AWS Single Sign-On
O AWS Single Sign-On foi adicionado à galeria de aplicativos Azure AD em fevereiro de 2021. Facilita o gerenciamento do acesso centralmente a várias contas AWS e aplicativos AWS, com login através do Microsoft Azure AD. Federar o Microsoft Azure AD com O AWS SSO uma vez e usar o AWS SSO para gerenciar permissões em todas as suas contas AWS de um só lugar. O AWS SSO fornece permissões automaticamente e as mantém atualizadas à medida que você atualiza políticas e atribuições de acesso. Os usuários finais podem autenticar com suas credenciais de AD do Azure para acessar o Console AWS, a interface da linha de comando e os aplicativos integrados AWS SSO.
Essa integração fornecerá os seguintes benefícios:
- É possível controlar quem terá acesso à AWS no Azure AD.
- É possível permitir que seus usuários entrem de modo automático na AWS usando o SSO (logon único) com as respectivas contas do Azure AD.
- Você pode gerenciar suas contas em um único local, o portal clássico do Azure.
- Você pode configurar o MFA para as contas que vão acessar a AWS.
Azure Enterprese Application
O gerenciamento de aplicativos do Azure AD (Azure Active Directory) é o processo de criação, configuração, gerenciamento e monitoramento de aplicativos na nuvem. Quando um aplicativo é registrado em um tenant do Azure AD, os usuários que foram atribuídos a ele podem acessá-lo com segurança. Muitos tipos de aplicativos podem ser registrados no Azure AD. Para obter mais informações, confira Tipos de aplicativo para a plataforma de identidade da Microsoft.
Há várias maneiras possíveis de gerenciar aplicativos no Azure AD. A maneira mais fácil de começar a gerenciar um aplicativo é usar um aplicativo pré-integrado da galeria do Azure AD. Desenvolver um aplicativo próprio e registrá-lo no Azure AD é uma opção, ou você pode continuar a usar um aplicativo local.
Passo a passo
Configurações no Azure
01 – Faça login no portal do Azure.
02 – No portal do Azure pesquise por Azure Active Directory.
03 – No Azure Active Directory clique em Enteprise applications.
04 – Na tela Enterprise applications | All applications clique em + New application.
05 – Na tela Browse Azure AD Gallery selecione Amazon Web Services (AWS).
06 – Ainda na tela Browse Azure AD Gallery clique em AWS Single-Account Access.
07 – A tela AWS Single-Account Access será aberta, em Name digite um nome intuitivo e clique em Create.
08 – Após finalizarmos a criação do recurso seremos direcionados para a tela do aplicativo, clique em Single sign-on.
09 – Na tela AWS-SSO-to-Azure | Single sign-on selecione SAML.
10 – Na tela AWS-SSO-to-Azure | SAML-based Sign-on a notificação Save a single sign-on settings sera aberta, selecione Yes.
Caso fossemos configurar vários identificadores para várias instâncias AWS, selecionaríamos No, I’II save later e o valor https://signin.aws.amazon.com/saml com o #1 que seria o identificador da instância ficando da seguinte forma:
https://signin.aws.amazon.com/saml#1
Caso tivéssemos uma segunda instancia poderíamos utilizar da seguinte forma:
https://signin.aws.amazon.com/saml#2
Sendo assim adicionaríamos um identificador para cada instancia AWS.
11 – Ainda na tela AWS-SSO-to-Azure | SAML-based Sign-on clique em Change single sign-on mode.
12 – De volta a tela AWS-SSO-to-Azure | Single sign-on clique em SAML.
13 – Em SAML Signing Certificate faça o download do Federation Metadata XML.
14 – É necessário criar um grupo no Azure Active Directory e também criar um grupo na AWS com o mesmo nome do grupo do Azure Active Directory.
Configurações na AWS
15 – Faça login no AWS Management Console.
16 – No AWS Management Console pesquise por IAM.
17 – Na tela Identity and Access Management (IAM) clique em Identity providers.
18 – Na tela IAM em Identity providers clique em Add provider.
19 – Na tela Add an Identity provider em Provider type deixe selecionado SAML, em Provider name digite um nome para o Provider, em Metade document clique em Choose file e selecione o arquivo XML que baixamos lá no portal do Azure em Enterprise Application na opção Federation Metadata XML, em seguida clique em Add provider.
20 – Como podemos observar o provider foi adicionado, clique em Assign role.
21 – Na tela Assign role for AWS_Azure selecione Create a new role, em seguida clique em Next.
22 – Na tela Create role em SAML provider deixe selecionado AWS_Azure, selecione Allow programmatic and AWS Management Console access, em seguida clique em Next: Permissions.
23 – Na tela Attach permissions policies selecione as permissões desejadas, em nosso exemplo vou adicionar a permissão de SystemAdministrator, sem seguida clique em Next: Tags.
24 – Na tela Add tags (optional) clique em Next: Review.
25 – Na tela Review em Role name selecione o nome do grupo de que criamos no Azure Active Directory “G_AWS_Admin” em seguida clique em Create role.
26 – Como podemos observar a função foi criada.
27 – Na tela Identity and Access Management (IAM) clique em Policies.
28 – Na tela Policies clique em Create Policy.
29 – Na tela Create policy selecione JSON, adicione os seguintes valores e clique em Next: Tags.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iam:ListRoles"
],
"Resource": "*"
}
]
}
30 – Na tela Add tags clique em Next: Review.
31 – Na tela Review policy selecione um nome para a política “AzureAD_SSOUserRole_Policy” em seguida clique em Create policy.
32 – Como podemos observar a política foi criada.
33 – Em Identity and Access Management (IAM) clique em Users.
34 – Vamos criar o usuário que fará a comunicação SSO, na tela Users clique em Add users.
35 – Na tela Set user details em User name digite “AzureADRoleManager” em Select AWS credential type selecione Access Key – Programmatic access, em seguida clique em Next: Permissions.
36 – Na tela Set permissions clique em Attach existing policies directly em seguida adicione a política “AzureAD_SSOUserRole_Policy”, em seguida clique em Next: Tags.
37 – Na tela Add tags clique em Next: Review.
38 – Na tela Review verifique se todas as informações estão corretas e clique em Create user.
39 – Na tela Add user como poder observar o usuário foi criado com sucesso, a note as seguintes informações Access key ID e Secret access key, pois vamos precisas adicionar no Azure, clique em Close.
Observação: Clique em Show para exibir o Secret access key
User:
AzureADRoleManager
Access key ID:
AKIAWKN2ZX3W6FPSOXWQ
Secret access key:
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
Configurar o provisionamento de função no AWS Single-Account Access
40 – No portal do Azure em Azure Active Directory em seguida clique em Enterprise applications.
41 – Na tela Enterprise applications | All applications selecione AWS-SSO-to-Azure.
42 – Na tela AWS-SSO-to-Azure | Overview clique em Provisioning.
43 – Na tela AWS-SSO-to-Azure | Provisioning clique em Get started.
44 – Na tela Provisioning em Provisioning Mode selecione Automatics, expanda admin Credentials, em clientesecret adicione o valor de Access key ID que copiamos do usuário da AWS, em Secret Token adicione o valor do Secret access key do usuário, em seguida clique em Test Connection. Como podemos observar o teste de conexão foi executado com sucesso, clique em Save.
Access key ID:
AKIAWKN2ZX3W6FPSOXWQ
Secret access key:
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
45 – Ainda na tela Provisioning em expanda Settings e marque Send an email notification when a failure occours, adicione o endereço de email e clique em Save.
46 – De volta a tela AWS-SSO-to-Azure | Provisioning clique em Edit provisioning.
47 – Na tela Provisioning expanda Settings em Provisioning status selecione On e clique em Save.
Observação: Depois de salvar as credenciais de provisionamento você deve aguardar a execução do ciclo de sincronização inicial. A conclusão da sincronização leva cerca de 40 minutos. Você pode ver o status na parte inferior da página Provisioning em Current cycle status.
48 – Como podemos observar a sincronização inicial foi executada.
49 – Vamos adicionar o grupo G_SSO_AWS com os usuários que poderão fazer login na AWS Console Management, clique em Users and Groups.
Observação: Para adicionar grupos ao Enterprise Application precisamos de licença para o Azure Active Directory.
Adicionando usuários e grupo ao Enterprise Application
50 – Na tela Users and groups clique em + Add user/group.
51 – Na tela Add Assignment clique em None Selected.
52 – Na tela Users and groups selecione o grupo “G_SSO_AWS”, todos os usuários que estão nesse grupo poderão autenticar no AWS Management Console.
53 – De volta a tela Add Assignment clique em Assign.
54 – Como podemos observar o grupo G_SSO_AWS foi adicionado.
Habilitar o MFA
55 – No portal do Azure pesquise por Azure Active Directory em Manage clique Properties.
56 – Na tela Diretório Padrão | Properties clique em Manage Security defaults, na tela Enable Security defaults clique em No e selecione My organization is using Conditional Access.
57 – Na tela AWS-SSO-to-Azure | Users and groups em Security clique em Conditional Access.
58 – Na tela AWS-SSO-to-Azure | Conditional Access clique em + New policy, em seguida clique em Create new policy.
59 – Na tela Conditional Acess policy em Name selecione um nome para a política, em Assignments à Users or workload identities, clique Specific users included, em User and groups selecione Select user and groups, em seguida selecione User and groups e selecione o grupo G_SSO_AWS.
60 – Ainda na tela Conditional Access policy clique em Grant, clique em 0 controls selected em Grant selecione Grant access e selecione Require multi-factor authentication e clique em Select.
61 – Ainda na tela Conditional Access policy em Enable policy selecione On e clique em Create.
62 – Na tela Conditional Access como podemos observar a politica MFA-AWS foi criada.
Acessa o AWS Management Console
63 – Faça login em Meus Aplicativos com um usuário que está no grupo G_SSO_AWS.
https://myapplications.microsoft.com/
64 – Na tela Meus Aplicativos percebam que temos o aplicativo AWS-SSO-to-Azure, clique em AWS-SSO-to-Azure.
65 – Na tela Mais informações necessárias clique em Avançar.
66 – Na tela Mantenha sua conta segura vamos configurar o MFA para a conta do usuário, clique em Próximo.
67 – Em Configure sua conta clique me Próximo.
68 – Baixe o aplicativo Microsoft Authenticator e escaneie o código QR e clique em Próximo.
69 – Na tela Microsoft Authenticator faça a autenticação em seu smartphone e clique em Próximo.
70 – Na tela Êxito clique em Concluído.
71 – Como podemos observar o MFA foi configurado, realize a autenticação em seu smartphone.
72 – Na tela Continuar conectado clique em Sim.
74 – No portal do Azure em Azure Active Directory clique em Enterprise applications.
75 – Na tela Enterprise applications | All applications selecione o AWS-SSO-to-Azure.
76 – Na tela AWS-SSO-to-Azure | Overview em Manage clique em Properties.
77 – Na tela AWS-SSO-to-Azure | Properties podemos logar no AWS Management Console utilizando o User access URL, copie o User access URL.
78 – Abra um navegador de sua preferência e cole o User access URL, será necessário fornecer as credencias de um usuário que está no grupo G_SSO_AWS que tem permissão para logar no AWS Console Management.
79 – Será necessário confirmar o MFA para autenticar no AWS Management Console.
80 – Como podemos observar autenticamos no AWS Management Console.
Comente suas sugestões e observações!
Forte abraço, obrigado e até o próximo post.
Carreira desenvolvida na área de tecnologia da informação, com ampla experiência em Cloud
Computing e Cloud Security.
Forte atuação em projetos de Cloud Security no Microsoft Azure e com tecnologias de
segurança do Microsoft 365.
Tenho Experiência em Microsoft Azure, Microsoft 365, AWS e Windows Server.
Sou Microsoft MVP na categoria Microsoft Azure, AWS Communit Builder Security & Identity e
MCT.