AWS Single Sign-On
O AWS Single Sign-On foi adicionado à galeria de aplicativos Azure AD em fevereiro de 2021. Facilita o gerenciamento do acesso centralmente a várias contas AWS e aplicativos AWS, com login através do Microsoft Azure AD. Federar o Microsoft Azure AD com O AWS SSO uma vez e usar o AWS SSO para gerenciar permissões em todas as suas contas AWS de um só lugar. O AWS SSO fornece permissões automaticamente e as mantém atualizadas à medida que você atualiza políticas e atribuições de acesso. Os usuários finais podem autenticar com suas credenciais de AD do Azure para acessar o Console AWS, a interface da linha de comando e os aplicativos integrados AWS SSO.
Essa integração fornecerá os seguintes benefícios:
- É possível controlar quem terá acesso à AWS no Azure AD.
- É possível permitir que seus usuários entrem de modo automático na AWS usando o SSO (logon único) com as respectivas contas do Azure AD.
- Você pode gerenciar suas contas em um único local, o portal clássico do Azure.
- Você pode configurar o MFA para as contas que vão acessar a AWS.
Azure Enterprese Application
O gerenciamento de aplicativos do Azure AD (Azure Active Directory) é o processo de criação, configuração, gerenciamento e monitoramento de aplicativos na nuvem. Quando um aplicativo é registrado em um tenant do Azure AD, os usuários que foram atribuídos a ele podem acessá-lo com segurança. Muitos tipos de aplicativos podem ser registrados no Azure AD. Para obter mais informações, confira Tipos de aplicativo para a plataforma de identidade da Microsoft.
Há várias maneiras possíveis de gerenciar aplicativos no Azure AD. A maneira mais fácil de começar a gerenciar um aplicativo é usar um aplicativo pré-integrado da galeria do Azure AD. Desenvolver um aplicativo próprio e registrá-lo no Azure AD é uma opção, ou você pode continuar a usar um aplicativo local.
Passo a passo
Configurações no Azure
01 – Faça login no portal do Azure.
02 – No portal do Azure pesquise por Azure Active Directory.
03 – No Azure Active Directory clique em Enteprise applications.
04 – Na tela Enterprise applications | All applications clique em + New application.
05 – Na tela Browse Azure AD Gallery selecione Amazon Web Services (AWS).
06 – Ainda na tela Browse Azure AD Gallery clique em AWS Single-Account Access.
07 – A tela AWS Single-Account Access será aberta, em Name digite um nome intuitivo e clique em Create.
08 – Após finalizarmos a criação do recurso seremos direcionados para a tela do aplicativo, clique em Single sign-on.
09 – Na tela AWS-SSO-to-Azure | Single sign-on selecione SAML.
10 – Na tela AWS-SSO-to-Azure | SAML-based Sign-on a notificação Save a single sign-on settings sera aberta, selecione Yes.
Caso fossemos configurar vários identificadores para várias instâncias AWS, selecionaríamos No, I’II save later e o valor https://signin.aws.amazon.com/saml com o #1 que seria o identificador da instância ficando da seguinte forma:
https://signin.aws.amazon.com/saml#1
Caso tivéssemos uma segunda instancia poderíamos utilizar da seguinte forma:
https://signin.aws.amazon.com/saml#2
Sendo assim adicionaríamos um identificador para cada instancia AWS.
11 – Ainda na tela AWS-SSO-to-Azure | SAML-based Sign-on clique em Change single sign-on mode.
12 – De volta a tela AWS-SSO-to-Azure | Single sign-on clique em SAML.
13 – Em SAML Signing Certificate faça o download do Federation Metadata XML.
14 – É necessário criar um grupo no Azure Active Directory e também criar um grupo na AWS com o mesmo nome do grupo do Azure Active Directory.
Configurações na AWS
15 – Faça login no AWS Management Console.
16 – No AWS Management Console pesquise por IAM.
17 – Na tela Identity and Access Management (IAM) clique em Identity providers.
18 – Na tela IAM em Identity providers clique em Add provider.
19 – Na tela Add an Identity provider em Provider type deixe selecionado SAML, em Provider name digite um nome para o Provider, em Metade document clique em Choose file e selecione o arquivo XML que baixamos lá no portal do Azure em Enterprise Application na opção Federation Metadata XML, em seguida clique em Add provider.
20 – Como podemos observar o provider foi adicionado, clique em Assign role.
21 – Na tela Assign role for AWS_Azure selecione Create a new role, em seguida clique em Next.
22 – Na tela Create role em SAML provider deixe selecionado AWS_Azure, selecione Allow programmatic and AWS Management Console access, em seguida clique em Next: Permissions.
23 – Na tela Attach permissions policies selecione as permissões desejadas, em nosso exemplo vou adicionar a permissão de SystemAdministrator, sem seguida clique em Next: Tags.
24 – Na tela Add tags (optional) clique em Next: Review.
25 – Na tela Review em Role name selecione o nome do grupo de que criamos no Azure Active Directory “G_AWS_Admin” em seguida clique em Create role.
26 – Como podemos observar a função foi criada.
27 – Na tela Identity and Access Management (IAM) clique em Policies.
28 – Na tela Policies clique em Create Policy.
29 – Na tela Create policy selecione JSON, adicione os seguintes valores e clique em Next: Tags.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iam:ListRoles"
],
"Resource": "*"
}
]
}
30 – Na tela Add tags clique em Next: Review.
31 – Na tela Review policy selecione um nome para a política “AzureAD_SSOUserRole_Policy” em seguida clique em Create policy.
32 – Como podemos observar a política foi criada.
33 – Em Identity and Access Management (IAM) clique em Users.
34 – Vamos criar o usuário que fará a comunicação SSO, na tela Users clique em Add users.
35 – Na tela Set user details em User name digite “AzureADRoleManager” em Select AWS credential type selecione Access Key – Programmatic access, em seguida clique em Next: Permissions.
36 – Na tela Set permissions clique em Attach existing policies directly em seguida adicione a política “AzureAD_SSOUserRole_Policy”, em seguida clique em Next: Tags.
37 – Na tela Add tags clique em Next: Review.
38 – Na tela Review verifique se todas as informações estão corretas e clique em Create user.
39 – Na tela Add user como poder observar o usuário foi criado com sucesso, a note as seguintes informações Access key ID e Secret access key, pois vamos precisas adicionar no Azure, clique em Close.
Observação: Clique em Show para exibir o Secret access key
User:
AzureADRoleManager
Access key ID:
AKIAWKN2ZX3W6FPSOXWQ
Secret access key:
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
Configurar o provisionamento de função no AWS Single-Account Access
40 – No portal do Azure em Azure Active Directory em seguida clique em Enterprise applications.
41 – Na tela Enterprise applications | All applications selecione AWS-SSO-to-Azure.
42 – Na tela AWS-SSO-to-Azure | Overview clique em Provisioning.
43 – Na tela AWS-SSO-to-Azure | Provisioning clique em Get started.
44 – Na tela Provisioning em Provisioning Mode selecione Automatics, expanda admin Credentials, em clientesecret adicione o valor de Access key ID que copiamos do usuário da AWS, em Secret Token adicione o valor do Secret access key do usuário, em seguida clique em Test Connection. Como podemos observar o teste de conexão foi executado com sucesso, clique em Save.
Access key ID:
AKIAWKN2ZX3W6FPSOXWQ
Secret access key:
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
45 – Ainda na tela Provisioning em expanda Settings e marque Send an email notification when a failure occours, adicione o endereço de email e clique em Save.
46 – De volta a tela AWS-SSO-to-Azure | Provisioning clique em Edit provisioning.
47 – Na tela Provisioning expanda Settings em Provisioning status selecione On e clique em Save.
Observação: Depois de salvar as credenciais de provisionamento você deve aguardar a execução do ciclo de sincronização inicial. A conclusão da sincronização leva cerca de 40 minutos. Você pode ver o status na parte inferior da página Provisioning em Current cycle status.
48 – Como podemos observar a sincronização inicial foi executada.
49 – Vamos adicionar o grupo G_SSO_AWS com os usuários que poderão fazer login na AWS Console Management, clique em Users and Groups.
Observação: Para adicionar grupos ao Enterprise Application precisamos de licença para o Azure Active Directory.
Adicionando usuários e grupo ao Enterprise Application
50 – Na tela Users and groups clique em + Add user/group.
51 – Na tela Add Assignment clique em None Selected.
52 – Na tela Users and groups selecione o grupo “G_SSO_AWS”, todos os usuários que estão nesse grupo poderão autenticar no AWS Management Console.
53 – De volta a tela Add Assignment clique em Assign.
54 – Como podemos observar o grupo G_SSO_AWS foi adicionado.
Habilitar o MFA
55 – No portal do Azure pesquise por Azure Active Directory em Manage clique Properties.
56 – Na tela Diretório Padrão | Properties clique em Manage Security defaults, na tela Enable Security defaults clique em No e selecione My organization is using Conditional Access.
57 – Na tela AWS-SSO-to-Azure | Users and groups em Security clique em Conditional Access.
58 – Na tela AWS-SSO-to-Azure | Conditional Access clique em + New policy, em seguida clique em Create new policy.
59 – Na tela Conditional Acess policy em Name selecione um nome para a política, em Assignments à Users or workload identities, clique Specific users included, em User and groups selecione Select user and groups, em seguida selecione User and groups e selecione o grupo G_SSO_AWS.
60 – Ainda na tela Conditional Access policy clique em Grant, clique em 0 controls selected em Grant selecione Grant access e selecione Require multi-factor authentication e clique em Select.
61 – Ainda na tela Conditional Access policy em Enable policy selecione On e clique em Create.
62 – Na tela Conditional Access como podemos observar a politica MFA-AWS foi criada.
Acessa o AWS Management Console
63 – Faça login em Meus Aplicativos com um usuário que está no grupo G_SSO_AWS.
https://myapplications.microsoft.com/
64 – Na tela Meus Aplicativos percebam que temos o aplicativo AWS-SSO-to-Azure, clique em AWS-SSO-to-Azure.
65 – Na tela Mais informações necessárias clique em Avançar.
66 – Na tela Mantenha sua conta segura vamos configurar o MFA para a conta do usuário, clique em Próximo.
67 – Em Configure sua conta clique me Próximo.
68 – Baixe o aplicativo Microsoft Authenticator e escaneie o código QR e clique em Próximo.
69 – Na tela Microsoft Authenticator faça a autenticação em seu smartphone e clique em Próximo.
70 – Na tela Êxito clique em Concluído.
71 – Como podemos observar o MFA foi configurado, realize a autenticação em seu smartphone.
72 – Na tela Continuar conectado clique em Sim.
74 – No portal do Azure em Azure Active Directory clique em Enterprise applications.
75 – Na tela Enterprise applications | All applications selecione o AWS-SSO-to-Azure.
76 – Na tela AWS-SSO-to-Azure | Overview em Manage clique em Properties.
77 – Na tela AWS-SSO-to-Azure | Properties podemos logar no AWS Management Console utilizando o User access URL, copie o User access URL.
78 – Abra um navegador de sua preferência e cole o User access URL, será necessário fornecer as credencias de um usuário que está no grupo G_SSO_AWS que tem permissão para logar no AWS Console Management.
79 – Será necessário confirmar o MFA para autenticar no AWS Management Console.
80 – Como podemos observar autenticamos no AWS Management Console.
Comente suas sugestões e observações!
Forte abraço, obrigado e até o próximo post.
Carreira desenvolvida na área de tecnologia da informação, com ampla experiência em Cloud Computing, com foco em Microsoft Azure.
Fui nomeado Microsoft MVP na categoria Microsoft Azure.
Faço parte da Ong MTAC, sou MCT Microsoft, tenho algumas certificações como AZ-303 Microsoft Azure Architect Technologies, AZ-104 Azure Administrator, MCSE Core Infrastructure e MCSA Windows Server 2012.
Também participo como palestrante em eventos online da comunidade de TI, sou administrador e escritor no blog https://jadsonalves.com.br cujo principal objetivo é compartilhar conhecimento com a comunidade de TI e também escrevo artigos técnicos no portal https://cooperati.com.br