SSO (единый вход) - это процесс аутентификации, который позволяет пользователям входить в несколько приложений с одним набором имен пользователей и паролей.
У одного из самых популярных облачных провайдеров, AWS, есть решение, связанное с системой единого входа. AWS Single Sign-On (AWS SSO) - это сервис, который позволяет нам предоставлять нашим пользователям доступ к ресурсам AWS, таким как AWS S3, нескольким учетным записям AWS.
AWS SSO теперь предоставляет каталог, который можно использовать для создания пользователей, организации их в группы и установки разрешений для этих групп. Вы также можете предоставить пользователям, которых вы создаете в AWS SSO, разрешения для таких приложений, как Office 365 и Azure AD.
AWS SSO также помогает нам управлять доступом и разрешениями к часто используемому стороннему программному обеспечению. Приложения, интегрированные с AWS SSO, а также пользовательские приложения, поддерживающие Security Assertion Markup Language (SAML) 2.0. AWS SSO включает пользовательский портал, где ваши конечные пользователи могут находить и получать доступ ко всем назначенным им учетным записям AWS, облачным и пользовательским приложениям в одном месте.
Сегодня мы настроим AWS SSO с помощью Azure Active Directory и вместе протестируем наших пользователей. Давайте начнем!
- Перейдите в Консоль AWS и выберите в консоли AWS SSO. Выберите «Включить AWS SSO».
- Выберите «Выберите источник идентификации».
- Выберите внешнего поставщика удостоверений для своего Azure AD. Нам нужно скачать «метаданные AWS SAML» отсюда. Нам это понадобится на следующем этапе.
- На стороне облака Azure нам нужно создать новое приложение из приложения Azure AD → Enterprise. Когда мы создаем приложение, нам нужно выбрать «Интегрировать любое другое приложение, которого нет в галерее (не из галереи)». Мы не используем AWS Cloud Platform для этой интеграции, облачная платформа AWS требует иной интеграции, чем эта.
- После создания приложение выглядит так:
- В нашем приложении Azure AD нам нужно выбрать «Единый вход» и настроить единый вход с помощью SAML. Мы должны загрузить файлы метаданных, которые мы загружали ранее со стороны AWS SSO.
- После загрузки файла SAML идентификатор и URL-адрес ответа должны быть установлены из файла SAML. Если URL-адрес ответа не установлен, вы не можете продолжить, потому что это обязательное поле. Вы можете получить его в AWS SSO → Настройки → Аутентификация → Подробнее. AWS SSO ACS URL - это ваш ответный URL. Сохраните все детали здесь.
- Нам необходимо загрузить XML-метаданные SAML SSO со стороны Azure, чтобы загрузить AWS SSO.
- Примите ваши изменения.
- После всех этих шагов нам нужно включить автоматическую подготовку. AWS SSO поддерживает автоматическое предоставление (синхронизацию) информации о пользователях и группах от вашего поставщика удостоверений (IdP) в AWS SSO с использованием протокола системы междоменного управления идентификацией (SCIM) v2.0. Чтобы включить его, нам нужно выбрать настройки → часть обеспечения. Скопируйте конечную точку SCIM и токен доступа.
- Вставьте эти учетные данные в Azure AD и проверьте подключение.
- Добавьте своих пользователей в созданное нами приложение.
- Начать подготовку. Вы можете увидеть текущий статус цикла. Ваши пользователи Azure AD должны быть видны на стороне AWS SSO.
- Нам нужно настроить наш механизм контроля доступа для Консоли управления AWS и стороны интерфейса командной строки AWS. Для этого нам нужно назначить пользователей в аккаунты AWS.
- Создайте новый набор разрешений. Мы используем существующую политику должностных обязанностей.
- Например, предположим, что наш тестовый пользователь является разработчиком AWS. Нам нужен доступ опытных пользователей.
- После всего этого мы можем использовать URL-адрес пользовательского портала и единый вход с вашими учетными данными Azure AD (электронная почта и пароль).
- После успешного входа в систему мы можем увидеть консоль AWS успешно!
Устранение неполадок
- Если у вас возникла ошибка «Учетные данные MFA недействительны» на стороне AWS, вероятно, это ошибка, связанная с автоматической инициализацией. Я думаю, что AWS следует изменить это сообщение об ошибке, это не настоящая ошибка со стороны MFA. Вы можете попробовать подготовить по требованию, запустить, остановить подготовку и проверить журналы подготовки. Все это может решить проблему.
Спасибо за прочтение!
Больше контента на plainenglish.io