電子郵件地址指定該屬性的格式。

開始使用 AWS Single Sign-On

瀏覽入門頁面
準備好開始使用了嗎?
註冊
還有其他問題嗎?
聯絡我們