Como Integrar o Azure Active Directory com a AWS

AWS Single Sign-On

O AWS Single Sign-On foi adicionado à galeria de aplicativos Azure AD em fevereiro de 2021. Facilita o gerenciamento do acesso centralmente a várias contas AWS e aplicativos AWS, com login através do Microsoft Azure AD. Federar o Microsoft Azure AD com O AWS SSO uma vez e usar o AWS SSO para gerenciar permissões em todas as suas contas AWS de um só lugar. O AWS SSO fornece permissões automaticamente e as mantém atualizadas à medida que você atualiza políticas e atribuições de acesso. Os usuários finais podem autenticar com suas credenciais de AD do Azure para acessar o Console AWS, a interface da linha de comando e os aplicativos integrados AWS SSO.

Essa integração fornecerá os seguintes benefícios:

  • É possível controlar quem terá acesso à AWS no Azure AD.
  • É possível permitir que seus usuários entrem de modo automático na AWS usando o SSO (logon único) com as respectivas contas do Azure AD.
  • Você pode gerenciar suas contas em um único local, o portal clássico do Azure.
  • Você pode configurar o MFA para as contas que vão acessar a AWS.

Azure Enterprese Application

O gerenciamento de aplicativos do Azure AD (Azure Active Directory) é o processo de criação, configuração, gerenciamento e monitoramento de aplicativos na nuvem. Quando um aplicativo é registrado em um tenant do Azure AD, os usuários que foram atribuídos a ele podem acessá-lo com segurança. Muitos tipos de aplicativos podem ser registrados no Azure AD. Para obter mais informações, confira Tipos de aplicativo para a plataforma de identidade da Microsoft.

Há várias maneiras possíveis de gerenciar aplicativos no Azure AD. A maneira mais fácil de começar a gerenciar um aplicativo é usar um aplicativo pré-integrado da galeria do Azure AD. Desenvolver um aplicativo próprio e registrá-lo no Azure AD é uma opção, ou você pode continuar a usar um aplicativo local.

Passo a passo

Configurações no Azure

01 – Faça login no portal do Azure.

02 – No portal do Azure pesquise por Azure Active Directory.

03 – No Azure Active Directory clique em Enteprise applications.

04 – Na tela Enterprise applications | All applications clique em + New application.

05 – Na tela Browse Azure AD Gallery selecione Amazon Web Services (AWS).

06 – Ainda na tela Browse Azure AD Gallery clique em AWS Single-Account Access.

07 – A tela AWS Single-Account Access será aberta, em Name digite um nome intuitivo e clique em Create.

08 – Após finalizarmos a criação do recurso seremos direcionados para a tela do aplicativo, clique em Single sign-on.

09 – Na tela AWS-SSO-to-Azure | Single sign-on selecione SAML.

10 – Na tela AWS-SSO-to-Azure | SAML-based Sign-on a notificação Save a single sign-on settings sera aberta, selecione Yes.

Caso fossemos configurar vários identificadores para várias instâncias AWS,  selecionaríamos No, I’II save later e o valor https://signin.aws.amazon.com/saml com o #1 que seria o identificador da instância ficando da seguinte forma:

https://signin.aws.amazon.com/saml#1

Caso tivéssemos uma segunda instancia poderíamos utilizar da seguinte forma:

https://signin.aws.amazon.com/saml#2

Sendo assim adicionaríamos um identificador para cada instancia AWS.

11 – Ainda na tela AWS-SSO-to-Azure | SAML-based Sign-on clique em Change single sign-on mode.

12 – De volta a tela AWS-SSO-to-Azure | Single sign-on clique em SAML.

13 – Em SAML Signing Certificate faça o download do Federation Metadata XML.

14 – É necessário criar um grupo no Azure Active Directory e também criar um grupo na AWS com o mesmo nome do grupo do Azure Active Directory.

Configurações na AWS

15 – Faça login no AWS Management Console.

Amazon Web Services Sign-In

16 – No AWS Management Console pesquise por IAM.

17 – Na tela Identity and Access Management (IAM) clique em Identity providers.

18 – Na tela IAM em Identity providers clique em Add provider.

19 – Na tela Add an Identity provider em Provider type deixe selecionado SAML, em Provider name digite um nome para o Provider, em Metade document clique em Choose file e selecione o arquivo XML que baixamos lá no portal do Azure em Enterprise Application na opção Federation Metadata XML, em seguida clique em Add provider.

20 – Como podemos observar o provider foi adicionado, clique em Assign role.

21 – Na tela Assign role for AWS_Azure selecione Create a new role, em seguida clique em Next.

22 – Na tela Create role em SAML provider deixe selecionado AWS_Azure, selecione Allow programmatic and AWS Management Console access, em seguida clique em Next: Permissions.

23 – Na tela Attach permissions policies selecione as permissões desejadas, em nosso exemplo vou adicionar a permissão de SystemAdministrator, sem seguida clique em Next: Tags.

24 – Na tela Add tags (optional) clique em Next: Review.

25 –  Na tela Review em Role name selecione o nome do grupo de que criamos no Azure Active Directory “G_AWS_Admin” em seguida clique em Create role.

26 – Como podemos observar a função foi criada.

27 – Na tela Identity and Access Management (IAM) clique em Policies.

28 – Na tela Policies clique em Create Policy.

29 – Na tela Create policy selecione JSON, adicione os seguintes valores e clique em Next: Tags.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
            "iam:ListRoles"
            ],
            "Resource": "*"
        }
    ]
}

30 – Na tela Add tags clique em Next: Review.

31 – Na tela Review policy selecione um nome para a política “AzureAD_SSOUserRole_Policy” em seguida clique em Create policy.

32 – Como podemos observar a política foi criada.

33 – Em Identity and Access Management (IAM) clique em Users.

34 – Vamos criar o usuário que fará a comunicação SSO, na tela Users clique em Add users.

35 – Na tela Set user details em User name digite “AzureADRoleManager” em Select AWS credential type selecione Access Key – Programmatic access, em seguida clique em Next: Permissions.

36 – Na tela Set permissions clique em Attach existing policies directly em seguida adicione a política “AzureAD_SSOUserRole_Policy”, em seguida clique em Next: Tags.

37 – Na tela Add tags clique em Next: Review.

38 – Na tela Review verifique se todas as informações estão corretas e clique em Create user.

39 – Na tela Add user como poder observar o usuário foi criado com sucesso, a note as seguintes informações Access key ID e Secret access key, pois vamos precisas adicionar no Azure, clique em Close.

Observação: Clique em Show para exibir o Secret access key

User:

AzureADRoleManager

Access key ID:

AKIAWKN2ZX3W6FPSOXWQ

Secret access key:

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

Configurar o provisionamento de função no AWS Single-Account Access

40 – No portal do Azure em Azure Active Directory em seguida clique em Enterprise applications.

41 – Na tela Enterprise applications | All applications selecione AWS-SSO-to-Azure.

42 – Na tela AWS-SSO-to-Azure | Overview clique em Provisioning.

43 – Na tela AWS-SSO-to-Azure | Provisioning clique em Get started.

44 – Na tela Provisioning em Provisioning Mode selecione Automatics, expanda admin Credentials, em clientesecret adicione o valor de Access key ID que copiamos do usuário da AWS, em Secret Token adicione o valor do Secret access key do usuário, em seguida clique em Test Connection. Como podemos observar o teste de conexão foi executado com sucesso, clique em Save.

Access key ID:

AKIAWKN2ZX3W6FPSOXWQ

Secret access key:

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

45 – Ainda na tela Provisioning em expanda Settings e marque Send an email notification when a failure occours, adicione o endereço de email e clique em Save.

46 – De volta a tela AWS-SSO-to-Azure | Provisioning clique em Edit provisioning.

47 – Na tela Provisioning expanda Settings em Provisioning status selecione On e clique em Save.

Observação: Depois de salvar as credenciais de provisionamento você deve aguardar a execução do ciclo de sincronização inicial. A conclusão da sincronização leva cerca de 40 minutos. Você pode ver o status na parte inferior da página Provisioning em Current cycle status. 

48 – Como podemos observar a sincronização inicial foi executada.

49 – Vamos adicionar o grupo G_SSO_AWS com os usuários que poderão fazer login na AWS Console Management, clique em Users and Groups.

Observação: Para adicionar grupos ao Enterprise Application precisamos de licença para o Azure Active Directory.

Adicionando usuários e grupo ao Enterprise Application

50 – Na tela Users and groups clique em + Add user/group.

51 – Na tela Add Assignment clique em None Selected.

52 – Na tela Users and groups selecione o grupo “G_SSO_AWS”, todos os usuários que estão nesse grupo poderão autenticar no AWS Management Console.

53 – De volta a tela Add Assignment clique em Assign.

54 – Como podemos observar o grupo G_SSO_AWS foi adicionado.

Habilitar o MFA

55 – No portal do Azure pesquise por Azure Active Directory em Manage clique Properties.

56 – Na tela Diretório Padrão | Properties clique em Manage Security defaults, na tela Enable Security defaults clique em No e selecione My organization is using Conditional Access.

57 – Na tela AWS-SSO-to-Azure | Users and groups em Security clique em Conditional Access.

58 – Na tela AWS-SSO-to-Azure | Conditional Access clique em + New policy, em seguida clique em Create new policy.

59 – Na tela Conditional Acess policy em Name selecione um nome para a política, em Assignments à Users or workload identities, clique Specific users included, em User and groups selecione Select user and groups, em seguida selecione User and groups e selecione o grupo G_SSO_AWS.

60 – Ainda na tela Conditional Access policy clique em Grant, clique em 0 controls selected em Grant selecione Grant access e selecione Require multi-factor authentication e clique em Select.

61 – Ainda na tela Conditional Access policy em Enable policy selecione On e clique em Create.

62 – Na tela Conditional Access como podemos observar a politica MFA-AWS foi criada.

Acessa o AWS Management Console

63 – Faça login em Meus Aplicativos com um usuário que está no grupo G_SSO_AWS.

https://myapplications.microsoft.com/

64 – Na tela Meus Aplicativos percebam que temos o aplicativo AWS-SSO-to-Azure, clique em AWS-SSO-to-Azure.

65 – Na tela Mais informações necessárias clique em Avançar.

66 – Na tela Mantenha sua conta segura vamos configurar o MFA para a conta do usuário, clique em Próximo.

67 – Em Configure sua conta clique me Próximo.

68 – Baixe o aplicativo Microsoft Authenticator e escaneie o código QR e clique em Próximo.

69 – Na tela Microsoft Authenticator faça a autenticação em seu smartphone e clique em Próximo.

70 – Na tela Êxito clique em Concluído.

71 – Como podemos observar o MFA foi configurado, realize a autenticação em seu smartphone.

72 – Na tela Continuar conectado clique em Sim.

73 – Como podemos observar autenticamos no AWS Console Management.

74 – No portal do Azure em Azure Active Directory clique em Enterprise applications.

75 – Na tela Enterprise applications | All applications selecione o AWS-SSO-to-Azure.

76 – Na tela AWS-SSO-to-Azure | Overview em Manage clique em Properties.

77 – Na tela AWS-SSO-to-Azure | Properties podemos logar no AWS Management Console utilizando o User access URL, copie o User access URL.

78 – Abra um navegador de sua preferência e cole o User access URL, será necessário fornecer as credencias de um usuário que está no grupo G_SSO_AWS que tem permissão para logar no AWS Console Management.

79 – Será necessário confirmar o MFA para autenticar no AWS Management Console.

80 – Como podemos observar autenticamos no AWS Management Console.

Comente suas sugestões e observações! 

Forte abraço, obrigado e até o próximo post.

Deixe um comentário

O seu endereço de e-mail não será publicado.