Рубрики
Uncategorized

Как настроить единый вход AWS с помощью Azure Ad

Команду 56K.Cloud достаточно повезло, чтобы испытать разнообразный набор проектов. Наша цель — поделиться … Tagged с облаком, DevOps, AWS, Azure.

Команду 56K.Cloud достаточно повезло, чтобы испытать разнообразный набор проектов. Наша цель — поделиться своими знаниями от этих проектов в более широкое техническое сообщество. Одной из технологий, которую мы видим, часто является Office365 (O365) и Azure Active Directory (Azure ad) Анкет

Независимо от облака или поставщика, Azure AD растет в доминировании в корпоративном пространстве, когда дело доходит до идентичности и единого входа. Microsoft сделала Azure Ad смехотворно простым для интеграции с SaaS, публичными облаками или любым другим приложением. O365 поставляется в предварительно упакованном Azure AD в бэкэнде. Azure Ad уже развернута у клиентов по умолчанию, что снижает барьер входа, чтобы начать использовать расширенные возможности Azure AD, такие как идентификация или отдельный вход.

Менеджеры паролей в популярности растут, поскольку наш мозг исчерпанный циклами процессора, пытаясь запомнить все имена пользователей и пароли для всех различных инструментов. С точки зрения организации, нелегко управлять пользователем доступа к сотням инструментов в обычной организации. Составьте это всеми различными инструментами управления пользователями, добавляя к массовым накладным расходам для ИТ -отделения.

Одиночный вход или SSO-один из ответов, чтобы уменьшить сложность. Документация Microsoft отлично подчеркивает преимущества использования SSO против NO SSO.

С единственным входом

Пользователи входите в систему один раз с одной учетной записью, чтобы получить доступ к доменам-соединениям> устройствам, ресурсам компании, программному обеспечению в качестве сервиса (SAAS)> приложений и веб-приложений. После входа в систему пользователь может запустить приложения с портала Office 365 или> панель Azure Ad MyApps. Администраторы могут> централизовать управление учетными записями пользователя и автоматически добавлять или> удалить доступ пользователя к приложениям на основе членства в группе.

Без единого входа

Пользователи должны помнить приложение-> конкретные пароли и подписать> в каждом приложении. ИТ -персонал должен создавать и обновлять> учетные записи пользователей для каждого приложения, например Office 365, Box,> и Salesforce. Пользователи должны запоминать свои пароли, плюс> тратить время на вход в каждое приложение.

Источник — https://docs.microsoft.com/en-us/azure/active-directory/manage-apps/what-is-single-sign-on

Мы можем использовать Azure AD для интеграции с AWS IAM. Интеграция позволяет пользователям Azure AD входить непосредственно в консоли Amazon AWS, используя свои учетные данные Azure AD. Если пользователь уже вошел в свою учетную запись Azuread, то вход в AWS бесшовен без подсказки для нового входа в систему.

Как настроить единый вход AWS с помощью Azure Ad

Документация от Microsoft довольно хороша о настройке SSO с AWS, но отсутствует, зачем настроить SSO, мы объяснили выше, и следующие шаги после создания SSO.

Запустите конфигурацию Azure AD, используя это руководство от Microsoft — https://docs.microsoft.com/en-gb/azure/active-directory/saas-apps/amazon-web-service-tutorial

Как только вы достигнете Настройте Azure ad sso Раздел в документации мы попали в ловушку. В инструкциях упоминается настройка базовой конфигурации SAML. Ниже приведены шаги замены для раздела Azure AD SSO.

Я также открыл Запрос на вытягивание В документации Azure AD, которая подпрыгивала внутренне в Microsoft. Они утверждают, что это работает, но я доказал с несколькими различными развертываниями, что эта ошибка сохраняется.

Приведенные ниже шаги помогут вам исправить проблемы, обнаруженные в документации

Шаг 3 — Настройка единственного входа с SAML

Эти значения не заполнены, как указано, и должны быть добавлены следующим образом:

  • Идентификатор (идентификатор сущности): https://signin.aws.amazon.com/saml
  • Ответить URL: https://signin.aws.amazon.com/saml

Если у вас есть более одного экземпляра Amazon Web Service Ad Application Application, вы должны добавить уникальный идентификатор в конце идентификатора и ответить URL с использованием # См. Пример https://signin.aws.amazon.com/saml#2

Шаг 8 — Сертификат подписания SAML

Еще один момент, который отсутствует, если вы впервые развертываете заявку на Azure AD SSO, — это сертификат подписания SAML. Вам нужно будет предоставить новый сертификат, прежде чем сможет загрузить Метаданные федерации XML

  1. На установленном отдельном входе на страницу SAML шаг 3-сертификат подписания SAML. Нажмите Добавить сертификат
  1. Теперь генерируйте новый сертификат подписания SAML и нажмите Новый сертификат Анкет Введите адрес электронной почты для уведомлений о сертификатах.
  1. В Сертификат подписания SAML Раздел, найти Метаданные федерации XML и выберите Скачать Чтобы загрузить сертификат и сохранить его на своем компьютере.

Тестирование единого входа

Использовать SSO удивительно просто. Во -первых, открыть apps.office.com.

Далее расширяйте все приложения. Здесь вы найдете недавно созданное приложение Amazon Web Services. Не уверен, почему они не по умолчанию имени просто «AWS», но вы можете переименовать, если хотите.

Нажмите на приложение Amazon Web Services, и оно выполнит процесс SSO с вашим текущим пользователем Office365. Затем SSO регистрирует вас в консоли AWS. Ниже приведен гифка рабочего процесса.

Что будет дальше после настройки SSO с консоли AWS

В качестве следующего шага, наилучшей практикой является создание нескольких ролей SAML внутри AWS. Роли SAML могут и должны быть гранулярно определены до учетной записи AWS и уровня ресурсов. Вот несколько примеров ролей для начала:

  • Ридонляксскую роль
  • Amazonec2fullaccess Роль
  • Роль администратора

На стороне Azure Ad мы рекомендуем создавать группы для каждой из вышеперечисленных ролей. Присвоение пользователей группе, и затем они автоматически назначаются на роль AWS. Использование групп немного проще в управлении большими объемами пользователей.

Дополнительная информация

Преимущества SSO — https://docs.microsoft.com/en-us/azure/active-directory/manage-apps/what-is-single-sign-on

Azuread с настройкой AWS SSO — https://docs.microsoft.com/en-gb/azure/active-directory/saas-apps/amazon-web-service-tutorial

Настройте Azure AD SSO — https://docs.microsoft.com/en-us/azure/active-directory/saas-apps/amazon-web-service-tutorial #configure-azure-ad-sso

Azure Ad Documentation запрос на вытягивание — https://github.com/microsoftdocs/azure-docs/pull/56950

Что такое Azuread — https://azure.microsoft.com/en-us/services/active-directory/ O365 Приложения ярлык — https://apps.office.com

Узнайте больше о 56K.Cloud

Мы любим облако, IoT, контейнеры, DevOps и инфраструктуру в качестве кода. Если вы заинтересованы в общении, свяжитесь с нами на Twitter или бросьте нам электронное письмо: info@56k.cloud Анкет Мы надеемся, что вы нашли эту статью полезной. Если есть что -то, что вы хотели бы внести свой вклад, или у вас есть вопросы, пожалуйста, сообщите нам об этом!

Оригинал: «https://dev.to/vegasbrianc/how-to-setup-aws-single-sign-on-with-azure-ad-1eo4»