Freigeben über

Konfigurieren von AWS Single-Account Access für einmaliges Anmelden mit Microsoft Entra ID

In diesem Artikel erfahren Sie, wie Sie AWS Single-Account Access mit Microsoft Entra ID integrieren. Die Integration von AWS Single-Account Access in Microsoft Entra ID ermöglicht Folgendes:

  • Steuern Sie in Microsoft Entra ID, wer Zugriff auf AWS Single-Account Access hat.
  • Ermöglichen Sie es Ihren Benutzer*innen, sich mit ihren Microsoft Entra-Konten automatisch bei AWS Single-Account Access anzumelden.
  • Verwalten Sie Ihre Konten an einem zentralen Ort.

Verwenden Sie die folgenden Informationen, um sich zwischen den Anwendungen „AWS Single Sign-On” und „AWS Single-Account Access” aus dem Microsoft Entra-Anwendungskatalog zu entscheiden.

Single Sign-On:

AWS Single Sign-On wurde im Februar 2021 zum Microsoft Entra-Anwendungskatalog hinzugefügt. Die Anwendung erleichtert die zentrale Zugriffsverwaltung für mehrere AWS-Konten und AWS-Anwendungen (mit Anmeldung über Microsoft Entra ID). Richten Sie einmalig einen Verbund zwischen Microsoft Entra ID und AWS SSO ein, und verwenden Sie AWS SSO, um Berechtigungen für alle Ihre AWS-Konten an einem zentralen Ort zu verwalten. AWS SSO stellt Berechtigungen automatisch bereit und hält sie auf dem neuesten Stand, wenn Sie Richtlinien und Zugriffszuweisungen aktualisieren. Endbenutzer*innen können sich mit ihren Microsoft Entra-Anmeldeinformationen authentifizieren, um auf die AWS-Konsole, auf die Befehlszeilenschnittstelle und auf integrierte AWS SSO-Anwendungen zuzugreifen.

AWS Single-Account Access

AWS Single-Account Access wurde in den letzten Jahren von Kunden verwendet und ermöglicht es Ihnen, Microsoft Entra-ID mit einem einzigen AWS-Konto zu verbinden und Microsoft Entra-ID zum Verwalten des Zugriffs auf AWS-IAM-Rollen zu verwenden. AWS-IAM-Administratoren definieren Rollen und Richtlinien in jedem AWS-Konto. Microsoft Entra-Administrator*innen richten für jedes AWS-Konto einen Verbund mit AWS-IAM ein, weisen dem Konto Benutzer*innen oder Gruppen zu und konfigurieren Microsoft Entra ID so, dass Assertionen zum Autorisieren des Rollenzugriffs gesendet werden.

Merkmal AWS Single Sign-On AWS Single-Account Access
Bedingter Zugriff Unterstützt eine einzelne Richtlinie für bedingten Zugriff für alle AWS-Konten. Unterstützt eine einzelne Richtlinie für bedingten Zugriff für alle Konten oder benutzerdefinierte Richtlinien pro Konto.
CLI-Zugriff Unterstützt Unterstützt
Verwaltung privilegierter Identitäten Abgestützt Nicht unterstützt
Zentralisierte Kontoverwaltung Zentralisierte Kontoverwaltung in AWS Zentrale Kontoverwaltung in Microsoft Entra ID (erfordert wahrscheinlich eine Microsoft Entra Enterprise-Anwendung pro Konto).
SAML-Zertifikat Einzelnes Zertifikat Separate Zertifikate pro App/Konto

Architektur von AWS Single-Account Access

Screenshot, der die Beziehung zwischen Microsoft Entra ID und AWS zeigt.

Sie können mehrere Bezeichner für mehrere Instanzen konfigurieren. Zum Beispiel:

  • https://signin.aws.amazon.com/saml#1

  • https://signin.aws.amazon.com/saml#2

Mit diesen Werten entfernt Microsoft Entra ID den Wert von # und sendet den korrekten Wert https://signin.aws.amazon.com/saml als Zielgruppen-URL im SAML-Token.

Dieser Ansatz wird aus folgenden Gründen empfohlen:

  • Mit jeder Anwendung erhalten Sie ein individuelles X509-Zertifikat. Jede Instanz einer AWS App-Instanz kann dann ein anderes Zertifikatablaufdatum haben, das auf individueller AWS-Kontenbasis verwaltet werden kann. In diesem Fall gestaltet sich das Zertifikatrollover einfacher.

  • Sie können die Benutzerbereitstellung mit der AWS-App in Microsoft Entra ID aktivieren, woraufhin unser Dienst alle Rollen aus diesem AWS-Konto abruft. Sie müssen die AWS-Rollen nicht manuell in der App hinzufügen oder aktualisieren.

  • Sie können den App-Besitzer für die App individuell zuweisen. Diese Person kann die App direkt in Microsoft Entra ID verwalten.

Hinweis

Achten Sie darauf, nur eine Kataloganwendung zu verwenden.

Voraussetzungen

Für die ersten Schritte benötigen Sie Folgendes:

  • Ein Microsoft Entra-Abonnement. Wenn Sie kein Abonnement haben, können Sie ein kostenloses Konto erhalten.
  • Ein für AWS IAM-Identitätsanbieter aktiviertes Abonnement.
  • Neben Cloudanwendungsadministrator*innen können auch Anwendungsadministrator*innen Anwendungen in Microsoft Entra ID hinzufügen und verwalten. Weitere Informationen finden Sie unter integrierten Azure-Rollen.

Hinweis

Rollen sollten bei Rollenimporten nicht manuell in der Microsoft Entra-ID bearbeitet werden.

Beschreibung des Szenarios

In diesem Artikel konfigurieren und testen Sie Microsoft Entra SSO in einer Testumgebung.

  • AWS Single-Account Access unterstützt von SP und IDP initiiertes SSO.

Hinweis

Der Bezeichner dieser Anwendung ist ein fester Zeichenfolgenwert, daher kann in einem Mandanten nur eine Instanz konfiguriert werden.

Um die Integration von AWS Single-Account Access in Microsoft Entra ID zu konfigurieren, müssen Sie AWS Single-Account Access über den Katalog Ihrer Liste mit den verwalteten SaaS-Apps hinzufügen.

  1. Melden Sie sich mindestens als Cloudanwendungsadministrator beim Microsoft Entra Admin Center an.
  2. Navigieren Sie zu Entra ID>Enterprise-Apps>Neue Anwendung.
  3. Geben Sie im Abschnitt Hinzufügen aus der GalerieAWS Single-Account Access in das Suchfeld ein.
  4. Wählen Sie AWS Single-Account Access aus dem Ergebnisbereich aus, und fügen Sie die App hinzu. Warten Sie einige Sekunden, während die App Ihrem Mandanten hinzugefügt wird.

Alternativ können Sie auch den Konfigurations-Assistenten für Enterprise-Apps verwenden. In diesem Assistenten können Sie Ihrem Mandanten eine Anwendung hinzufügen, der App Benutzer und Gruppen hinzufügen, Rollen zuweisen sowie die SSO-Konfiguration durchlaufen. Weitere Informationen zu Microsoft 365-Assistenten finden Sie hier.

Konfigurieren und Testen des einmaligen Anmeldens von Microsoft Entra für AWS Single-Account Access

Konfigurieren und testen Sie Microsoft Entra SSO mit AWS Single-Account Access mithilfe eines Testbenutzers namens B.Simon. Damit SSO funktioniert, muss eine Linkbeziehung zwischen einem Microsoft Entra-Benutzer und dem entsprechenden Benutzer in AWS Single-Account Access eingerichtet werden.

Führen Sie zum Konfigurieren und Testen des einmaligen Anmeldens (SSO) von Microsoft Entra mit AWS Single-Account Access die folgenden Schritte aus:

  1. Konfigurieren Sie Microsoft Entra SSO – damit Ihre Benutzer dieses Feature verwenden können.
    1. Erstellen Sie einen Microsoft Entra-Testbenutzer – um microsoft Entra Single Sign-On mit B.Simon zu testen.
    2. Weisen Sie den Microsoft Entra-Testbenutzer zu – damit B.Simon das Einmalige Anmelden von Microsoft Entra verwenden kann.
  2. Konfigurieren Sie AWS Single-Account Access-SSO – um die Einstellungen für einmaliges Anmelden auf Anwendungsseite zu konfigurieren.
    1. Erstellen Sie AWS Single-Account Access-Testbenutzer – um ein Gegenstück von B.Simon in AWS Single-Account Access zu haben, das mit der Microsoft Entra-Darstellung des Benutzers verknüpft ist.
    2. Konfigurieren der Rollenbereitstellung in AWS Single-Account Access
  3. Testen Sie SSO – um zu überprüfen, ob die Konfiguration funktioniert.

Konfigurieren des einmaligen Anmeldens (SSO) von Microsoft Entra

Führen Sie die folgenden Schritte aus, um einmaliges Anmelden von Microsoft Entra zu aktivieren.

  1. Melden Sie sich mindestens als Cloudanwendungsadministrator beim Microsoft Entra Admin Center an.

  2. Navigieren Sie zu Entra ID>Enterprise-Apps>AWS Single-Account Access>Single Sign-On.

  3. Wählen Sie auf der Seite " Single Sign-On-Methode auswählen " SAML aus.

  4. Wählen Sie auf der Seite " Einmaliges Anmelden mit SAML einrichten " das Stiftsymbol für die grundlegende SAML-Konfiguration aus, um die Einstellungen zu bearbeiten.

    Screenshot mit

  5. Aktualisieren Sie im Abschnitt "Grundlegende SAML-Konfiguration " sowohl den Bezeichner (Entitäts-ID) als auch die Antwort-URL mit demselben Standardwert: https://signin.aws.amazon.com/saml. Sie müssen " Speichern" auswählen, um die Konfigurationsänderungen zu speichern.

  6. Die AWS-Anwendung erwartet die SAML-Assertionen in einem bestimmten Format. Daher müssen Sie Ihrer Konfiguration der SAML-Tokenattribute benutzerdefinierte Attributzuordnungen hinzufügen. Der folgende Screenshot zeigt die Liste der Standardattribute.

    Screenshot mit Standardattributen.

  7. Darüber hinaus erwartet die AWS-Anwendung, dass in der SAML-Antwort noch einige weitere Attribute zurückgegeben werden (siehe unten). Diese Attribute werden ebenfalls vorab aufgefüllt, Sie können sie jedoch nach Bedarf überprüfen.

    Name Quellattribut Namespace
    RoleSessionName user.userprincipalname https://aws.amazon.com/SAML/Attributes
    Rolle user.assignedroles https://aws.amazon.com/SAML/Attributes
    SessionDuration user.sessionduration https://aws.amazon.com/SAML/Attributes

    Hinweis

    AWS erwartet, dass der Anwendung Rollen für Benutzer zugewiesen werden. Richten Sie diese Rollen in Microsoft Entra ID ein, damit Benutzern die passenden Rollen zugewiesen werden können. Informationen zum Konfigurieren von Rollen in der Microsoft Entra-ID finden Sie hier.

  8. Wählen Sie auf der Seite " Einmaliges Anmelden mit SAML einrichten " im Dialogfeld SAML-Signaturzertifikat (Schritt 3) die Option "Zertifikat hinzufügen" aus.

    Screenshot: Erstellen eines neuen SAML-Zertifikats.

  9. Generieren Sie ein neues SAML-Signaturzertifikat, und wählen Sie dann "Neues Zertifikat" aus. Geben Sie eine E-Mail-Adresse für Zertifikatbenachrichtigungen ein.

    Screenshot des neuen SAML-Zertifikats.

  10. (Optional) Sie können "Zertifikat aktivieren" auswählen.

  11. Suchen Sie im Abschnitt SAML-Signaturzertifikat nach Verbundmetadaten-XML , und wählen Sie "Herunterladen " aus, um das Zertifikat herunterzuladen und auf Ihrem Computer zu speichern.

  12. Kopieren Sie im Abschnitt "AWS Single-Account Access einrichten " die entsprechenden URLs basierend auf Ihrer Anforderung.

    Screenshot mit URLs zum Kopieren der Konfiguration.

Erstellen und Zuweisen eines Microsoft Entra-Testbenutzers

Befolgen Sie die Richtlinien im Erstellen und Zuweisen eines Benutzerkontos Schnellstart, um ein Testbenutzerkonto namens B.Simon zu erstellen.

Konfigurieren des einmaligen Anmeldens für AWS Single-Account Access

  1. Melden Sie sich in einem anderen Browserfenster bei Ihrer AWS-Unternehmenswebsite als Administrator an.

  2. Suchen Sie auf der AWS-Startseite nach IAM , und wählen Sie sie aus.

    Screenshot: Seite mit den AWS-Diensten mit Hervorhebung von IAM

  3. Wechseln Sie zu Access Management>Identity Providers , und wählen Sie die Schaltfläche " Anbieter hinzufügen" aus .

    Screenshot der IAM-Seite mit hervorgehobenen Bereichen

  4. Führen Sie auf der Seite " Identitätsanbieter hinzufügen " die folgenden Schritte aus:

    Screenshot von „Anbieter konfigurieren“.

    a) Wählen Sie für den AnbietertypSAML aus.

    b. Geben Sie für den Anbieternamen einen Anbieternamen ein (z. B. WAAD).

    c. Um die heruntergeladene Metadatendatei hochzuladen, wählen Sie "Datei auswählen" aus.

    d. Wählen Sie "Anbieter hinzufügen" aus.

  5. Wählen Sie "Rollen>erstellen" aus.

    Screenshot der Seite

  6. Führen Sie auf der Seite " Rolle erstellen " die folgenden Schritte aus:

    Screenshot der Seite

    a) Wählen Sie "Vertrauenswürdiger Entitätstyp" und dann "SAML 2.0"-Partnerverbund aus.

    b. Wählen Sie unter SAML 2.0-basierten Anbieter den zuvor erstellten SAML-Anbieter aus (z. B. WAAD).

    c. Wählen Sie "Programmgesteuerten und AWS Management Console-Zugriff zulassen" aus.

    d. Wählen Sie "Weiter" aus.

  7. Fügen Sie im Dialogfeld "Berechtigungsrichtlinien " die entsprechende Richtlinie gemäß Ihrer Organisation an. Wählen Sie dann "Weiter" aus.

    Screenshot des Dialogfelds

  8. Führen Sie im Dialogfeld "Überprüfen " die folgenden Schritte aus:

    Screenshot des Dialogfelds

    a) Geben Sie im Rollennamen Ihren Rollennamen ein.

    b. Geben Sie in "Beschreibung" die Rollenbeschreibung ein.

    c. Wählen Sie "Rolle erstellen" aus.

    d. Erstellen Sie so viele Rollen, wie Sie benötigen, und ordnen Sie sie dem Identitätsanbieter zu.

  9. Verwenden Sie die Anmeldeinformationen des AWS-Dienstkontos, um die Rollen aus dem AWS-Konto in der Microsoft Entra-Benutzerbereitstellung abzurufen. Öffnen Sie hierzu die Startseite der AWS-Konsole.

  10. Wählen Sie im Abschnitt IAM die Option "Richtlinien " und dann " Richtlinie erstellen" aus.

    Screenshot des Abschnitts

  11. Erstellen Sie eine eigene Richtlinie, um alle Rollen aus AWS-Konten abzurufen.

    Screenshot der Seite

    a) Wählen Sie unter Create policy (Richtlinie erstellen) die Registerkarte JSON aus.

    b. Fügen Sie in diesem Richtliniendokument den folgenden JSON-Code hinzu:

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
            "iam:ListRoles"
            ],
            "Resource": "*"
        }
    ]
}

    c. Wählen Sie Weiter: Tags aus.

  12. Sie können auch die erforderlichen Tags auf der folgenden Seite hinzufügen und "Weiter: Überprüfen" auswählen.

    Screenshot der Seite

  13. Definieren Sie die neue Richtlinie. Screenshot der Seite

    a) Geben Sie für NameAzureAD_SSOUserRole_Policy ein.

    b. Geben Sie "Beschreibung" ein. Diese Richtlinie ermöglicht das Abrufen der Rollen aus AWS-Konten.

    c. Wählen Sie "Richtlinie erstellen" aus.

  14. Erstellen Sie im AWS-IAM-Dienst ein neues Benutzerkonto. a) Wählen Sie in der AWS IAM-Konsole "Benutzer " und dann "Benutzer hinzufügen" aus.

    Screenshot der AWS IAM-Konsole mit hervorgehobenen

    b. Geben Sie im Abschnitt "Benutzerdetails angeben " den Benutzernamen als AzureADRoleManager ein, und wählen Sie "Weiter" aus.

    Screenshot der Seite „Benutzer hinzufügen“ mit hervorgehobener Option „Benutzername“ und „Zugriffsart“.

    c. Erstellen Sie eine neue Richtlinie für diesen Benutzer.

    Screenshot der Seite

    d. Wählen Sie "Vorhandene Richtlinien direkt anfügen" aus.

    e. Suchen Sie im Filterabschnitt AzureAD_SSOUserRole_Policy nach der neu erstellten Richtlinie.

    f. Wählen Sie die Richtlinie und dann "Weiter" aus.

  15. Überprüfen Sie Ihre Auswahl, und wählen Sie " Benutzer erstellen" aus.

    Hinweis

    Stellen Sie sicher, dass Sie den Zugriffsschlüssel eines Drittanbieters für diesen Benutzer erstellen und herunterladen. Dieser Schlüssel wird im Microsoft Entra-Benutzerbereitstellungsbereich verwendet, um die Rollen aus der AWS-Konsole abzurufen.

  16. Um die Benutzeranmeldeinformationen eines Benutzers herunterzuladen, aktivieren Sie den Konsolenzugriff auf der Registerkarte " Sicherheitsanmeldeinformationen ". Screenshot zeigt die Sicherheitsanmeldeinformationen.

  17. Geben Sie diese Anmeldeinformationen im Microsoft Entra-Abschnitt für die Benutzerbereitstellung ein, um die Rollen aus der AWS-Konsole abzurufen. Der Screenshot zeigt den Download der Benutzeranmeldeinformationen.

Hinweis

AWS verfügt über eine Reihe von Berechtigungen/Grenzwerten, die zum Konfigurieren von AWS SSO erforderlich sind. Weitere Informationen zu AWS-Grenzwerten finden Sie auf dieser Seite.

Konfigurieren der Rollenbereitstellung in AWS Single-Account Access

  1. Wechseln Sie im Microsoft Entra-Verwaltungsportal in der AWS-Anwendung zur Bereitstellung.

    Screenshot der AWS-App mit hervorgehobener Optin „Bereitstellung“.

Anmerkung: Der Benutzername und das Kennwort, der beim Aktivieren des Konsolenzugriffs zurückgegeben wird, sind für die Clientsecret- und Secret Token-Werte nicht erforderlich. Erstellen Sie stattdessen einen Zugangsschlüssel eines Drittanbieters für diesen Schritt.

  1. Geben Sie den Zugriffsschlüssel bzw. geheimen Schlüssel in die Felder "Clientsecret " und "Secret Token " ein.

    Screenshot des Dialogfelds

    a) Geben Sie den AWS-Benutzerzugriffsschlüssel in das Feld "clientsecret " ein.

    b. Geben Sie den AWS-Benutzerschlüssel in das Feld "Geheimes Token " ein.

    c. Wählen Sie "Verbindung testen" aus.

    d. Speichern Sie die Einstellung, indem Sie "Speichern" auswählen.

  2. Wählen Sie im Abschnitt "Einstellungen" für den Bereitstellungsstatus"Ein" aus. Wählen Sie dann "Speichern" aus.

    Screenshot: Abschnitt Einstellungen mit hervorgehobener Option Ein.

Hinweis

Der Bereitstellungsdienst importiert Rollen nur aus AWS in Microsoft Entra ID. Der Dienst stellt keine Benutzer und Gruppen von Microsoft Entra ID auf AWS bereit.

Hinweis

Nach dem Speichern der Anmeldeinformationen für die Bereitstellung müssen Sie warten, bis der erstmalige Synchronisierungszyklus ausgeführt wird. Die Synchronisierung dauert normalerweise ca. 40 Minuten. Der Status wird unten auf der Seite "Bereitstellung " unter "Aktueller Status" angezeigt.

Erstellen eines Testbenutzers für AWS Single-Account Access

Das Ziel dieses Abschnitts ist das Erstellen eines Benutzers namens B. Simon in AWS Single-Account Access. Bei AWS Single-Account Access muss für das einmalige Anmelden nicht eigens ein Benutzer im System erstellt werden, daher ist hier keine Aktion erforderlich.

Testen des einmaligen Anmeldens (SSO)

In diesem Abschnitt testen Sie die Microsoft Entra-Konfiguration für einmaliges Anmelden mit den folgenden Optionen.

SP-initiiert:

  • Wählen Sie "Diese Anwendung testen" aus, leitet diese Option zu AWS Single-Account Zugriffsanmeldungs-URL um, wo Sie den Anmeldefluss initiieren können.

  • Rufen Sie direkt die Anmelde-URL für AWS Single-Account Access auf, und initiieren Sie den Anmeldeflow.

IDP-initiiert:

  • Wählen Sie "Diese Anwendung testen" aus, und Sie sollten automatisch bei der AWS-Single-Account Access angemeldet sein, für die Sie das SSO einrichten.

Sie können auch den Microsoft-Bereich „Meine Apps“ verwenden, um die Anwendung in einem beliebigen Modus zu testen. Wenn Sie die Kachel "AWS Single-Account Access" in den "Meine Apps" auswählen, werden Sie, wenn sie im SP-Modus konfiguriert sind, zur Anmeldeanmeldungsseite umgeleitet, um den Anmeldefluss zu initiieren, und wenn sie im IDP-Modus konfiguriert sind, sollten Sie automatisch beim AWS-Single-Account Access angemeldet sein, für den Sie das SSO einrichten. Weitere Informationen zu "Meine Apps" finden Sie in der Einführung in "Meine Apps".

Bekannte Probleme

  • Die Bereitstellungsintegration von AWS Single-Account Access kann nicht in den AWS-Regionen in China verwendet werden.

  • Im Abschnitt "Bereitstellung" wird im Unterabschnitt "Zuordnungen" die Nachricht "Laden..." angezeigt, und die Attributzuordnungen werden niemals angezeigt. Aktuell wird als Bereitstellungsworkflow lediglich das Importieren von Rollen aus AWS in Microsoft Entra ID für die Auswahl im Rahmen einer Benutzer- oder Gruppenzuweisung unterstützt. Die Attributzuordnungen hierfür sind vorgegeben und nicht konfigurierbar.

  • Der Abschnitt "Bereitstellung" unterstützt nur die Gleichzeitige Eingabe einer Gruppe von Anmeldeinformationen für einen AWS-Mandanten. Alle importierten Rollen werden in die Eigenschaft appRoles des Microsoft Entra ID servicePrincipal-Objekts für den AWS-Mandanten geschrieben.

    Microsoft Entra ID können über den Katalog mehrere AWS-Mandanten (dargestellt durch servicePrincipals) für die Bereitstellung hinzugefügt werden. Es gibt jedoch ein bekanntes Problem, das dazu führt, dass nicht alle importierten Rollen aus den verschiedenen, für die Bereitstellung verwendeten AWS-Dienstprinzipalen (servicePrincipals) automatisch in den einzelnen Dienstprinzipal (servicePrincipal) für das einmalige Anmelden geschrieben werden können.

    Als Problemumgehung können Sie die Microsoft Graph-API verwenden, um alle appRoles importierten Daten in jeden AWS servicePrincipal zu extrahieren, in dem die Bereitstellung konfiguriert ist. Anschließend können Sie diese Rollenzeichenfolgen dem AWS-Dienstprinzipal (servicePrincipal) hinzufügen, für den SSO konfiguriert ist.

  • Rollen müssen die folgenden Anforderungen erfüllen, damit sie von AWS in Microsoft Entra ID importiert werden können:

    • Für Rollen muss in AWS genau ein SAML-Anbieter festgelegt sein
    • Der ARN (Amazon Resource Name) für die Rolle und der ARN für den zugeordneten SAML-Anbieter müssen zusammen weniger als 240 Zeichen umfassen.

Änderungsprotokoll

  • 12.01.2020: Der Grenzwert für die Rollenlänge wurde von 119 auf 239 Zeichen erhöht.

Verwandte Inhalte

Nach dem Konfigurieren von AWS Single-Account Access können Sie die Sitzungssteuerung erzwingen, die in Echtzeit vor der Exfiltration und Infiltration vertraulicher Unternehmensdaten schützt. Die Sitzungssteuerung basiert auf bedingtem Zugriff. Erfahren Sie, wie Sie die Sitzungssteuerung mit Microsoft Defender für Cloud-Apps erzwingen.

  • Last updated on