SSO (единый вход) - это процесс аутентификации, который позволяет пользователям входить в несколько приложений с одним набором имен пользователей и паролей.

У одного из самых популярных облачных провайдеров, AWS, есть решение, связанное с системой единого входа. AWS Single Sign-On (AWS SSO) - это сервис, который позволяет нам предоставлять нашим пользователям доступ к ресурсам AWS, таким как AWS S3, нескольким учетным записям AWS.

AWS SSO теперь предоставляет каталог, который можно использовать для создания пользователей, организации их в группы и установки разрешений для этих групп. Вы также можете предоставить пользователям, которых вы создаете в AWS SSO, разрешения для таких приложений, как Office 365 и Azure AD.

AWS SSO также помогает нам управлять доступом и разрешениями к часто используемому стороннему программному обеспечению. Приложения, интегрированные с AWS SSO, а также пользовательские приложения, поддерживающие Security Assertion Markup Language (SAML) 2.0. AWS SSO включает пользовательский портал, где ваши конечные пользователи могут находить и получать доступ ко всем назначенным им учетным записям AWS, облачным и пользовательским приложениям в одном месте.

Сегодня мы настроим AWS SSO с помощью Azure Active Directory и вместе протестируем наших пользователей. Давайте начнем!

  • Перейдите в Консоль AWS и выберите в консоли AWS SSO. Выберите «Включить AWS SSO».

  • Выберите «Выберите источник идентификации».

  • Выберите внешнего поставщика удостоверений для своего Azure AD. Нам нужно скачать «метаданные AWS SAML» отсюда. Нам это понадобится на следующем этапе.

  • На стороне облака Azure нам нужно создать новое приложение из приложения Azure AD → Enterprise. Когда мы создаем приложение, нам нужно выбрать «Интегрировать любое другое приложение, которого нет в галерее (не из галереи)». Мы не используем AWS Cloud Platform для этой интеграции, облачная платформа AWS требует иной интеграции, чем эта.

  • После создания приложение выглядит так:

  • В нашем приложении Azure AD нам нужно выбрать «Единый вход» и настроить единый вход с помощью SAML. Мы должны загрузить файлы метаданных, которые мы загружали ранее со стороны AWS SSO.

  • После загрузки файла SAML идентификатор и URL-адрес ответа должны быть установлены из файла SAML. Если URL-адрес ответа не установлен, вы не можете продолжить, потому что это обязательное поле. Вы можете получить его в AWS SSO → Настройки → Аутентификация → Подробнее. AWS SSO ACS URL - это ваш ответный URL. Сохраните все детали здесь.

  • Нам необходимо загрузить XML-метаданные SAML SSO со стороны Azure, чтобы загрузить AWS SSO.

  • Примите ваши изменения.

  • После всех этих шагов нам нужно включить автоматическую подготовку. AWS SSO поддерживает автоматическое предоставление (синхронизацию) информации о пользователях и группах от вашего поставщика удостоверений (IdP) в AWS SSO с использованием протокола системы междоменного управления идентификацией (SCIM) v2.0. Чтобы включить его, нам нужно выбрать настройки → часть обеспечения. Скопируйте конечную точку SCIM и токен доступа.

  • Вставьте эти учетные данные в Azure AD и проверьте подключение.

  • Добавьте своих пользователей в созданное нами приложение.

  • Начать подготовку. Вы можете увидеть текущий статус цикла. Ваши пользователи Azure AD должны быть видны на стороне AWS SSO.

  • Нам нужно настроить наш механизм контроля доступа для Консоли управления AWS и стороны интерфейса командной строки AWS. Для этого нам нужно назначить пользователей в аккаунты AWS.

  • Создайте новый набор разрешений. Мы используем существующую политику должностных обязанностей.

  • Например, предположим, что наш тестовый пользователь является разработчиком AWS. Нам нужен доступ опытных пользователей.

  • После всего этого мы можем использовать URL-адрес пользовательского портала и единый вход с вашими учетными данными Azure AD (электронная почта и пароль).

  • После успешного входа в систему мы можем увидеть консоль AWS успешно!

Устранение неполадок

  • Если у вас возникла ошибка «Учетные данные MFA недействительны» на стороне AWS, вероятно, это ошибка, связанная с автоматической инициализацией. Я думаю, что AWS следует изменить это сообщение об ошибке, это не настоящая ошибка со стороны MFA. Вы можете попробовать подготовить по требованию, запустить, остановить подготовку и проверить журналы подготовки. Все это может решить проблему.

Спасибо за прочтение!

Больше контента на plainenglish.io