Embed Size (px)
Citation preview
AWS Single Sign-OnGuia do usuário
AWS Single Sign-On Guia do usuário
AWS Single Sign-On: Guia do usuárioCopyright © 2021 Amazon Web Services, Inc. and/or its affiliates. All rights reserved.
Amazon's trademarks and trade dress may not be used in connection with any product or service that is not Amazon's,in any manner that is likely to cause confusion among customers, or in any manner that disparages or discreditsAmazon. All other trademarks not owned by Amazon are the property of their respective owners, who may or may notbe affiliated with, connected to, or sponsored by Amazon.
AWS Single Sign-On Guia do usuário
Table of ContentsEm que consiste o AWS Single Sign-On? .............................................................................................. 1
Recursos do AWS SSO .............................................................................................................. 1Conceitos básicos ............................................................................................................................... 3
Pré-requisitos do AWS SSO ......................................................................................................... 3Etapa 1: habilitar o AWS SSO ...................................................................................................... 3Etapa 2. Escolher seu diretório ..................................................................................................... 4Etapa 3: Configurar o SSO para contas da AWS ............................................................................. 4Etapa 4: Configurar o SSO para aplicativos de nuvem ..................................................................... 4
Conceitos-chave do AWS SSO ............................................................................................................. 6Federação do SAML ................................................................................................................... 6Autenticações de usuário ............................................................................................................. 6Conjuntos de permissões ............................................................................................................. 6
Gerenciar o diretório ........................................................................................................................... 8Gerenciar o diretório do AWS SSO ............................................................................................... 8
Adicionar usuários .............................................................................................................. 9Adicionar grupos ................................................................................................................ 9Adicionar usuários ao grupos ............................................................................................. 10Editar as propriedades do usuário ....................................................................................... 10Desabilitar um usuário ....................................................................................................... 10Redefinir uma senha de usuário ......................................................................................... 11
Conectar-se ao diretório do Microsoft AD ..................................................................................... 11Conectar o AWS SSO a um diretório do AWS Managed Microsoft AD ....................................... 11Conectar o AWS SSO a um Active Directory local ................................................................. 12Mapeamento de atributos ................................................................................................... 12
Alterar o tipo de diretório ........................................................................................................... 15Gerenciar o SSO em suas contas da AWS ........................................................................................... 16
Acesso de logon único .............................................................................................................. 16Atribuir acesso a usuários .................................................................................................. 17Remover acesso do usuário ............................................................................................... 18Delegar quem pode atribuir acesso SSO a usuários na conta mestre ........................................ 18
Conjuntos de permissões ........................................................................................................... 19Criar conjunto de permissões ............................................................................................. 19Excluir conjuntos de permissões ......................................................................................... 20Definir duração da sessão .................................................................................................. 20
Provedor de identidade do IAM ................................................................................................... 21Reparar o provedor de identidade do IAM ............................................................................ 21Remover o provedor de identidade do IAM ........................................................................... 21
Funções vinculadas ao serviço ................................................................................................... 21Gerenciar o SSO em seus aplicativos .................................................................................................. 23
Aplicativos de nuvem ................................................................................................................ 23Aplicativos compatíveis ...................................................................................................... 23Adicionar e configurar um aplicativo de nuvem ...................................................................... 25
Aplicativos SAML 2.0 personalizados ........................................................................................... 25Adicionar e configurar um aplicativo SAML 2.0 personalizado .................................................. 26
Propriedades do aplicativo ......................................................................................................... 26URL de início do aplicativo ................................................................................................. 26Estado de retransmissão .................................................................................................... 27Duração da sessão ........................................................................................................... 27
Atribuir acesso a usuários .......................................................................................................... 28Remover acesso do usuário ....................................................................................................... 28Mapear atributos em seu aplicativo para atributos do AWS SSO ...................................................... 29
Autenticação e controle de acesso ...................................................................................................... 30Autenticação ............................................................................................................................ 30Controle de acesso ................................................................................................................... 31
iii
AWS Single Sign-On Guia do usuário
Visão geral do gerenciamento de acesso ..................................................................................... 31Recursos e operações do AWS SSO ................................................................................... 32Entender a propriedade de recursos .................................................................................... 32Gerenciamento do acesso aos recursos ............................................................................... 32Especificação de elementos da política: ações, efeitos, recursos e principais .............................. 34Especificação de condições em uma política ......................................................................... 34
Uso de políticas baseadas em identidade (políticas do IAM) ............................................................ 34Permissões necessárias para usar o console do AWS SSO .................................................... 36Políticas gerenciadas (predefinidas) da AWS para AWS SSO .................................................. 36Exemplos de política gerenciada pelo cliente ........................................................................ 36
Uso de funções vinculadas ao serviço ......................................................................................... 40Permissões de função vinculada ao serviço do AWS SSO ...................................................... 40Criação de uma função vinculada a um serviço do AWS SSO ................................................. 42Edição de uma função vinculada ao serviço para AWS SSO ................................................... 42Exclusão de uma função vinculada ao serviço do AWS SSO ................................................... 42
Como usar o portal do usuário ........................................................................................................... 43Dicas para usar o portal ............................................................................................................ 43Como aceitar o convite para entrar no AWS SSO .......................................................................... 43Como fazer login no portal do usuário ......................................................................................... 44Como sair do portal do usuário ................................................................................................... 44Como pesquisar uma conta da AWS ou um aplicativo .................................................................... 44Como redefinir sua senha .......................................................................................................... 45Como obter credenciais de uma função do IAM para acessar uma conta da AWS por meio da CLI ......... 45
Registro em log de chamadas da API do AWS SSO com o AWS CloudTrail .............................................. 47Informações sobre o AWS SSO no CloudTrail .............................................................................. 47Noções básicas das entradas dos arquivos de log do AWS SSO ..................................................... 49
Limites ............................................................................................................................................ 51Limites de aplicativo .................................................................................................................. 51Limites da conta da AWS .......................................................................................................... 51Limites do diretório conectado .................................................................................................... 51Limites do diretório do AWS SSO ............................................................................................... 52
Solução de problemas ....................................................................................................................... 53Não consigo configurar corretamente meu aplicativo de nuvem ........................................................ 53Eu não sei quais dados da declaração do SAML são passados para o provedor de serviços ................. 53
Histórico do documento ..................................................................................................................... 54AWS Glossary .................................................................................................................................. 55
iv
AWS Single Sign-On Guia do usuárioRecursos do AWS SSO
Em que consiste o AWS Single Sign-On?
O AWS Single Sign-On é um serviço de logon único (SSO) na nuvem que facilita o gerenciamentocentralizado do acesso de SSO a todas as suas contas da AWS e a aplicativos de nuvem. Maisespecificamente, ele ajuda você a gerenciar o acesso SSO e as permissões de usuário em todas assuas contas da AWS no AWS Organizations. O AWS SSO também ajuda você a gerenciar o acesso eas permissões de aplicativos de terceiros comumente usados como software como serviço (SaaS), bemcomo aplicativos personalizados compatíveis com o Security Assertion Markup Language (SAML) 2.0. OAWS SSO inclui um portal de usuário em que os usuários finais podem encontrar e acessar um único lugartodas as contas da AWS atribuídas, aplicativos de nuvem e aplicativos personalizados.
Recursos do AWS SSOO AWS SSO fornece os seguintes recursos:
Integração com AWS Organizations
O AWS SSO está profundamente integrado ao AWS Organizations e a operações de API da AWS, aocontrário de outras soluções de SSO nativas de nuvem. O AWS SSO integra-se nativamente com o AWSOrganizations, enumera todas as suas contas da AWS. Se tiver organizado suas contas em unidadesorganizacionais (UOs), você vai vê-las dessa maneira no console do AWS SSO. Isso permite que vocêdescubra rapidamente suas contas da AWS, implante conjuntos de permissões comuns e gerencie oacesso em um único local.
Acesso SSO às suas contas da AWS e a aplicativos de nuvem
O AWS SSO facilita o gerenciamento de SSO em todas as suas contas da AWS, aplicativos de nuvem eaplicativos SAML 2.0 personalizados, sem scripts personalizados ou soluções SSO de terceiros.– Use oconsole do AWS SSO para designar rapidamente os usuários que devem ter acesso com um único cliquesomente aos aplicativos que você autorizou para o respectivo portal personalizado do usuário final.
Criar e gerenciar usuários e grupos no AWS SSO
Quando você habilita o serviço pela primeira vez, criamos um diretório padrão para você no AWS SSO.Você pode usar esse diretório para gerenciar seus usuários e grupos diretamente no console. Ou, sepreferir, você pode se conectar a um diretório existente do AWS Managed Microsoft AD e gerenciar seususuários com as ferramentas de gerenciamento padrão do Active Directory fornecidas no Windows Server.Se optar por gerenciar seus usuários no AWS SSO, você pode criar usuários rapidamente e organizá-losfacilmente em grupos, tudo no console.
Aproveitar suas identidades corporativas existentes
O AWS SSO é integrado ao Microsoft AD por meio do AWS Directory Service. Isso significa que osfuncionários podem fazer login no portal do usuário do AWS SSO usando suas credenciais do ActiveDirectory. Para conceder aos usuários do Active Directory acesso a contas e aplicativos, basta adicioná-los aos grupos apropriados do Active Directory. Por exemplo, você pode conceder acesso SSO ao grupoDevOps às suas contas de produção da AWS. Em seguida, os usuários adicionados ao grupo DevOpssão automaticamente autorizados a ter acesso SSO a essas contas da AWS. Essa automação facilita aaceitação de novos usuários e agiliza a concessão de acesso aos usuários existentes a novos aplicativose contas.
1
AWS Single Sign-On Guia do usuárioRecursos do AWS SSO
Compatível com aplicativos de nuvem comumente usados
O AWS SSO é compatível com aplicativos de nuvem comumente usados, como Salesforce, Box eOffice 365. Por meio de instruções de integração do aplicativo, isso reduz o tempo necessário paraconfigurar esses aplicativos para SSO. Essas instruções atuam como barreiras de proteção para ajudar osadministradores a configurar e solucionar essas configurações de SSO. Com isso, os administradores nãoprecisam conhecer os detalhes de configuração de cada aplicativo de nuvem.
Fácil de configurar e monitorar o uso
Com o AWS SSO, você pode habilitar um serviço SSO de alta disponibilidade com apenas algunscliques. Não há nenhuma outra infraestrutura para implantar ou conta da AWS para configurar. O AWSSSO oferece alta disponibilidade, é uma infraestrutura completamente segura dimensionada para suasnecessidades e não requer software nem hardware para ser gerenciado. O AWS SSO registra todas asatividades de login no AWS CloudTrail, o que lhe dá visibilidade para monitorar e auditar as atividades deSSO em um único lugar.
2
AWS Single Sign-On Guia do usuárioPré-requisitos do AWS SSO
Conceitos básicosNeste exercício de conceitos básicos, você habilita o AWS Single Sign-On, conecta seu diretório, configurao SSO para suas contas da AWS e, por fim, configura o SSO para seus aplicativos de nuvem. Emboranão seja necessário, é recomendável examinar Compreender os conceitos principais do AWS SingleSign-On (p. 6) antes de começar a usar o console para se familiarizar com os principais recursos eterminologia.
Tópicos• Pré-requisitos do AWS SSO (p. 3)• Habilite o AWS SSO (p. 3)• Escolher seu diretório (p. 4)• Configurar o SSO para contas da AWS (p. 4)• Configurar o SSO para aplicativos de nuvem (p. 4)
Pré-requisitos do AWS SSOAntes de configurar o AWS SSO, você deve:
• Primeiro configurar o serviço do AWS Organizations e definir All features (Todos os recursos) comohabilitado. Para obter mais informações sobre essa configuração, consulte Habilitar todos os recursosem sua organização no Guia do usuário do AWS Organizations.
• Faça login com as credenciais da conta mestra do AWS Organizations antes de começar a configurar oAWS SSO. Essas credenciais são necessárias para habilitar o AWS SSO. Para obter mais informações,consulte Criação e gerenciamento de uma organização da AWS no Guia do usuário do AWSOrganizations. Você não pode configurar o AWS SSO enquanto estiver conectado com as credenciaisda conta de membro de uma organização.
• Escolha um armazenamento de diretório para determinar qual grupo de usuários tem acesso SSOao portal do usuário. Se optar por usar o diretório padrão do AWS SSO para seu armazenamento dousuário, nenhuma tarefa de pré-requisito será necessária. O diretório do AWS SSO é criado por padrãoassim que você ativa o AWS SSO e está imediatamente pronto para uso. Não há custo para usar essetipo de diretório. Se decidir se conectar a um Active Directory existente para o armazenamento deusuário, você deverá ter:• Um diretório existente do AWS Managed Microsoft AD configurado no AWS Directory Service, que
deve residir na conta mestra de sua organização. Você pode se conectar apenas a um diretório doAWS Managed Microsoft AD por vez. No entanto, você pode alterá-lo para um diretório do AWSManaged Microsoft AD ou alterá-lo novamente para um diretório do AWS SSO a qualquer momento.Para obter mais informações, consulte Criar um diretório do AWS Managed Microsoft AD no AWSDirectory Service Administration Guide.
• Um diretório do AWS Managed Microsoft AD que está na região Leste dos EUA (Norte da Virgínia)(us-east-1) onde o AWS SSO também está disponível. O AWS SSO armazena os dados de atribuiçãona mesma região do diretório. Para administrar o AWS SSO, você deve estar na região us-east-1.Além disso, observe que o portal do usuário do AWS SSO usa o mesmo URL de acesso que odiretório conectado.
Habilite o AWS SSOQuando você abre o console do AWS SSO pela primeira vez, é solicitado a habilitar o AWS SSO paracomeçar gerenciá-lo. Se já tiver escolhido essa opção, poderá pular esta etapa. Do contrário, use o
3
AWS Single Sign-On Guia do usuárioEtapa 2. Escolher seu diretório
procedimento a seguir para habilitá-lo agora. Quando ativado, o AWS SSO recebe as permissõesnecessárias para criar funções vinculadas ao serviço do IAM em qualquer uma das contas da AWS emsua organização da AWS. Nenhuma função vinculada a serviço é criada nesse momento. O AWS SSOcria essas funções posteriormente, durante o processo de configuração de acesso SSO às contas da AWS(consulte Configurar o SSO para contas da AWS (p. 4)).
Para habilitar o AWS SSO
1. Faça login no Console de gerenciamento da AWS com as credenciais de conta mestre do AWSOrganizations.
2. Abra o console do AWS SSO.3. Escolha Enable AWS SSO (Habilitar).4. Se ainda não configurou o AWS Organizations, você será solicitado a criar uma organização. Escolha
Create AWS organization (Criar organização da AWS) para concluir esse processo.
Escolher seu diretórioA escolha de um diretório determina onde o AWS SSO procurará usuários e grupos que precisam deacesso SSO. Por padrão, você obtém um diretório do AWS SSO para gerenciamento rápido e fácil dousuário. Opcionalmente, você pode também conectar um diretório do AWS Managed Microsoft AD aoActive Directory local.
O AWS SSO oferece aos usuários nesse diretório um portal de usuário personalizado no qual eles podeminiciar facilmente várias contas da AWS ou aplicativos de nuvem. Os usuários fazem login no portal usandosuas credenciais corporativas ou as credenciais configuradas no AWS SSO. Depois de fazer login, elestêm acesso com um clique a todos os aplicativos e contas da AWS que você autorizou anteriormente.
Dependendo do tipo de diretório que você está tentando configurar, revise os tópicos abaixo para obterorientações:
• Gerenciar o diretório do AWS SSO (p. 8)• Conectar-se ao diretório do Microsoft AD (p. 11)
Para obter mais informações sobre os tipos de diretório, consulte Gerenciar o diretório (p. 8).
Configurar o SSO para contas da AWSNesta etapa, você pode conceder aos usuários em seu diretório conectado acesso SSO a um ou maisconsoles da AWS específicos a contas da AWS na respectiva organização da AWS. Depois disso, osusuários verão somente o ícone da conta da AWS (por exemplo, Desenvolvimento) à qual eles foramatribuídos dentro do respectivo portal do usuário. Quando eles clicam no ícone, podem escolher a funçãodo IAM que desejam usar ao fazer login na conta da Console de gerenciamento da AWS por meio doAWS.
Para começar a atribuir acesso SSO às suas contas da AWS, consulte Atribuir acesso ausuários (p. 17).
Configurar o SSO para aplicativos de nuvemDependendo do tipo de aplicativo que você está tentando configurar, siga um dos procedimentos abaixo:
4
AWS Single Sign-On Guia do usuárioEtapa 4: Configurar o SSO para aplicativos de nuvem
• Adicionar e configurar um aplicativo de nuvem (p. 25)• Adicionar e configurar um aplicativo SAML 2.0 personalizado (p. 26)
Para obter mais informações sobre os tipos de aplicativo, consulte Gerenciar o SSO em seusaplicativos (p. 23).
Assim que concluir o procedimento apropriado, você terá configurado com êxito o AWS SSO e umarelação de confiança com seu provedor de serviços. Seus usuários agora podem acessar esses aplicativosno respectivo portal de usuário, de acordo com as permissões atribuídas.
5
AWS Single Sign-On Guia do usuárioFederação do SAML
Compreender os conceitos principaisdo AWS Single Sign-On
Para aproveitar mais o AWS Single Sign-On, familiarize-se com os principais conceitos relacionados àfederação do SAML, à autenticação de usuário e a permissões do IAM.
Tópicos• Federação do SAML (p. 6)• Autenticações de usuário (p. 6)• Conjuntos de permissões (p. 6)
Federação do SAMLO AWS SSO é compatível com federação de identidades com SAML (Security Assertion MarkupLanguage) 2.0. O SAML 2.0 é um padrão do setor usado para troca segura de declarações SAML quetransmitem informações sobre um usuário entre uma autoridade SAML (chamada provedor de identidadesou IdP) e um consumidor SAML (chamado de provedor de serviços ou SP). O serviço do AWS SSO usaessas informações para fornecer o logon único (SSO) federado para os usuários que estão autorizados ausar aplicativos no portal do usuário do AWS SSO.
O AWS SSO adiciona recursos do IdP SAML ao diretório do AWS Managed Microsoft AD ou AWS SSO.Os usuários podem então usar o SSO para serviços compatíveis com SAML, incluindo o Console degerenciamento da AWS e aplicativos de terceiros, como Office 365, Concur e Salesforce. No momento, oAWS SSO não comporta outros tipos de diretório ou IdPs.
Autenticações de usuárioQuando um usuário faz login no portal do usuário usando seu nome de usuário, o AWS SSO redirecionaa solicitação para o serviço de autenticação do AWS SSO com base no diretório associado ao endereçode e-mail do usuário. Uma vez autenticados, os usuários têm acesso SSO a qualquer uma das contasda AWS e a aplicativos de terceiros usados como software como serviço (SaaS) que são exibidos noportal sem outras solicitações de login. Isso significa que os usuários não precisam mais controlar váriascredenciais de conta para os vários aplicativos atribuídos da AWS que eles usam diariamente.
Conjuntos de permissõesUm conjunto de permissões é um conjunto de políticas definidas pelo administrador que o AWS SSOusa para determinar as permissões em vigor de um usuário para acessar determinada conta da AWS.Os conjuntos de permissões podem conter políticas gerenciadas da AWS ou políticas personalizadasque são armazenadas no AWS SSO. Essencialmente, essas políticas são documentos que atuamcomo contêineres para uma ou mais instruções de permissão. Essas instruções individuais representamcontroles de acesso (permitir ou negar) de várias tarefas que determinam quais delas os usuários podemou não executar na conta da AWS.
Os conjuntos de permissões são armazenados no AWS SSO e são usados somente para contas da AWS.Eles não são usados para gerenciar o acesso a aplicativos de nuvem. Em última análise, os conjuntos de
6
AWS Single Sign-On Guia do usuárioConjuntos de permissões
permissões são criados como funções do IAM em determinada conta da AWS, com políticas de confiançaque permitem que os usuários assumam a função por meio do AWS SSO.
7
AWS Single Sign-On Guia do usuárioGerenciar o diretório do AWS SSO
Gerenciar o diretórioVocê pode configurar seu diretório no AWS SSO para determinar onde seus usuários e grupos estãoarmazenados. Após a configuração, você pode pesquisar usuários ou grupos em seu diretório paraconceder acesso de logon único a aplicativos de nuvem, contas da AWS ou ambos.
O AWS SSO fornece automaticamente um diretório por padrão que você pode usar para gerenciar osusuários e grupos no AWS SSO. Se optar por armazená-los no AWS SSO, crie seus usuários e grupos eatribua seu nível de acesso a seus aplicativos e contas da AWS. Como alternativa, você pode optar porConectar o AWS SSO a um Active Directory local (p. 12) ou Conectar o AWS SSO a um diretório doAWS Managed Microsoft AD (p. 11) usando AWS Directory Service.
Note
O AWS SSO não é compatível o Simple AD baseado em SAMBA4 como diretório conectado.
Tópicos• Gerenciar o diretório do AWS SSO (p. 8)• Conectar-se ao diretório do Microsoft AD (p. 11)• Alterar o tipo de diretório (p. 15)
Gerenciar o diretório do AWS SSOAWS Single Sign-On fornece um diretório padrão onde você pode armazenar seus usuários e grupos. Seoptar por armazená-los no AWS SSO, você só precisará fazer o seguinte:
1. Crie seus usuários e grupos.2. Adicione seus usuários como membros aos grupos.3. Atribua os grupos com o nível desejado de acesso às suas contas e aplicativos da AWS.
Note
Os usuários e grupos que você cria em seu diretório do AWS SSO estão disponíveis somente noAWS SSO.
Se preferir gerenciar usuários no AWS Managed Microsoft AD, você poderá interromper o uso de seudiretório do AWS SSO a qualquer momento e, em vez disso, conectar o AWS SSO ao seu MicrosoftAD usando AWS Directory Service. Para obter mais informações, consulte Conectar-se ao diretório doMicrosoft AD (p. 11).
Tópicos• Adicionar usuários (p. 9)• Adicionar grupos (p. 9)• Adicionar usuários ao grupos (p. 10)• Editar as propriedades do usuário (p. 10)• Desabilitar um usuário (p. 10)
8
AWS Single Sign-On Guia do usuárioAdicionar usuários
• Redefinir uma senha de usuário (p. 11)
Adicionar usuáriosUse o procedimento a seguir para adicionar usuários ao seu diretório do AWS SSO.
Para adicionar um usuário
1. Abra o console do AWS SSO.2. Em Dashboard (Painel), escolha Manage your directory (Gerenciar seu diretório).3. Na página Directory (Diretório), escolha a guia Users (Usuários) e depois escolha Add user (Adicionar
usuário).4. Na página Add user (Adicionar usuário), forneça as seguintes informações necessárias:
a. Endereço de e-mailb. Senha – Escolha uma das seguintes opções para enviar a senha do usuário.
i. Enviar um e-mail para o usuário com instruções de configuração de senha – Esta opçãoenvia automaticamente ao usuário um e-mail endereçado do Amazon Web Services econvida o usuário em nome de sua empresa a acessar o portal do usuário do AWS SSO.
ii. Gerar uma senha de uso único que você pode compartilhar com o usuário – Esta opçãofornece os detalhes da URL e da senha do portal do usuário que você pode enviarmanualmente para o usuário por meio do seu endereço de e-mail.
c. Nomed. Sobrenomee. Nome de exibição
Note
(Opcional) Você pode fornecer atributos adicionais, como Employee ID (ID dofuncionário) e Office 365 Immutable ID (ID imutável do Office 365) para ajudar a mapeara identidade do usuário no AWS SSO com determinados aplicativos comerciais que ousuário precisa usar.
5. Escolha Next: Groups (Próximo: grupos).6. Selecione um ou mais grupos dos quais você deseja que o usuário seja membro e, em seguida,
escolha Add user (Adicionar usuário).
Adicionar gruposUse o procedimento a seguir para adicionar grupos ao seu diretório do AWS SSO.
Para adicionar um grupo
1. Abra o console do AWS SSO.2. Em Dashboard (Painel), escolha Manage your directory (Gerenciar seu diretório).3. Na página Directory (Diretório), escolha a guia Groups (Grupos) e depois escolha Create group (Criar
grupo).4. Na caixa de diálogo Create group (Criar grupo), insira um Group name (Nome do grupo) e Description
(Descrição). A descrição deve fornecer detalhes sobre quais permissões foram (ou serão) atribuídasao grupo.
5. Escolha Criar.
9
AWS Single Sign-On Guia do usuárioAdicionar usuários ao grupos
Adicionar usuários ao gruposUse o procedimento a seguir para adicionar usuários como membros de um grupo que você criouanteriormente em seu diretório do AWS SSO.
Para adicionar um usuário como membro de um grupo
1. Abra o console do AWS SSO.2. Em Dashboard (Painel), escolha Manage your directory (Gerenciar seu diretório).3. Na página Directory (Diretório), escolha a guia Groups (Grupos) e depois escolha um grupo da lista.4. Na página Details (Detalhes) do grupo, em Group members (Membros do grupo), escolha Add users
(Adicionar usuários).5. Na página Add users to group (Adicionar usuários ao grupo), localize os usuários que você deseja
adicionar como membros. Em seguida, marque a caixa de seleção ao lado de cada um deles.6. Selecione Add user.
Editar as propriedades do usuárioUse o procedimento a seguir para editar as propriedades de um usuário no seu diretório do AWS SSO.
Para editar as propriedades do usuário
1. Abra o console do AWS SSO.2. Em Dashboard (Painel), escolha Manage your directory (Gerenciar seu diretório).3. Na página Directory (Diretório), escolha a guia Users (Usuários) e, em seguida, escolha o usuário que
você deseja editar.4. Na página Details (Detalhes) do usuário, selecione Edit user (Editar usuário).5. Na página Edit user details (Editar detalhes de usuário), faça as atualizações para as propriedades
conforme necessário e, em seguida, escolha Save changes (Salvar alterações).
Note
(Opcional) Você pode modificar atributos adicionais, como Employee ID (ID do funcionário)e Office 365 Immutable ID (ID imutável do Office 365) para ajudar a mapear a identidade dousuário no AWS SSO com determinados aplicativos comerciais que os usuários precisamusar.
Desabilitar um usuárioAo desabilitar um usuário, você não pode editar os detalhes do usuário, redefinir a senha, adicionar ousuário a um grupo ou visualizar a participação no grupo. Use o procedimento a seguir para desabilitar umusuário em seu diretório do AWS SSO.
Para desabilitar um usuário
1. Abra o console do AWS SSO.2. Em Dashboard (Painel), escolha Manage your directory (Gerenciar seu diretório).3. Na página Directory (Diretório), escolha a guia Users (Usuários) e, em seguida, escolha o usuário que
você deseja desabilitar.4. Na caixa de diálogo Disable user (Desabilitar usuário), escolha Disable user (Desabilitar usuário).
10
AWS Single Sign-On Guia do usuárioRedefinir uma senha de usuário
Note
Desabilitar um usuário impede que ele possa fazer login no portal do usuário.
Redefinir uma senha de usuárioUse o procedimento a seguir para redefinir a senha de um usuário no seu diretório do AWS SSO.
Para redefinir uma senha do usuário
1. Abra o console do AWS SSO.2. Em Dashboard (Painel), escolha Manage your directory (Gerenciar seu diretório).3. Na página Directory (Diretório), escolha a guia Users (Usuários) e, em seguida, escolha o usuário cuja
senha você deseja redefinir.4. Na caixa de diálogo Reset password (Redefinir senha), selecione uma das seguintes opções e, em
seguida, escolha Reset password (Redefinir senha):
a. Enviar um e-mail para o usuário com instruções para redefinir a senha – Esta opção enviaautomaticamente ao usuário um e-mail endereçado a partir do Amazon Web Services que oorienta sobre como redefinir sua senha.
b. Gerar uma senha de uso único e compartilhá-la com o usuário – Esta opção fornece os detalhesda senha que você pode enviar manualmente para o usuário por meio do seu endereço de e-mail.
Conectar-se ao diretório do Microsoft ADO AWS Single Sign-On permite que os administradores conectem o Active Directory (AD) local ou odiretório do AWS Managed Microsoft AD usando o AWS Directory Service. Esse diretório do MicrosoftAD define o grupo de identidades que os administradores podem extrair ao usar o console do AWS SSOpara atribuir acesso de logon único (SSO). Depois de conectar o diretório corporativo ao AWS SSO, osadministradores podem conceder aos usuários ou grupos do AD acesso a contas da AWS, aplicativos denuvem ou ambos.
AWS Directory Service ajuda você a configurar e executar um diretório do AWS Managed MicrosoftAD independente hospedado na Nuvem AWS. Você também pode usar o AWS Directory Service paraconectar seus recursos do AWS com um diretório do Microsoft Active Directory existente no local. Paraconfigurar o AWS Directory Service para trabalhar com o Active Directory local, primeiro você deveconfigurar relações de confiança para estender a autenticação do ambiente no local para a nuvem.
Note
O AWS SSO não é compatível o Simple AD baseado em SAMBA4 como diretório conectado.
Tópicos• Conectar o AWS SSO a um diretório do AWS Managed Microsoft AD (p. 11)• Conectar o AWS SSO a um Active Directory local (p. 12)• Mapeamento de atributos (p. 12)
Conectar o AWS SSO a um diretório do AWSManaged Microsoft ADUse o procedimento a seguir para conectar um diretório do AWS Managed Microsoft AD gerenciado peloAWS Directory Service ao AWS SSO.
11
AWS Single Sign-On Guia do usuárioConectar o AWS SSO a um Active Directory local
Para conectar o AWS SSO ao AWS Managed Microsoft AD
1. Abra o console do AWS SSO.
Note
Antes de passar para a etapa seguinte, confirme se o console do AWS SSO está usandouma das regiões em que o diretório do AWS Managed Microsoft AD está localizado.
2. Em Dashboard (Painel), escolha Manage your directory (Gerenciar seu diretório).3. Na página Directory (Diretório), faça o seguinte:
a. Em Available directories (Diretórios disponíveis), selecione o diretório do AWS Managed MicrosoftAD com o qual você deseja conectar o AWS SSO.
b. Em User portal URL (URL do portal do usuário), digite o prefixo a ser usado para o URL de logindo portal do usuário.
4. Escolha Connect directory (Conectar diretório).
Conectar o AWS SSO a um Active Directory localOs usuários em seu Active Directory local também podem ter acesso SSO às contas da AWS e aosaplicativos de nuvem no portal do usuário do AWS SSO. Para fazer isso, o AWS Directory Service tem asseguintes duas opções disponíveis:
• Create a two-way trust relationship (Criar uma relação de confiança bidirecional) – – Relações deconfiança bidirecionais criadas entre o AWS Managed Microsoft AD e o Active Directory local permitemque os usuários locais façam login com suas credenciais corporativas em vários serviços da AWS eaplicativos comerciais. Relações de confiança unidirecionais não funcionam com o AWS SSO. Paraobter mais informações sobre a configuração de uma confiança bidirecional, consulte Quando criar umarelação de confiança no AWS Directory Service Administration Guide.
• Create an AD Connector (Criar um AD Connector)– O AD Connector é um gateway de diretório quepode redirecionar solicitações de diretório para seu Active Directory local sem armazenar nenhumainformação em cache na nuvem. Para obter mais informações, consulte Conectar a um diretório no AWSDirectory Service Administration Guide.
Note
O AWS SSO não funciona com base diretórios do Simple AD baseados no SAMBA4.
Mapeamento de atributosOs mapeamentos de atributos são usados para mapear tipos de atributos existentes no AWS SSOcom atributos semelhantes em um diretório do AWS Managed Microsoft AD. O AWS SSO recuperaatributos de usuário do seu diretório conectado e os mapeia para atributos de usuário do AWS SSO.Esses mapeamentos de atributos de usuário do AWS SSO também são usados para gerar declaraçõesSAML para seus aplicativos de nuvem. Cada aplicativo de nuvem determina a lista de atributos SAMLnecessários para que o logon único tenha êxito.
O AWS SSO preenche um conjunto de atributos para você na guia Attribute mappings (Mapeamentos deatributos), que se encontra na página de configurações do aplicativo. O AWS SSO usa esses atributosde usuário para preencher declarações SAML (como atributos SAML) que são enviadas ao aplicativode nuvem. Por sua vez, esses atributos de usuário são recuperados de seu diretório do Microsoft AD.Para obter mais informações, consulte Mapear atributos em seu aplicativo para atributos do AWSSSO (p. 29).
12
AWS Single Sign-On Guia do usuárioMapeamento de atributos
O AWS SSO também gerencia um conjunto de atributos para você na seção Attribute mappings(Mapeamentos de atributos) da página de configuração de seu diretório. Para obter mais informações,consulte Mapear atributos no AWS SSO para atributos no diretório do AWS Managed MicrosoftAD (p. 15).
Atributos de diretório compatíveisA tabela a seguir fornece a lista completa de atributos de diretório do AWS Managed Microsoft ADcompatíveis e qual pode ser mapeado para atributos de usuário no AWS SSO.
Atributos compatíveis em seu diretório do Microsoft AD
${dir:email}
${dir:displayname}
${dir:distinguishedName}
${dir:firstname}
${dir:guid}
${dir:initials}
${dir:lastname}
${dir:proxyAddresses}
${dir:proxyAddresses:smtp}
${dir:proxyAddresses:SMTP}
${dir:windowsUpn}
Você pode especificar qualquer combinação de atributos de diretório do Microsoft AD compatíveispara mapear para um único atributo no AWS SSO. Por exemplo, você pode escolher o atributopreferredUsername na coluna User attribute in AWS SSO (Atributo de usuário no SSO) e mapeá-lopara ${dir:displayname} ou ${dir:lastname}${dir:firstname } ou para qualquer atributocompatível ou qualquer combinação arbitrária de atributos compatíveis.
Atributos do AWS SSO compatíveisA tabela a seguir fornece a lista completa de atributos do AWS SSO compatíveis e qual pode ser mapeadopara atributos de usuário no seu diretório do AWS Managed Microsoft AD. Posteriormente, quando vocêconfigurar os mapeamentos de atributos de aplicativo, poderá usar os mesmos atributos do AWS SSOpara mapear para atributos reais usados por esse aplicativo.
Atributos compatíveis no AWS SSO
${user:AD_GUID}
${user:email}
${user:familyName}
${user:firstName}
13
AWS Single Sign-On Guia do usuárioMapeamento de atributos
Atributos compatíveis no AWS SSO
${user:middleName}
${user:name}
${user:preferredUsername}
${user:subject}
Mapeamentos padrãoA tabela a seguir mostra os mapeamentos padrão de atributos de usuário no AWS SSO para atributos deusuário no seu diretório do AWS Managed Microsoft AD. No momento, o AWS SSO comporta somente alista de atributos mostrada na coluna User attribute in AWS SSO (Atributo de usuário no SSO).
Atributo de usuário no AWS SSO Mapeia para este atributo em seu diretório doMicrosoft AD
AD_GUID ${dir:guid}
email ${dir:windowsUpn}
familyName ${dir:lastname}
givenName ${dir:firstname}
middleName ${dir:initials}
name ${dir:displayname}
preferredUsername ${dir:displayname}
subject ${dir:windowsUpn}
Você pode alterar os mapeamentos padrão ou adicionar mais atributos para a declaração SAML com baseem suas necessidades. Por exemplo, assuma que seu aplicativo de nuvem exige o e-mail dos usuáriosno atributo SAML User.Email SAML e os e-mails estiverem armazenados no atributo windowsUpn emseu diretório do Microsoft AD. Para conseguir esse mapeamento, você precisaria fazer alterações nos doislugares a seguir no console do AWS SSO:
1. Na página Directory (Diretório), na seção Attribute mappings (Mapeamentos de atributos), vocêprecisaria mapear o atributo de usuário email para o atributo ${dir:windowsUpn} (na coluna Mapsto this attribute in your directory [Mapeia para este atributo em seu diretório])
2. Na página Applications (Aplicativos), escolha o aplicativo na tabela e a guia Attribute mappings(Mapeamentos de atributos). Em seguida, você precisaria mapear o atributo User.Email para oatributo ${user:email} (na coluna Mapeia para este valor de string ou atributo de usuário no AWSSSO).
Observe que é necessário fornecer cada atributo de diretório no formato ${dir:AttributeName}. Porexemplo, o atributo firstname em seu diretório do Microsoft AD torna-se ${dir:firstname}. Éimportante que cada atributo de diretório tenha um valor real atribuído. Os atributos que não tiverem umvalor depois de ${dir: provocarão problemas de login de usuário.
14
AWS Single Sign-On Guia do usuárioAlterar o tipo de diretório
Mapear atributos no AWS SSO para atributos no diretório doAWS Managed Microsoft ADVocê pode usar o procedimento a seguir para especificar como os atributos de usuário no AWS SSOdevem ser mapeados para atributos correspondentes em seu diretório do Microsoft AD.
Para mapear atributos no AWS SSO para atributos no seu diretório
1. Abra o console do AWS SSO.2. Escolha Connected directory (Diretório conectado).3. Em Attribute mappings (Mapeamentos de atributos), escolha Edit attribute mappings (Editar
mapeamentos de atributos).4. Na página Edit attribute mappings (Editar mapeamentos de atributos), localize o atributo no AWS
SSO que deseja mapear e, em seguida, digite um valor na caixa de texto. Por exemplo, você podemapear o atributo de usuário email do AWS SSO para o atributo ${dir:windowsUpn} do diretóriodo Microsoft AD.
5. Selecione Save changes.
Alterar o tipo de diretórioVocê pode alterar o local em que armazena usuários a qualquer momento. Use o procedimento a seguirpara alternar de um diretório que o AWS SSO fornece (o padrão) para um diretório do AWS ManagedMicrosoft AD ou vice-versa.
Para alterar o tipo de diretório
1. Abra o console do AWS SSO.2. Em Dashboard (Painel), escolha Manage your directory (Gerenciar seu diretório).3. Na página Directory (Diretório), selecione Change directory (Alterar o diretório).4. Na página Change directory (Alterar o diretório), selecione o diretório para o qual você deseja alternar
e, em seguida, escolha Next (Próximo). Se estiver alternando para um diretório do Microsoft AD, vocêdeve escolher o diretório disponível no menu fornecido.
Important
A alteração de um diretório remove todas as atribuições de usuários que foram atribuídasanteriormente. Você deve reaplicá-las manualmente depois de ter alterado com sucesso oseu diretório.
5. Selecione Next: Review.6. Depois de ler o aviso e estiver pronto para prosseguir, digite CONFIRM (CONFIRMAR).7. Escolha Finish.
15
AWS Single Sign-On Guia do usuárioAcesso de logon único
Gerenciar o SSO em suas contas daAWS
O AWS Single Sign-On é integrado ao AWS Organizations para que os administradores possamescolher várias contas da AWS cujos usuários precisam de acesso de logon único (SSO) ao Console degerenciamento da AWS. Essas contas da AWS podem ser a conta mestre do AWS Organizations ou umaconta-membro. Uma conta mestre é a conta da AWS usada para criar a organização. O resto das contasque pertencem a uma organização são chamadas de contas-membro. Para obter mais informações sobreos diferentes tipos de conta, consulte Terminologia e conceitos do AWS Organizations no Guia do usuáriodo AWS Organizations.
Depois que você atribuir acesso por meio do console do AWS SSO, poderá usar conjuntos de permissõespara refinar ainda mais o que os usuários podem fazer no Console de gerenciamento da AWS. Para obtermais informações sobre esses conjuntos de permissões, consulte Conjuntos de permissões (p. 19).
Os usuários seguem um processo de login simples:
1. Os usuários usam suas credenciais de diretório para fazer login no portal do usuário.2. Em seguida, os usuários escolhem o nome da conta da AWS por meio da qual terão acesso federado
ao Console de gerenciamento da AWS dessa conta.3. Os usuários com vários conjuntos de permissões escolhem qual função do IAM deve ser usada.
Conjuntos de permissões são uma forma de definir centralmente as permissões no AWS SSO para quepossam ser aplicadas a todas as suas contas da AWS. Esses conjuntos de permissões são provisionadospara cada conta da AWS como uma função do IAM. Em seguida, o portal do usuário fornece aos usuáriosa possibilidade de recuperar credenciais temporárias para a função do IAM de determinada conta da AWS,de modo que possam usá-las para acesso de curto prazo à CLI da AWS. Para obter mais informações,consulte Como obter credenciais de uma função do IAM para acessar uma conta da AWS por meio daCLI (p. 45).
Para usar o AWS SSO com o AWS Organizations, você deve primeiro Habilite o AWS SSO (p. 3), queoferece ao AWS SSO a capacidade de criar Funções vinculadas ao serviço (p. 21) em cada conta narespectiva organização da AWS. Essas funções só são criadas ao Atribuir acesso a usuários (p. 17) adeterminada conta.
Você pode também se conectar a uma conta da AWS que não faça parte de sua organização configurandoa conta como aplicativo SAML personalizado no AWS SSO. Nesse cenário, você provisiona e gerenciaas funções do IAM e as relações de confiança necessárias para permitir acesso SSO. Para obtermais informações sobre como fazer isso, consulte Adicionar e configurar um aplicativo SAML 2.0personalizado (p. 26).
Tópicos• Acesso de logon único (p. 16)• Conjuntos de permissões (p. 19)• Provedor de identidade do IAM (p. 21)• Funções vinculadas ao serviço (p. 21)
Acesso de logon únicoVocê pode atribuir a usuários em seu diretório conectado permissões para as contas mestre ou membroda AWS em sua organização do AWS Organizations com base em funções de trabalho comuns. Ou você
16
AWS Single Sign-On Guia do usuárioAtribuir acesso a usuários
pode usar permissões personalizadas para atender aos seus requisitos de segurança específicos. Porexemplo, você pode conceder aos administradores de banco de dados amplas permissões ao AmazonRDS em contas de desenvolvimento, mas limita essas permissões em contas de produção. O AWS SSOconfigura automaticamente todas as permissões de usuário necessárias em suas contas da AWS.
Note
Somente o usuário raiz da conta da IAM ou um usuário que tenha a políticaAWSSSOMasterAccountAdministrator IAM anexada pode conceder aos usuários em seu diretórioconectado permissões para a conta mestre da AWS. Para obter mais informações sobre comodelegar essas permissões, consulte Delegar quem pode atribuir acesso SSO a usuários na contamestre (p. 18).
Atribuir acesso a usuáriosUse o procedimento a seguir para atribuir acesso SSO a usuários e grupos em seu diretório conectado eusar conjuntos de permissões para determinar o nível de acesso.
Note
Para simplificar a administração de permissões de acesso, é recomendável atribuir acessodiretamente a grupos, em vez de a usuários específicos. Com grupos, você pode conceder ounegar permissões para grupos de usuários, em vez de ter de aplicar essas permissões a cadaindivíduo. Se um usuário for transferido para uma organização diferente, basta mover esseusuário para um grupo diferente para que recebam automaticamente as permissões necessáriaspara a nova organização.
Para atribuir acesso a usuários ou grupos
1. Abra o console do AWS SSO.
Note
Antes de passar para a próxima etapa, confirme se o console do AWS SSO está usando aregião Leste dos EUA (Norte da Virgínia) (us-east-1) em que o diretório do AWS ManagedMicrosoft AD está localizado.
2. Escolha AWS accounts (Contas da AWS).3. Na guia AWS organization (Organização da AWS), na lista de contas da AWS, escolha uma conta à
qual deseja atribuir acesso.4. Na página de detalhes da conta da AWS, escolha Assign users (Atribuir usuários).5. Na página Select users or groups (Selecionar usuários ou grupos), digite um nome de usuário
ou grupo e escolha Search connected directory (Pesquisar diretório conectado). Assim que tiverselecionado todas as contas às quais deseja atribuir acesso, escolha Next: Permission sets (Próximo:Conjuntos de permissões). Você pode especificar vários usuários ou grupos selecionando as contasaplicáveis à medida que elas aparecem nos resultados da pesquisa.
6. Na página Select permission sets (Selecionar conjuntos de permissões), selecione os conjuntosde permissões que deseja aplicar ao usuário ou grupo da tabela. Em seguida, escolha Finish(Concluir). Opcionalmente, você pode escolher Create a new permission set (Criar um conjuntode permissões) se nenhuma das permissões na tabela atender às suas necessidades. Para obterinstruções detalhadas, consulte Criar conjunto de permissões (p. 19).
7. Escolha Finish (Concluir) para iniciar o processo de configuração de sua conta da AWS.
Note
Se essa tiver sido a primeira vez que você atribuiu acesso SSO a essa conta da AWS, esseprocesso criará uma função vinculada o serviço na conta. Para obter mais informações,consulte Usar funções vinculadas ao serviço do AWS SSO (p. 40).
17
AWS Single Sign-On Guia do usuárioRemover acesso do usuário
Important
O processo de atribuição de usuário pode demorar alguns minutos para ser concluído. Éimportante manter a página aberta até que o processo seja concluído com êxito.
Remover acesso do usuárioUse este procedimento quando precisar remover acesso SSO a uma conta da AWS para determinadousuário ou grupo em seu diretório conectado.
Para remover acesso do usuário em uma conta da AWS
1. Abra o console do AWS SSO.2. Escolha AWS accounts (Contas da AWS).3. Na tabela, selecione a conta da AWS com o usuário ou grupo cujo acesso você deseja remover.4. Na página Details (Detalhes) da conta da AWS, em Assigned users and groups (Usuários e grupos
atribuídos), localize o usuário ou grupo na tabela. Em seguida, escolha Remove access (Removeracesso).
5. Na caixa de diálogo Remove access (Remover acesso), confirme o nome do usuário ou do grupo. Emseguida, escolha Remove access (Remover acesso).
Delegar quem pode atribuir acesso SSO a usuários naconta mestreAtribuir acesso de logon único à conta mestre usando o console do AWS SSO é uma açãoprivilegiada. Por padrão, somente um usuário raiz da conta da AWS ou um usuário que tenha a políticaAWSSSOMasterAccountAdministrator AWS gerenciada e anexada pode atribuir acesso SSO à contamestre. A AWSSSOMasterAccountAdministrator permite gerenciar acesso SSO à conta mestre em umaorganização do AWS Organizations.
Use as etapas a seguir para delegar permissões para gerenciar o acesso SSO aos usuários em seudiretório.
Para conceder permissões para gerenciar o acesso SSO aos usuários em seu diretório
1. Faça login no console do AWS SSO como um usuário raiz da conta mestre ou com outro usuário doIAM que tenha permissões de administrador do IAM para a conta mestre.
2. Utilize o procedimento Criar conjunto de permissões (p. 19) para criar um conjunto de permissões.Quando chegar à etapa 5c, selecione a opção Attach AWS managed policies (Anexar políticasgerenciadas pela AWS). Na lista de políticas do IAM que aparecem na tabela, escolha a políticagerenciada AWSSSOMasterAccountAdministrator AWS. Essa política concede permissões a qualquerusuário que receberá acesso a essa permissão definida no futuro.
3. Use o procedimento Atribuir acesso a usuários (p. 17) para atribuir os usuários apropriados aoconjunto de permissões que você acabou de criar.
4. Informe o seguinte aos usuários atribuídos: ao acessarem o portal do usuário e selecionarem o íconeAWS Account (Conta da AWS), eles deverão escolher o nome de função apropriado do IAM que seráautenticado com as permissões que você acabou de delegar.
18
AWS Single Sign-On Guia do usuárioConjuntos de permissões
Conjuntos de permissõesOs conjuntos de permissões definem o nível de acesso que os usuários e grupos têm a uma conta daAWS. Os conjuntos de permissões são armazenados no AWS SSO e provisionados à conta da AWScomo funções do IAM. Você pode atribuir mais de um conjunto de permissões a um usuário. Os usuárioscom vários conjuntos de permissões precisam escolher uma quando fazem login no portal do usuário.(Os usuários as verão como funções do IAM.) Para obter mais informações, consulte Conjuntos depermissões (p. 6).
Criar conjunto de permissõesUse este procedimento para criar um conjunto de permissões com base em uma política de permissõespersonalizada que você cria ou em políticas gerenciadas da AWS predefinidas e existentes no IAM, ouambos.
Para criar um conjunto de permissões
1. Abra o console do AWS SSO.2. Escolha AWS accounts (Contas da AWS).3. Selecione a guia Permission sets (Conjuntos de permissões).4. Escolha Create permission set (Criar conjunto de permissões).5. Na caixa de diálogo Create new permission set (Criar novo conjunto de permissões), escolha uma das
seguintes opções e, em seguida, siga as instruções fornecidas com essa opção:
• Use an existing job function policy (Usar uma política de função de trabalho existente)1. Em Select job function policy (Selecionar política de função de trabalho), selecione na lista
uma das políticas de função de trabalho do IAM padrão. Para obter mais informações, consultePolíticas gerenciadas da AWS para funções de trabalho.
2. Escolha Criar.• Create a custom permission set (Criar um conjunto de permissões personalizadas)
1. Em Create a custom permission set (Criar um conjunto de permissões personalizadas), digiteum nome que identifique esse conjunto de permissões no AWS SSO. Esse nome também seráexibido como uma função do IAM no portal do usuário, para todos os usuários que têm acesso aele.
2. (Opcional) Você pode também digitar uma descrição. Essa descrição somente será exibida noconsole do AWS SSO e não ficará visível para os usuários no portal do usuário.
3. Selecione Attach AWS managed policies (Anexar políticas gerenciadas da AWS) ou Createa custom permissions policy (Criar uma política de permissões personalizada). Ou selecioneambas as opções se você precisar vincular mais de um tipo de política para esse conjunto depermissões.
4. Se você escolheu Attach AWS managed policies (Anexar políticas gerenciadas da AWS), emAttach AWS Managed policies (Anexar políticas gerenciadas da AWS), selecione na lista até 10trabalhos ou serviços específicos relacionados a políticas gerenciadas da AWS.
5. Se você escolheu Create a custom permissions policy (Criar uma política de permissõespersonalizada), em Create a custom permissions policy (Criar uma política de permissõespersonalizada), cole um documento de política com permissões de sua preferência. Para obteruma lista de exemplos de políticas para usar para delegar tarefas do AWS SSO, consulteExemplos de política gerenciada pelo cliente (p. 36).
Para obter mais informações sobre como especificar uma linguagem de política de acesso,consulte Visão geral das políticas no Guia do usuário do IAM. Para testar os efeitos dessa políticaantes de aplicar as alterações, use o simulador de políticas do IAM.
6. Escolha Criar.
19
AWS Single Sign-On Guia do usuárioExcluir conjuntos de permissões
Excluir conjuntos de permissõesUse este procedimento para excluir um ou mais conjuntos de permissões para que não sejam mais usadospor qualquer conta da AWS na organização.
Note
Todos os usuários e grupos que foram atribuídos a esse conjunto de permissões,independentemente da conta da AWS que o estiver usando, não poderão mais fazer login.
Para excluir um conjunto de permissões em uma conta da AWS
1. Abra o console do AWS SSO.2. Escolha AWS accounts (Contas da AWS).3. Escolha a guia Permission sets (Conjuntos de permissões).4. Selecione o conjunto de permissões que você deseja excluir e, em seguida, Delete (Excluir).5. Na caixa de diálogo Delete permission set (Excluir conjunto de permissões), escolha Delete (Excluir).
Definir duração da sessãoPara cada conjunto de permissões, você pode especificar uma duração de sessão de modo a controlarquanto tempo um usuário pode ficar conectado a uma conta da AWS. Quando a duração especificadativer decorrido, o AWS desconectará o usuário da sessão. Para contas da AWS, o AWS SSO usa essaconfiguração para definir a duração máxima da sessão da função do IAM usada para gerar a sessãode um usuário. A duração da sessão que você especifica para um determinado conjunto de permissõesaplica-se à sessão do Console de gerenciamento da AWS e do AWS Command Line Interface (CLI).
Quando você cria um conjunto de permissões, este vem configurado com a duração da sessão padrão de1 hora (em segundos). A duração mínima da duração da sessão é de 1 hora e pode ser configurada até 12horas.
Important
Como melhor prática de segurança, recomendamos que você não defina um tempo de duraçãoda sessão maior do que o necessário para executar a função.
Após a criação de um conjunto de permissões, você poderá atualizá-lo posteriormente para aplicar umanova duração de sessão. Quando você reaplicar o conjunto de permissões para suas contas da AWS, ovalor máximo de duração da sessão da função do IAM será atualizado. Use o procedimento a seguir paramodificar o tamanho da duração da sessão para um determinado conjunto de permissões.
Como definir a duração da sessão
1. Abra o console do AWS SSO.2. Escolha AWS accounts (Contas da AWS).3. Escolha a guia Permission sets (Conjuntos de permissões).4. Escolha o nome do conjunto de permissões que terá a nova duração da sessão.5. Na guia Permissions (Permissões), ao lado de Session duration (Duração da sessão), selecione Edit
(Editar).6. Na página Edit session duration (Editar duração da sessão), ao lado de New session duration (Nova
duração da sessão), escolha um novo valor de tamanho de sessão e, em seguida, escolha Continue(Continuar).
7. Selecione as contas da AWS na lista à qual deseja que o novo valor de duração da sessão sejaaplicado e, em seguida, escolha Reapply permission set (Reaplicar conjunto de permissões).
20
AWS Single Sign-On Guia do usuárioProvedor de identidade do IAM
Provedor de identidade do IAMQuando você adiciona acesso SSO a uma conta da AWS, o AWS SSO cria um provedor de identidade doIAM em cada conta da AWS. O provedor de identidade do IAM ajuda a manter sua conta da AWS seguraporque você não precisa distribuir nem incorporar credenciais de segurança de longo prazo, como chavesde acesso do IAM, em seu aplicativo.
Reparar o provedor de identidade do IAMUse o procedimento a seguir para reparar o provedor de identidade caso tenha sido excluído oumodificado.
Para reparar um provedor de identidade para uma conta da AWS
1. Abra o console do AWS SSO.2. Escolha AWS accounts (Contas da AWS).3. Na tabela, selecione a conta da AWS que está associada com o provedor de identidade que você
deseja reparar.4. Na página de detalhes da conta da AWS, em IAM identity provider (Provedor de identidade do IAM),
escolha Repair identity provider (Reparar provedor de identidade).
Remover o provedor de identidade do IAMUse o procedimento a seguir para remover o provedor de identidade do IAM no AWS SSO.
Para remover o provedor de identidade do IAM no AWS SSO
1. Abra o AWS SSO console de gerenciamento2. Escolha AWS accounts (Contas da AWS)3. Na tabela, selecione a conta da AWS que está associada ao provedor de identidade do IAM que você
deseja remover.4. Na página Details (Detalhes) da conta da AWS, em IAM identity provider (Provedor de identidade do
IAM), escolha Remove identity provider (Remover provedor de identidade).
Funções vinculadas ao serviçoAs funções vinculadas a serviços são permissões predefinidas do IAM que autorizam o AWS SSOa determinar e impor quais usuários têm acesso SSO a contas específicas da AWS na respectivaorganização da AWS. Esse serviço oferece essa funcionalidade por meio do provisionamento de umafunção vinculada ao serviço em cada conta da AWS dentro de sua organização. Desse modo, o serviçopermite que outros serviços da AWS como o AWS SSO, aproveitem essas funções para realizar tarefasrelacionadas ao serviço. Para obter mais informações, consulte AWS Organizations e funções vinculadasao serviço.
Durante o processo para Habilite o AWS SSO (p. 3) pela primeira vez, o serviço do AWS Organizationsconcede ao AWS SSO as permissões necessárias para criar funções do IAM em qualquer uma de suascontas da AWS. Nesse momento, o AWS SSO não cria funções em nenhuma das contas da AWS. Ele sócriará uma função vinculada ao serviço em uma conta da AWS depois que você tiver usado o console doAWS SSO para especificar a qual conta você deseja atribuir acesso SSO. Para obter mais informações,consulte Gerenciar o SSO em suas contas da AWS (p. 16).
21
AWS Single Sign-On Guia do usuárioFunções vinculadas ao serviço
As funções vinculadas ao serviço que são criados em cada conta da AWS são chamadas deAWSServiceRoleForSSO. Para obter mais informações, consulte Usar funções vinculadas ao serviço doAWS SSO (p. 40).
22
AWS Single Sign-On Guia do usuárioAplicativos de nuvem
Gerenciar o SSO em seus aplicativosCom o AWS Single Sign-On você pode controlar facilmente quem deve ter acesso de logon único (SSO)aos seus aplicativos de nuvem. Os usuários obtêm acesso com um clique a esses aplicativos depois quefazem login no portal do usuário com suas credenciais de diretório.
O AWS SSO comunica-se com segurança com esses aplicativos por meio de uma relação de confiançaentre o AWS SSO e o provedor de serviços do aplicativo. Essa confiança é criada quando você adicionao aplicativo usando o console do AWS SSO e o configura com os metadados apropriados tanto para o oAWS SSO quanto para o provedor de serviços.
Assim que o aplicativo é adicionado com êxito ao console do AWS SSO, você pode gerenciar quaisusuários ou grupos precisam de permissões para o aplicativo. Por padrão, quando você adiciona umaplicativo, nenhum usuário é atribuído ao aplicativo. Em outras palavras, os aplicativos recém-adicionadosao console do AWS SSO ficam inacessíveis até que você atribua usuários a eles. O AWS SSO écompatível com os seguintes tipos de aplicativo:
• Aplicativos de nuvem• Aplicativos Custom Security Assertion Markup Language (SAML 2.0)
Você também pode conceder acesso aos seus funcionários ao Console de gerenciamento da AWS dedeterminada conta da AWS em sua organização. Para obter mais informações sobre como fazer isso,consulte Gerenciar o SSO em suas contas da AWS (p. 16).
As seções a seguir explicam como configurar o acesso do usuário a aplicativos de terceiros usadoscomo software de serviço (SaaS) e a quaisquer aplicativos personalizados que comportem federação deidentidades com o SAML 2.0.
Tópicos• Aplicativos de nuvem (p. 23)• Aplicativos SAML 2.0 personalizados (p. 25)• Propriedades do aplicativo (p. 26)• Atribuir acesso a usuários (p. 28)• Remover acesso do usuário (p. 28)• Mapear atributos em seu aplicativo para atributos do AWS SSO (p. 29)
Aplicativos de nuvemVocê pode usar o assistente de configuração de aplicativos do AWS SSO para incluir integrações deSAML incorporadas a vários aplicativos de nuvem populares, tais como Salesforce, Box e Office 365.Para obter uma lista completa de aplicativos que você pode adicionar ao assistente, consulte Aplicativoscompatíveis (p. 23).
A maioria dos aplicativos de nuvem vem com instruções detalhadas sobre como configurar a confiançaentre o AWS SSO e o provedor de serviços do aplicativo. Você pode encontrar essas instruções na páginade configuração de aplicativos de nuvem durante o processo de configuração e depois que o aplicativo forconfigurado. Depois que o aplicativo for configurado, você pode atribuir acesso a grupos ou usuários que osolicitarem.
Aplicativos compatíveisO AWS SSO tem suporte integrado para os seguintes aplicativos de nuvem usados com frequência.
23
AWS Single Sign-On Guia do usuárioAplicativos compatíveis
Note
Os engenheiros da AWS Support podem ajudar os clientes que tenham planos de suporteBusiness e Enterprise em algumas tarefas de integração que envolvem software de terceiros.Para obter uma lista atual de plataformas e aplicativos compatíveis, consulte Suporte a softwarede terceiros na página Recursos do AWS Support.
Adobe Creative Cloud Dropbox Lucidchart UserEcho
Aha DruvalnSync MangoApps UserVoice
AnswerHub EduBrite NewRelic Velpic
AppDynamics Egnyte Office 365 VictorOps
Assembla eLeaP OpsGenie WeekDone
Atlassian Engagedly PagerDuty WhosOnLocation
BambooHR Envoy Panopta Workplace do Facebook
BenSelect Evernote ProdPad Workstars
Bitglass Expensify PurelyHR xMatters
BMCRemedyforce EZOfficeInventory RingCentral Zendesk
Bonusly Freshdesk Salesforce Zoho
Box FreshService Samanage Zoom
BugSnag Front ScaleFT
CakeHR G Suite ScreenSteps
CiscoMeraki GitHub ServiceNow
CiscoUmbrella GitLab Slack
Citrix ShareFile GoToMeeting Sli.do
Clarizen Grovo Smartsheet
ClickTime Humanity SnapEngage
CloudPassage IdeaScale SugarCRM
Convo Igloo SumoLogic
DataDog JamaSoftware SurveyMonkey
Deputy JFrog Artifactory Syncplicity
Deskpro Jitbit Tableau
DigiCert join.me TalentLMS
Dmarcian Keeper Security TargetProcess
Docebo Klipfolio TextMagic
DocuSign Kudos ThousandEyes
24
AWS Single Sign-On Guia do usuárioAdicionar e configurar um aplicativo de nuvem
Dome9 LiquidFiles TitanFile
Domo LogMeInRescue Trello
Adicionar e configurar um aplicativo de nuvemUse este procedimento quando precisar configurar uma relação de confiança SAML entre o AWS SSOe o provedor de serviços do aplicativo de nuvem. Antes de iniciar este procedimento, verifique se vocêtem o arquivo de troca de metadados do provedor de serviços, para que possa configurar a confiança deforma mais eficiente. Se não tiver esse arquivo, mesmo assim você poderá usar este procedimento paraconfigurá-lo manualmente.
Para adicionar e configurar um aplicativo de nuvem
1. No console do AWS SSO, escolha Applications (Aplicativos) no navegador esquerdo e, em seguida,Add a new application (Adicionar um novo aplicativo).
2. Na caixa de diálogo Select an application (Selecionar um aplicativo), selecione o aplicativo que vocêdeseja adicionar à lista e, em seguida, escolha Add (Adicionar).
3. Na página Configure <application name>(Configurar <nome do aplicativo>), em Details (Detalhes),digite um nome de exibição para o aplicativo. Por exemplo, Salesforce.
4. Em AWS SSO metadata (Metadados do SSO), faça o seguinte:
a. Ao lado do arquivo AWS SSO SAML metadata (Metadados SAML do SSO), escolha Downloadpara fazer download dos metadados do provedor de identidades.
b. Ao lado de AWS SSO certificate (Certificado do SSO), escolha Download certificate (Fazerdownload do certificado) para fazer download do certificado do provedor de identidades.
Note
Você precisará desses arquivos mais tarde ao configurar o aplicativo de nuvem no site doprovedor de serviços. Siga as instruções desse provedor.
5. Em Application properties (Propriedades do aplicativo), como opção, você pode especificarpropriedades adicionais para Application start URL (URL de início do aplicativo), Relay State (Estadode retransmissão) e Session Duration (Duração da sessão). Para obter mais informações, consultePropriedades do aplicativo (p. 26).
6. Em Application metadata (Metadados do aplicativo), forneça os valores Application ACS URL (URL doACS do aplicativo) e Application SAML audience (Público do SAML do aplicativo).
7. Escolha Save changes (Salvar alterações) para salvar a configuração.
Aplicativos SAML 2.0 personalizadosVocê pode usar o assistente de configuração de aplicativos do AWS SSO para adicionar suporte paraaplicativos que permitem a federação de identidades usando o SAML (Security Assertion MarkupLanguage) 2.0. No console, você faz essa configuração escolhendo Custom SAML 2.0 application(Aplicativo SAML 2.0 personalizado) no seletor de aplicativos. As etapas para configurar um aplicativoSAML personalizado são em sua maioria iguais às da configuração de um aplicativo de nuvem.
No entanto, você precisa fornecer também outros mapeamentos de atributos SAML para um aplicativoSAML personalizado para que o AWS SSO saiba como preencher corretamente a declaração SAML paraseu aplicativo. Você pode fornecer esse mapeamento de atributos SAML adicional quando configurar o
25
AWS Single Sign-On Guia do usuárioAdicionar e configurar um aplicativo SAML 2.0 personalizado
aplicativo pela primeira vez. Você também pode fornecer mapeamentos de atributos SAML na página dedetalhes do aplicativo que pode ser acessada por meio do console do AWS SSO.
Adicionar e configurar um aplicativo SAML 2.0personalizadoUse este procedimento quando precisar configurar uma relação de confiança SAML entre o AWS SSO eo provedor de serviços do aplicativo personalizado. Antes de iniciar este procedimento, verifique se vocêtem o certificado e os arquivos de troca de metadados do provedor de serviços, para que possa terminarde configurar a confiança.
Para adicionar e configurar um aplicativo SAML personalizado
1. No console do AWS SSO, escolha Applications (Aplicativos) no painel de navegação esquerdo. Emseguida, escolha Add a new application (Adicionar um novo aplicativo).
2. Na caixa de diálogo Select an application (Selecionar um aplicativo), selecione Custom SAML 2.0application (Aplicativo SAML 2.0 personalizado) na lista e, em seguida, escolha Configure application(Configurar aplicativo).
3. Na página Configure <Custom application name>(Configurar <nome do aplicativo personalizado>), emDetails (Detalhes), digite um nome de exibição para o aplicativo. Por exemplo, MyApp.
4. Em AWS SSO metadata (Metadados do SSO), faça o seguinte:
a. Ao lado do arquivo AWS SSO SAML metadata (Metadados SAML do SSO), clique em Downloadpara fazer download dos metadados do provedor de identidades.
b. Ao lado de AWS SSO certificate (Certificado do SSO), clique em Download certificate (Fazerdownload do certificado) para fazer download do certificado do provedor de identidades.
Note
Você precisará desses arquivos mais tarde ao configurar o aplicativo personalizado no site doprovedor de serviços.
5. Em Application properties (Propriedades do aplicativo), como opção, você pode especificarpropriedades adicionais para Application start URL (URL de início do aplicativo), Relay State (Estadode retransmissão) e Session Duration (Duração da sessão). Para obter mais informações, consultePropriedades do aplicativo (p. 26).
6. Em Application metadata (Metadados do aplicativo), forneça os valores Application ACS URL (URL doACS do aplicativo) e Application SAML audience (Público do SAML do aplicativo).
7. Escolha Save changes (Salvar alterações) para salvar a configuração.
Propriedades do aplicativoNo AWS SSO, você pode personalizar a experiência do usuário configurando as seguintes propriedadesadicionais do aplicativo.
URL de início do aplicativoVocê usa um URL de início do aplicativo para iniciar o processo de federação com seu aplicativo. O usotípico é para um aplicativo que só permite vínculo iniciado pelo provedor de serviços (SP).
As etapas e o diagrama a seguir ilustram o fluxo de trabalho de autenticação de URL de início do aplicativoquando um usuário escolhe um aplicativo no portal do usuário:
26
AWS Single Sign-On Guia do usuárioEstado de retransmissão
1. O navegador do usuário redireciona a solicitação de autenticação usando o valor do URL de início deaplicativo (neste caso, https://example.com).
2. O aplicativo envia um HTML POST com uma SAMLRequest para o AWS SSO.3. O AWS SSO então envia um HTML POST com uma SAMLResponse de volta para o aplicativo.
Estado de retransmissãoDurante o processo de autenticação de federação, o estado de retransmissão redireciona os usuáriosdentro do aplicativo. Para o SAML 2.0, esse valor é passado, não modificado, para o aplicativo. Uma vezconfigurado, o AWS SSO envia o valor do estado do retransmissão juntamente com uma resposta doSAML ao aplicativo.
Duração da sessãoA duração da sessão é o período de tempo pelo qual as sessões do usuário do aplicativo são válidas. Parao SAML 2.0, isso é usado para definir a data NotOnOrAfter dos elementos da declaração de SAML;saml2:SubjectConfirmationData e saml2:Conditions.
A duração da sessão pode ser interpretada pelos aplicativos de uma das seguintes maneiras:
27
AWS Single Sign-On Guia do usuárioAtribuir acesso a usuários
• Os aplicativos podem usá-la para determinar por quanto tempo a declaração de SAML é válida e nãovão considerá-la ao decidir o tempo permitido para o usuário.
• Os aplicativos podem usá-la para determinar o tempo máximo permitido para a sessão do usuário egerar uma sessão do usuário com uma duração menor. Isso pode acontecer quando o aplicativo permiteapenas sessões de usuário com duração menor que a duração da sessão configurada.
• Os aplicativos podem usá-la como a duração exata e podem impedir que os administradores configuremo valor. Isso pode acontecer quando o aplicativo permite apenas um tamanho de sessão específico.
Para obter mais informações sobre como a duração da sessão é usada, consulte a documentação do seuaplicativo específico.
Atribuir acesso a usuáriosUse o procedimento a seguir para atribuir aos usuários acesso SSO a aplicativos de nuvem ou aaplicativos SAML 2.0 personalizados.
Note
Para ajudar a simplificar a administração de permissões de acesso, é recomendável atribuiracesso diretamente a grupos, em vez de a usuários específicos. Com grupos, você podeconceder ou negar permissões para grupos de usuários, em vez de ter de aplicar essaspermissões a cada indivíduo. Se um usuário for transferido para uma organização diferente, bastamover esse usuário para um grupo diferente para que recebam automaticamente as permissõesnecessárias para a nova organização.
Para atribuir acesso a usuários ou grupos
1. Abra o console do AWS SSO.
Note
Antes de passar para a próxima etapa, confirme se o console do AWS SSO está usando aregião Leste dos EUA (Norte da Virgínia) em que o diretório do AWS Managed Microsoft ADestá localizado.
2. Escolha Applications.3. Na lista de aplicativos, escolha o aplicativo ao qual deseja atribuir acesso.4. Na página de detalhes do aplicativo, selecione a guia Assigned users (Usuários atribuídos). Em
seguida, escolha Assign users (Atribuir usuários).5. Na caixa de diálogo Assign users (Atribuir usuários), digite um nome de usuário ou grupo. Em seguida,
escolha Search connected directory (Pesquisar diretório conectado). Você pode especificar váriosusuários ou grupos selecionando as contas aplicáveis à medida que elas aparecem nos resultados dapesquisa.
6. Escolha Assign users (Atribuir usuários).
Remover acesso do usuárioUse este procedimento para remover o acesso do usuário a aplicativos de nuvem ou a aplicativos SAML2.0 personalizados.
Para remover acesso do usuário de um aplicativo
1. Abra o console do AWS SSO.
28
AWS Single Sign-On Guia do usuárioMapear atributos em seu aplicativo
para atributos do AWS SSO
2. Escolha Applications.3. Na lista de aplicativos, escolha o aplicativo do qual você deseja remover o acesso.4. Na página de detalhes do aplicativo, selecione a guia Assigned users (Usuários atribuídos), selecione
o usuário ou grupo que você deseja remover e, em seguida, escolha Remove (Remover).5. Na caixa de diálogo Remove access (Remover acesso), confirme o nome do usuário ou do grupo. Em
seguida, escolha Remove access (Remover acesso).
Mapear atributos em seu aplicativo para atributosdo AWS SSO
Alguns provedores de serviço personalizados exigem declarações SAML para transmitir dados adicionaissobre logins de usuário. Nesse caso, use o procedimento a seguir para especificar como os atributos deusuário de seus aplicativos devem ser mapeados para atributos correspondentes no AWS SSO.
Para mapear atributos do aplicativo para atributos do AWS SSO
1. Abra o console do AWS SSO.2. Escolha Applications.3. Na lista de aplicativos, escolha o aplicativo para o qual deseja mapear atributos.4. Na página de detalhes do aplicativo, selecione a guia Attribute mappings (Mapeamentos de atributos).5. Escolha a guia Add new attribute mapping (Adicionar novo mapeamento de atributo).6. Na primeira caixa de texto, digite o atributo do aplicativo.7. Na segunda caixa de texto, digite o atributo no AWS SSO que você deseja mapear para o atributo do
aplicativo. Por exemplo, você pode mapear o atributo de aplicativo Username do AWS SSO para oatributo de usuário email. Para ver a lista de atributos e usuário permitidos no AWS SSO, consulte atabela em Mapeamento de atributos (p. 12).
8. Na terceira coluna da tabela, selecione o formato apropriado para o atributo no menu.9. Selecione Save changes.
29
AWS Single Sign-On Guia do usuárioAutenticação
Autenticação e controle de acesso doAWS SSO
O acesso ao AWS SSO exige credenciais que a AWS possa usar para autenticar suas solicitações. Essascredenciais devem ter permissões para acessar recursos da AWS, como um aplicativo do AWS SSO.
A autenticação no portal do usuário do AWS SSO é controlada pelo diretório que você conectou ao AWSSSO. No entanto, a autorização para as contas da AWS que estão disponíveis para os usuários finaisdentro do portal do usuário é determinada por dois fatores:
1. A quem foi atribuído acesso a essas contas da AWS no console do AWS SSO. Para obter maisinformações, consulte Acesso de logon único (p. 16).
2. Que nível de permissão foi concedido aos usuários finais no console do AWS SSO para lhesconceder acesso apropriado às contas da AWS. Para obter mais informações, consulte Conjuntos depermissões (p. 19).
As seções a seguir explicam como você, como administrador, pode controlar o acesso ao console do AWSSSO ou pode delegar acesso administrativo para tarefas diárias por meio do console do AWS SSO.
• Autenticação (p. 30)• Controle de acesso (p. 31)
AutenticaçãoVocê pode acessar a AWS como alguns dos seguintes tipos de identidade:
• Usuário raiz da conta da AWS – Ao criar uma conta da AWS, você começa com uma única identidadede login que tenha acesso total a todos os recursos e serviços da AWS na conta. Essa identidade échamada de AWS da conta da usuário raiz e é acessada pelo login com o endereço de e-mail e a senhaque você usou para criar a conta. Recomendamos que não use o usuário raiz para suas tarefas diárias,nem mesmo as administrativas. Em vez disso, siga as melhores práticas de uso do usuário raiz somentepara criar seu primeiro usuário do IAM. Depois, armazene as credenciais usuário raiz com segurança euse-as para executar apenas algumas tarefas de gerenciamento de contas e de serviços.
• Usuário do IAM – um usuário do IAM é uma identidade na sua conta da AWS que tem permissõespersonalizadas específicas (por exemplo, para criar a directory no AWS SSO). Você pode usar umasenha e um nome do usuário do IAM para fazer login em páginas da web seguras da AWS como oConsole de gerenciamento da AWS, os Fóruns de discussão da AWS ou o AWS Support Center.
Além de um nome e uma senha de usuário, você também pode gerar chaves de acesso para cadausuário. Você pode usar essas chaves ao acessar serviços da AWS de forma programática, seja comum dos vários SDKs ou usando a AWS Command Line Interface (CLI). As ferramentas de SDK e de CLIusam as chaves de acesso para o cadastramento criptográfico da sua solicitação. Se você não utilizarferramentas da AWS, cadastre a solicitação você mesmo. AWS SSO supports Signature versão 4, umprotocolo para autenticar solicitações de API de entrada. Para mais informações sobre a autenticação desolicitações, consulte Processo de cadastramento do Signature versão 4 na AWS General Reference.
• As funções IAM – Uma função do IAM é uma identidade do IAM que você pode criar em sua conta que
tenha permissões específicas. Uma função do IAM é semelhante a um usuário do IAM, pois é uma
30
AWS Single Sign-On Guia do usuárioControle de acesso
identidade da AWS com políticas de permissão que determinam o que a identidade pode e não podefazer na AWS. No entanto, em vez de ser exclusivamente associada a uma pessoa, uma função destina-se a ser assumida por qualquer pessoa que precisar. Além disso, uma função não tem credenciais delongo prazo padrão, como uma senha ou chaves de acesso, associadas a ela. Em vez disso, quandovocê assumir uma função, ela fornecerá credenciais de segurança temporárias para sua sessão defunção. IAM com credenciais temporárias são úteis nas seguintes situações:
• Acesso de usuário federado – Em vez de criar um usuário do IAM, você pode usar identidades
existentes do AWS Directory Service, do diretório de usuário da sua empresa ou de um provedor deidentidades da Web. Estes são conhecidos como usuários federados. A AWS atribui uma função aum usuário federado quando o acesso é solicitado por meio de um provedor de identidades. Paraobter mais informações sobre usuários federados, consulte Usuários federados e funções no Guia dousuário do IAM.
• Acesso ao serviço da AWS – A função de serviço é uma função do IAM que um serviço assume para
realizar ações em seu nome. As funções de serviço fornecem acesso apenas dentro de sua conta enão podem ser usadas para conceder acesso a serviços em outras contas. Um administrador do IAMpode criar, modificar e excluir uma função de serviço do IAM. Para obter mais informações, consulteCriar uma função para delegar permissões a um serviço da AWS no Guia do usuário do IAM.
• Execução de aplicativos no Amazon EC2 – Você pode usar uma função do IAM para gerenciar
credenciais temporárias para aplicativos que estão sendo executados em uma instância do EC2 e quefazem solicitações de API da AWS CLI ou AWS. É preferível fazer isso do que armazenar chaves deacesso na instância do EC2. Para atribuir uma função da AWS a uma instância do EC2 e disponibilizá-la para todos os seus aplicativos, crie um perfil de instância que esteja anexado à instância. Um perfilde instância contém a função e permite que programas que estão em execução na instância do EC2obtenham credenciais temporárias. Para obter mais informações, consulte Usar uma função do IAMpara conceder permissões a aplicações em execução nas instâncias do Amazon EC2 no Guia dousuário do IAM.
Controle de acessoVocê pode ter credenciais válidas para autenticar suas solicitações. No entanto, a menos que tenhapermissões, você não pode criar nem acessar os recursos do AWS SSO. Por exemplo, você deve terpermissões para criar um diretório conectado do AWS SSO.
As seções a seguir descrevem como gerenciar permissões para o AWS SSO. Recomendamos que vocêleia a visão geral primeiro.
• Visão geral do gerenciamento de permissões de acesso aos recursos do AWS SSO (p. 31)• Uso de políticas baseadas em identidade (IAM políticas) para o AWS SSO (p. 34)• Usar funções vinculadas ao serviço do AWS SSO (p. 40)
Visão geral do gerenciamento de permissões deacesso aos recursos do AWS SSO
Todo recurso da AWS é de propriedade de uma conta da AWS, e as permissões para criar ou acessar osrecursos são regidas por políticas de permissões. Um administrador de conta pode anexar políticas de
31
AWS Single Sign-On Guia do usuárioRecursos e operações do AWS SSO
permissões a identidades do IAM (ou seja, usuários, grupos e funções). Alguns serviços (como o AWSLambda) também oferecem suporte à anexação de políticas de permissões aos recursos.
Note
Um administrador da conta (ou usuário administrador) é um usuário com privilégios deadministrador. Para obter mais informações, consulte Melhores práticas do IAM no Guia dousuário do IAM.
Ao conceder permissões, você decide quem recebe as permissões, os recursos relacionados àspermissões concedidas e as ações específicas que deseja permitir nesses recursos.
Tópicos• Recursos e operações do AWS SSO (p. 32)• Entender a propriedade de recursos (p. 32)• Gerenciamento do acesso aos recursos (p. 32)• Especificação de elementos da política: ações, efeitos, recursos e principais (p. 34)• Especificação de condições em uma política (p. 34)
Recursos e operações do AWS SSONo AWS SSO, os recursos principais são instâncias de aplicativo, perfis e conjuntos de permissões.
Entender a propriedade de recursosUm proprietário do recurso é a conta da AWS que criou um recurso. Isto é, o proprietário do recurso é aconta da AWS da entidade principal (a conta-raiz, um usuário do IAM ou uma função do IAM) que autenticaa solicitação que cria o recurso. Os exemplos a seguir ilustram como isso funciona:
• Se o usuário raiz da conta da AWS criar um recurso do AWS SSO, como uma instância do aplicativo ouum conjunto de permissões, sua conta da AWS será a proprietária desse recurso.
• Se você criar um usuário do IAM na sua conta da AWS e conceder a esse usuário permissões para criarrecursos do AWS SSO, ele poderá criar recursos do AWS SSO. No entanto, sua conta da AWS, à qual ousuário pertence, é a proprietária dos recursos.
• Se você criar uma função do IAM em sua conta da AWS com permissões para criar recursos do AWSSSO, qualquer pessoa que possa assumir a função poderá criar recursos do AWS SSO. A conta daAWS, à qual a função pertence, é a proprietária dos recursos do AWS SSO.
Gerenciamento do acesso aos recursosA política de permissões descreve quem tem acesso a quê. A seção a seguir explica as opçõesdisponíveis para a criação das políticas de permissões.
Note
Esta seção discute como usar o IAM no contexto do AWS SSO. Não são fornecidas informaçõesdetalhadas sobre o serviço do IAM. Para obter a documentação completa do IAM, consulte Oque é o IAM? no Guia do usuário do IAM. Para obter mais informações sobre a sintaxe e asdescrições de política do IAM, consulte Referência de política do IAM da AWS no Guia do usuáriodo IAM.
As políticas anexadas a uma identidade do IAM são chamadas de políticas baseadas em identidade(políticas do IAM). As políticas anexadas a um recurso são conhecidas como políticas baseadas emrecurso. O AWS SSO oferece suporte somente a políticas baseadas em identidade (políticas do IAM).
32
AWS Single Sign-On Guia do usuárioGerenciamento do acesso aos recursos
Tópicos• Políticas baseadas em identidade (políticas do IAM) (p. 33)• Políticas com base em recurso (p. 33)
Políticas baseadas em identidade (políticas do IAM)Você pode anexar políticas a identidades do IAM. Por exemplo, você pode fazer o seguinte:
• Anexar uma política de permissões a um usuário ou a um grupo em sua conta – Um administradorda conta pode usar uma política de permissões associada a determinado usuário para concederpermissões para que o usuário adicione um recurso do AWS SSO, tal como um novo aplicativo.
• Anexar uma política de permissões a uma função (conceder permissões entre contas) – você podeanexar uma política de permissões com base em identidade a uma função do IAM para concederpermissões entre contas. Por exemplo, o administrador na conta A pode criar uma função para concederpermissões entre contas a outra conta da AWS (por exemplo, conta B) ou um serviço da AWS, conformeo seguinte:1. Um administrador da Conta A cria uma função do IAM e anexa uma política de permissões à função
que concede permissões para uso de recursos na Conta A.2. Um administrador da Conta A anexa uma política de confiança à função identificando a Conta B como
a principal, que pode assumir a função.3. O administrador da conta B pode delegar permissões para assumir a função para todos os usuários
na conta B. Isso permite que os usuários na conta B criem ou acessem recursos na conta A. Aentidade principal na política de confiança também pode ser uma entidade principal do serviço daAWS se você desejar conceder permissões a um serviço da AWS para assumir a função.
Para obter mais informações sobre o uso do IAM para delegar permissões, consulte Gerenciamento deacesso no Guia do usuário do IAM.
A seguinte política de permissões concede permissões a um usuário para executar todas as ações quecomeçam com List. Essas ações mostram informações sobre um recurso do AWS SSO, como umainstância de aplicativo ou conjunto de permissões. Observe que o caractere curinga (*) no elementoResource indica que as ações são permitidas para todos os recursos do AWS SSO pertencentes à conta.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":"sso:List*", "Resource":"*" } ]}
Para obter mais informações sobre políticas baseadas em identidade com o AWS SSO, consulte Uso depolíticas baseadas em identidade (IAM políticas) para o AWS SSO (p. 34). Para obter mais informaçõessobre usuários, grupos, funções e permissões, consulte Identidades (usuários, grupos e funções) no Guiado usuário do IAM.
Políticas com base em recursoOutros serviços, como o Amazon S3, também são compatíveis com políticas de permissões baseadas emrecursos. Por exemplo, você pode anexar uma política a um bucket do S3 para gerenciar permissões deacesso a esse bucket. O AWS SSO não oferece suporte a políticas baseadas em recursos.
33
AWS Single Sign-On Guia do usuárioEspecificação de elementos da política:
ações, efeitos, recursos e principais
Especificação de elementos da política: ações, efeitos,recursos e principaisPara cada recurso do AWS SSO, (consulte Recursos e operações do AWS SSO (p. 32)), o serviçodefine um conjunto de operações da API. Para conceder permissões a essas operações da API, o AWSSSO define um conjunto de ações que podem ser especificadas em uma política. Observe que a execuçãode uma operação de API pode exigir permissões para mais de uma ação.
Estes são os elementos de política básicos:
• Recurso – em uma política, você usa um nome de recurso da Amazon (ARN) para identificar o recursoao qual a política se aplica. Para os recursos do AWS SSO, você sempre usa o caractere curinga (*) naspolíticas do IAM. Para obter mais informações, consulte Recursos e operações do AWS SSO (p. 32).
• Ação – Você usa palavras-chave de ação para identificar operações de recursos que você desejapermitir ou negar. Por exemplo, a permissão sso:DescribePermissionsPolicies permite que ousuário execute a operação doAWS SSODescribePermissionsPolicies .
• Efeito – você especifica o efeito quando o usuário solicita a ação específica — que pode ser permitirou negar. Se você não conceder (permitir) explicitamente acesso a um recurso, o acesso estaráimplicitamente negado. Você também pode negar explicitamente o acesso a um recurso, o que podefazer para ter a certeza de que um usuário não consiga acessá-lo, mesmo que uma política diferenteconceda acesso.
• Principal – em políticas baseadas em identidade (políticas do IAM), o usuário ao qual a política estáanexada é implicitamente o principal. Para as políticas baseadas em recursos, você especifica quaisusuários, contas, serviços ou outras entidades deseja que recebam permissões (aplica-se somente apolíticas baseadas em recursos). O AWS SSO não oferece suporte para politicas baseadas em recurso.
Para saber mais sobre a sintaxe e as descrições de políticas do IAM, consulte Referência de política doIAM da AWS no Guia do usuário do IAM.
Especificação de condições em uma políticaAo conceder permissões, você pode usar a linguagem de política de acesso para especificar as condiçõesque devem ser atendidas para que uma política entre em vigor. Por exemplo, convém que uma política sóseja aplicada após uma data específica. Para obter mais informações sobre como especificar condiçõesem uma linguagem de política, consulte Condição no Guia do usuário do IAM.
Para expressar condições, você usa chaves de condição predefinidas. Não existem chaves de condiçãoespecíficas do AWS SSO. No entanto, existem chaves de condição da AWS que você pode usar comodesejar. Para obter uma lista completa das chaves da AWS, consulte Chaves de condição globaisdisponíveis no Guia do usuário do IAM.
Uso de políticas baseadas em identidade (IAMpolíticas) para o AWS SSO
Este tópico fornece exemplos de políticas de permissões que um administrador de conta pode anexar aidentidades do IAM (ou seja, usuários, grupos e funções).
Important
Recomendamos primeiro analisar os tópicos introdutórios que explicam os conceitos básicose as opções disponíveis para gerenciar o acesso aos recursos do AWS SSO. Para obter mais
34
AWS Single Sign-On Guia do usuárioUso de políticas baseadas em identidade (políticas do IAM)
informações, consulte Visão geral do gerenciamento de permissões de acesso aos recursos doAWS SSO (p. 31).
As seções neste tópico abrangem o seguinte:
• Permissões necessárias para usar o console do AWS SSO (p. 36)• Políticas gerenciadas (predefinidas) da AWS para AWS SSO (p. 36)• Exemplos de política gerenciada pelo cliente (p. 36)
A seguir, um exemplo de uma política de permissões.
{ "Version" : "2012-10-17", "Statement" : [ { "Action" : [ "sso:CreateApplicationInstance", "sso:UpdateResponseConfig", "sso:UpdateResponseSchemaConfig", "sso:UpdateSecurityConfig", "sso:UpdateServiceProviderConfig", "sso:UpdateApplicationInstanceStatus", "sso:UpdateApplicationInstanceDisplay", "sso:CreateProfile", "sso:SetupTrust" ], "Effect" : "Allow", "Resource" : "*" }, { "Action" : [ "organizations:xxx", "organizations:yyy" ], "Effect" : "Allow", "Resource" : "*" }, { "Action" : [ "ds:AuthorizeApplication" ], "Effect" : "Allow", "Resource" : "*" } ]}
A política inclui o seguinte:
• A primeira instrução concede permissão para gerenciar as associações de perfil para usuários e gruposem seu diretório. Também concede permissão para ler todos os recursos do AWS SSO.
• A segunda instrução concede permissões para procurar usuários e grupos no diretório. Isso énecessário para que você possa criar associações de perfil.
A política não especifica o elemento Principal porque, em uma política baseada em identidade, não seespecifica o principal que obtém as permissões. Quando você anexar uma política a um usuário, o usuárioserá o principal implícito. Quando você anexa uma política de permissão a uma função do IAM, o principalidentificado na política de confiança da função obtém as permissões.
35
AWS Single Sign-On Guia do usuárioPermissões necessárias para usar o console do AWS SSO
Permissões necessárias para usar o console do AWSSSOPara um usuário trabalhar com o console do AWS SSO, esse usuário deve ter permissões listadas napolítica precedente.
Se você criar uma política do IAM que seja mais restritiva que as permissões mínimas necessárias, oconsole não funcionará como pretendido para os usuários com essa política do IAM.
Políticas gerenciadas (predefinidas) da AWS paraAWS SSOA AWS resolve muitos casos de uso comuns, fornecendo políticas do IAM autônomas criadas eadministradas pela AWS. As políticas gerenciadas concedem permissões necessárias para casos de usocomuns, de maneira que você possa evitar a necessidade de investigar quais permissões são necessárias.Para obter mais informações, consulte Políticas gerenciadas pela AWS no Guia do usuário do IAM.
Exemplos de política gerenciada pelo clienteNesta seção, você encontrará exemplos de políticas de usuário que concedem permissões para diversasações do AWS SSO.
Exemplos• Exemplo 1: permitir que um usuário configure e habilite o AWS SSO (p. 36)• Exemplo 2: permitir que um usuário gerencie o diretório conectado do AWS SSO (p. 37)• Exemplo 3: permitir que um usuário gerencie aplicativos no AWS SSO (p. 37)• Exemplo 4: permitir que um usuário gerencie permissões para suas contas da AWS no AWS
SSO (p. 38)• Exemplo 5: permitir que um usuário gerencie o acesso a seus aplicativos no AWS SSO (p. 39)• Exemplo 6: permitir que um usuário Encontre quais aplicativos de nuvem estão pré-integrados ao AWS
SSO (p. 39)• Exemplo 7: Permitir que um usuário adicione usuário e grupos no AWS SSO (p. 40)
Exemplo 1: permitir que um usuário configure e habilite o AWSSSOA política de permissões a seguir concede permissões para que um usuário abra o console do AWS SSOe habilite o serviço. Para isso, permissões como as concedidas à conta mestre do AWS Organizationstambém são necessárias.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action": [ sso:StartSSO, sso:GetSSOStatus ], "Resource":"*"
36
AWS Single Sign-On Guia do usuárioExemplos de política gerenciada pelo cliente
}, { "Effect":"Allow", "Action": [ organizations:DescribeAccount, organizations:EnableAWSServiceAccess ], "Resource":"*"
} ]}
Exemplo 2: permitir que um usuário gerencie o diretórioconectado do AWS SSOA política de permissões a seguir concede permissões para que um usuário gerencie seu diretórioconectado.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action": [ sso:AssociateDirectory, sso:DisassociateDirectory, sso:ListDirectoryAssociations, sso:UpdateDirectoryAssociation ], "Resource":"*" }, { "Effect":"Allow", "Action": [ ds:DescribeDirectories ], "Resource":"*" } ]}
Exemplo 3: permitir que um usuário gerencie aplicativos no AWSSSOA política de permissões a seguir concede permissões para que um usuário crie e gerencie instâncias doaplicativo, perfis e certificados no console do AWS SSO.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action": [ sso:ListApplicationTemplates, sso:GetApplicationTemplate sso:ListApplicationInstances, sso:GetApplicationInstance, sso:CreateApplicationInstance, sso:UpdateApplicationInstanceStatus,
37
AWS Single Sign-On Guia do usuárioExemplos de política gerenciada pelo cliente
sso:UpdateApplicationInstanceDisplayData, sso:UpdateApplicationInstanceServiceProviderConfiguration, sso:UpdateApplicationInstanceResponseConfiguration, sso:UpdateApplicationInstanceResponseSchemaConfiguration, sso:UpdateApplicationInstanceSecurityConfiguration, sso:DeleteApplicationInstance, sso:ImportApplicationInstanceServiceProviderMetadata, sso:CreateProfile, sso:UpdateProfile, sso:DeleteProfile, sso:GetProfile, sso:ListProfiles, sso:ListApplicationInstanceCertificates, sso:CreateApplicationInstanceCertificate, sso:UpdateApplicationInstanceActiveCertificate, sso:DeleteApplicationInstanceCertificate ], "Resource":"*" } ]}
Exemplo 4: permitir que um usuário gerencie permissões parasuas contas da AWS no AWS SSOA política de permissões a seguir concede permissões para que um usuário crie e gerencie instânciasconjuntos de permissões para sua contas da AWS no console do AWS SSO.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action": [ sso:ListApplicationInstances, sso:GetApplicationInstance, sso:CreateApplicationInstance, sso:UpdateApplicationInstanceStatus, sso:UpdateApplicationInstanceDisplayData, sso:UpdateApplicationInstanceServiceProviderConfiguration, sso:UpdateApplicationInstanceResponseConfiguration, sso:UpdateApplicationInstanceResponseSchemaConfiguration, sso:UpdateApplicationInstanceSecurityConfiguration, sso:DeleteApplicationInstance, sso:ImportApplicationInstanceServiceProviderMetadata, sso:CreateProfile, sso:UpdateProfile, sso:DeleteProfile, sso:GetProfile, sso:ListProfiles, sso:ListApplicationInstanceCertificates, sso:CreateApplicationInstanceCertificate, sso:UpdateApplicationInstanceActiveCertificate, sso:DeleteApplicationInstanceCertificate, sso:CreatePermissionSet, sso:GetPermissionSet, sso:ListPermissionSets, sso:DeletePermissionSet, sso:PutPermissionsPolicy, sso:DeletePermissionsPolicy, sso:DescribePermissionsPolicies, sso:GetTrust, sso:CreateTrust,
38
AWS Single Sign-On Guia do usuárioExemplos de política gerenciada pelo cliente
sso:UpdateTrust, sso:DeleteTrust ], "Resource":"*" }, { "Effect":"Allow", "Action": [ organizations:DescribeOrganization ], "Resource":"*" } ]}
Exemplo 5: permitir que um usuário gerencie o acesso a seusaplicativos no AWS SSOA política de permissões a seguir concede permissões para que um usuário gerencie quem pode acessarseus aplicativos no console do AWS SSO.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action": [ sso:ListApplicationInstances, sso:ListProfileAssociations, sso:AssociateProfile, sso:DisassociateProfile ], "Resource":"*" }, { "Effect":"Allow", "Action": [ ds:DescribeDirectories ], "Resource":"*" } ]}
Exemplo 6: permitir que um usuário Encontre quais aplicativos denuvem estão pré-integrados ao AWS SSOA política de permissões a seguir concede permissões para que um usuário localize quais aplicativos denuvem estão pré-integrados ao AWS SSO usando o assistente para adicionar aplicativos.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action": [ sso:ListApplicationTemplates, sso:GetApplicationTemplate ], "Resource":"*"
39
AWS Single Sign-On Guia do usuárioUso de funções vinculadas ao serviço
} ]}
Exemplo 7: Permitir que um usuário adicione usuário e grupos noAWS SSOA seguinte política de permissões concede permissões para permitir que um usuário abra o console doAWS SSO e adicione usuários e grupos no diretório que o AWS SSO fornece por padrão.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action": [ "sso-directory:*" ], "Resource":"*" } ]}
Usar funções vinculadas ao serviço do AWS SSOAWS Single Sign-On usa AWS Identity and Access Management (IAM) funções vinculadas ao serviço.A função vinculada ao serviço é um tipo exclusivo de função do IAM vinculada diretamente ao AWSSSO. Ela é predefinida pelo AWS SSO e inclui todas as permissões que o serviço requer para chamaroutros serviços da AWS em seu nome. Para obter mais informações, consulte Funções vinculadas aoserviço (p. 21).
Uma função vinculada ao serviço facilita a configuração do AWS SSO porque você não precisa adicionaras permissões necessárias manualmente. AWS SSO define as permissões de sua função vinculadaao serviço e, a menos que definido em contrário, somente AWS SSO pode assumir sua função. Aspermissões definidas incluem a política de confiança e a política de permissões, e essa política não podeser anexada a nenhuma outra entidade do IAM.
Para obter informações sobre outros serviços que oferecem suporte às funções vinculadas a serviço,consulte Serviços da AWS compatíveis com o IAM e procure os serviços que apresentam Sim na colunaFunção vinculada a serviços. Escolha um Sim com um link para exibir a documentação da funçãovinculada a serviço desse serviço.
Permissões de função vinculada ao serviço do AWSSSOO AWS SSO usa a função vinculada a serviço denominada AWSServiceRoleForSSO para concederpermissões do AWS SSO para gerenciar recursos da AWS, incluindo funções do IAM, políticas e IdPSAML em seu nome.
A função vinculada ao serviço AWSServiceRoleForSSO confia nos seguintes serviços para assumir afunção:
• AWS SSO
40
AWS Single Sign-On Guia do usuárioPermissões de função vinculada ao serviço do AWS SSO
A política de permissões da função vinculada a serviço AWSServiceRoleForSSO permite que o AWS SSOpara cumpra as seguintes funções no caminho "/aws-reserved/sso.amazonaws.com/" e com o prefixo denome "AWSReservedSSO_":
• iam:AttachRolePolicy
• iam:CreateRole
• iam:DeleteRole
• iam:DeleteRolePolicy
• iam:DetachRolePolicy
• iam:GetRole
• iam:ListRolePolicies
• iam:PutRolePolicy
• iam:ListAttachedRolePolicies
A política de permissões da função vinculada a serviço AWSServiceRoleForSSO permite que o AWS SSOcumpra o seguinte nos provedores SAML com um prefixo de nome como “AWSSSO_”:
• iam:CreateSAMLProvider
• iam:GetSAMLProvider
• iam:UpdateSAMLProvider
• iam:DeleteSAMLProvider
A política de permissões da função vinculada a serviço AWSServiceRoleForSSO permite que o AWS SSOcumpra o seguinte em todas as organizações:
• organizations:DescribeAccount
• organizations:DescribeOrganization
• organizations:ListAccounts
A política de permissões da função vinculada a serviço AWSServiceRoleForSSO permite que o AWS SSOcumpra o seguinte em todas as funções do IAM (*):
• iam:listRoles
A política de permissões da função vinculada a serviço AWSServiceRoleForSSO permite que oAWS SSO cumpra o seguinte em "arn: aws: iam::*: role/aws-service-role/sso.amazonaws.com/AWSServiceRoleForSSO":
• iam:GetServiceLinkedRoleDeletionStatus
• iam:DeleteServiceLinkedRole
Você deve configurar permissões para que uma entidade do IAM (por exemplo, um usuário, grupo oufunção) crie, edite ou exclua uma função vinculada ao serviço. Para obter mais informações, consultePermissões da função vinculada ao serviço no Guia do usuário do IAM.
41
AWS Single Sign-On Guia do usuárioCriação de uma função vinculada
a um serviço do AWS SSO
Criação de uma função vinculada a um serviço doAWS SSOVocê não precisa criar manualmente uma função vinculada a serviço. When a user who is signed in withthe AWS organization’s master account assigns access to an AWS account for the first time, AWS SSOcreates the service-linked role automatically in that AWS account.
Important
Além disso, se você estava usando o serviço do AWS SSO antes da December 7, 2017,quanto foi introduzido o suporte a funções vinculadas a serviço, o AWS SSO criou a funçãoAWSServiceRoleForSSO na sua conta. Para saber mais, consulte Uma nova função apareceu naminha conta do IAM.
Se você excluir essa função vinculada a serviço e depois precisar criá-la novamente, poderá usar essemesmo processo para recriar a função em sua conta.
Edição de uma função vinculada ao serviço para AWSSSOO AWS SSO não permite que você edite a função vinculada ao serviço AWSServiceRoleForSSO. Depoisque criar uma função vinculada ao serviço, você não poderá alterar o nome da função, pois váriasentidades podem fazer referência a ela. No entanto, você poderá editar a descrição da função usando oIAM. Para obter mais informações, consulte Edição de uma função vinculada a serviço no Guia do usuáriodo IAM.
Exclusão de uma função vinculada ao serviço do AWSSSOVocê não precisa excluir manualmente a função AWSServiceRoleForSSO. When an AWS account isremoved from an AWS organization, AWS SSO automatically cleans up the resources and deletes theservice-linked role from that AWS account.
Também é possível usar o console do IAM, a CLI do IAM ou a API do IAM para excluir manualmente afunção vinculada a serviço. Para isso, primeiro você deve limpar manualmente os recursos de sua funçãovinculada a serviço e depois excluí-la manualmente.
Note
Se o serviço AWS SSO estiver usando a função quando você tenta excluir os recursos, aexclusão poderá falhar. Se isso acontecer, espere alguns minutos e tente a operação novamente.
Para excluir recursos do AWS SSO usados por AWSServiceRoleForSSO
1. Remover acesso do usuário (p. 18) para todos os usuários e grupos que têm acesso à conta da AWS.2. Excluir conjuntos de permissões (p. 20) que você associou à conta da AWS.3. Remover o provedor de identidade do IAM (p. 21) para excluir a confiança entre o AWS SSO e a conta
da AWS.
Para excluir manualmente a função vinculada ao serviço usando o IAM
Use o console do IAM, a CLI do IAM ou a API do IAM para excluir a função vinculada ao serviçoAWSServiceRoleForSSO. Para obter mais informações, consulte Exclusão de uma função vinculada aserviço no Guia do usuário do IAM.
42
AWS Single Sign-On Guia do usuárioDicas para usar o portal
Como usar o portal do usuárioO portal do usuário fornece acesso de logon único para todas as contas da AWS e para os aplicativos denuvem mais comumente usados, como Office 365, Concur, Salesforce e muitos outros. Nesse portal, vocêpode executar rapidamente vários aplicativos simplesmente escolhendo a conta da AWS ou o ícone doaplicativo no portal. A existência de ícones no portal significa que um administrador ou helpdesk designadode sua empresa concedeu acesso a contas da AWS ou aplicativos. Também significa que você podeacessar todos esses aplicativos e contas do portal sem nenhuma outra solicitação de login.
Entre em contato com o administrador ou helpdesk para solicitar acesso adicional nas seguintes situações:
• Você não vê uma conta da AWS ou um aplicativo que precisar acessar.• O acesso que você tem a uma determinada conta ou aplicativo não é o esperado.
Tópicos• Dicas para usar o portal (p. 43)• Como aceitar o convite para entrar no AWS SSO (p. 43)• Como fazer login no portal do usuário (p. 44)• Como sair do portal do usuário (p. 44)• Como pesquisar uma conta da AWS ou um aplicativo (p. 44)• Como redefinir sua senha (p. 45)• Como obter credenciais de uma função do IAM para acessar uma conta da AWS por meio da
CLI (p. 45)
Dicas para usar o portalTal como qualquer ferramenta de negócios ou aplicativo que você usa diariamente, o portal do usuáriopode não funcionar como esperado. Se isso acontecer, experimente estas dicas:
• Ocasionalmente, pode ser necessário sair e fazer login novamente no portal do usuário. Isso podeser necessário para acessar novos aplicativos que o administrador atribuiu recentemente a você. Noentanto, isso não é necessário, porque todos os novos aplicativos são atualizadas de hora em hora.
• Quando você faz login no portal do usuário, pode abrir qualquer um dos aplicativos listados no portal,escolhendo o ícone correspondente. Ao terminar de usar o aplicativo, você pode fechá-lo ou sairno portal do usuário. Quando você fecha o aplicativo, sai somente desse aplicativo. Qualquer outroaplicativo que você tenha aberto no portal do usuário permanecerá aberto e em execução.
• Para fazer login como um usuário diferente, você deve primeiro sair do portal do usuário. Ao sair doportal, suas credenciais são removidas completamente da sessão do navegador.
Como aceitar o convite para entrar no AWS SSOSe esta é a primeira vez que você faz login no portal do usuário, verifique seu e-mail para obter instruçõessobre como ativar sua conta.
43
AWS Single Sign-On Guia do usuárioComo fazer login no portal do usuário
Para ativar sua conta
1. Dependendo do e-mail recebido da sua empresa, escolha um dos métodos a seguir para ativar suaconta, para que você possa começar a usar o portal do usuário.
a. Se você recebeu um e-mail com o assunto Invitation to join AWS Single Sign-On (Convite paraparticipar do), abra-o e escolha Accept invitation (Aceitar convite), o que vai direcioná-lo àpágina Single Sign-On (Logon único). Aqui você especifica uma senha, que será usada toda vezque você acessar o portal. Depois de fornecer uma senha e confirmá-la, escolha Update User(Atualizar usuário).
b. Se você recebeu um e-mail do suporte de TI ou do administrador de TI da sua empresa, siga asinstruções fornecidas para ativar sua conta.
2. Após você ativar a conta fornecendo uma nova senha, o portal do usuário fará login automaticamente.Se isso não ocorrer, você poderá fazer login manualmente no portal do usuário usando as instruçõesfornecidas na próxima etapa.
Como fazer login no portal do usuárioA essa altura, um administrador ou helpdesk já lhe terá fornecido um URL de login específico para o portaldo usuário. Assim que você recebê-lo, poderá prosseguir com as etapas a seguir para fazer login no portal.
Para fazer login no portal do usuário
1. Na janela do navegador, cole o URL de login que lhe foi fornecido. Em seguida, pressione Enter. Érecomendável marcar esse link para o portal agora, para que possa acessá-lo rapidamente mais tarde.
2. Faça login usando o nome de usuário e senha padrão de sua empresa.3. Depois de conectado, você pode acessar qualquer conta da AWS e qualquer aplicativo exibido no
portal. Basta escolher um ícone.
Como sair do portal do usuárioQuando você sai do portal, suas credenciais são removidas completamente da sessão do navegador.
Note
Se desejar fazer login como um usuário diferente, deverá primeiro sair do portal do usuário.
Para sair do portal do usuário
• No portal do usuário, escolha Sign out (Sair) no canto superior direito do portal.
Como pesquisar uma conta da AWS ou umaplicativo
Se sua lista de aplicativos ou contas da AWS for muito grande para encontrar o que precisa, você podeusar a caixa Search (Pesquisar).
Para pesquisar uma conta da AWS ou um aplicativo no portal do usuário
1. Enquanto estiver conectado ao portal, escolha a caixa Search (Pesquisar).
44
AWS Single Sign-On Guia do usuárioComo redefinir sua senha
2. Digite o nome do aplicativo. Em seguida, pressione Enter.
Como redefinir sua senhaOcasionalmente, pode ser necessário redefinir sua senha, dependendo das políticas da sua empresa.
Para redefinir sua senha
1. Abra um navegador e acesse a página de login do portal do usuário.2. No botão Sign In (Fazer login), escolha Forgot Password? (Esqueceu a senha?).3. Forneça seu Username (Nome de usuário) e digite os caracteres da imagem fornecida para confirmar
que você não é um robô. Em seguida, escolha Recover Password (Recuperar senha). Isso enviaráum e-mail para você com o assunto AWS Directory Service Reset Password Request (Solicitação deredefinição de senha do AWS Directory Service).
4. Depois de receber o e-mail, escolha Reset Password (Redefinir senha).5. Na página Single Sign-On (Logon único), será preciso especificar uma nova senha para o portal.
Depois de fornecer uma senha e confirmá-la, escolha Reset Password (Redefinir senha).
Como obter credenciais de uma função do IAMpara acessar uma conta da AWS por meio da CLI
Use esse procedimento no portal do usuário quando precisar de credenciais de segurança temporáriaspara acesso de curto prazo aos recursos de uma conta da AWS por meio da AWS CLI. No portal deusuário, fica mais fácil selecionar rapidamente uma conta da AWS e obter as credenciais temporárias paradeterminada função do IAM. Em seguida, você pode copiar a sintaxe necessária da CLI (bem como todasas credenciais necessárias) e colá-la no prompt de comando da AWS CLI.
Por padrão, as credenciais recuperadas por meio do portal do usuário são válidas por 1 hora. Vocêpode alterar esse valor para até 12 horas. Ao concluir esse procedimento, você pode executar qualquercomando da AWS CLI (ao qual o administrador lhe concedeu acesso) até que essas credenciaistemporárias expirem.
Note
Para começar a usar as etapas neste procedimento, primeiro você deve instalar a AWS CLI. Paraobter instruções, consulte Instalar a interface de linha de comando da AWS.
Para obter as credenciais temporárias de uma função do IAM para acessar uma conta da AWSpor meio da CLI
1. Enquanto estiver conectado ao portal, escolha o ícone AWS Accounts (Contas da AWS) para expandira lista de contas.
2. Escolha a conta da AWS da qual você deseja recuperar as credenciais de acesso. Em seguida, aolado do nome da função do IAM (por exemplo, Administrador), escolha Command line or programmaticaccess (Acesso por linha de comando ou programático).
3. Na caixa de diálogo Get credentials (Obter credenciais), escolha MacOS e Linux ou Windows,dependendo do sistema operacional no qual você pretende usar o prompt de comando da CLI.
4. Dependendo de como você deseja usar as credenciais temporárias, escolha uma ou mais dasseguintes opções:
• Se precisar executar comandos da AWS CLI na conta da AWS selecionada, em Option 1: Set AWSenvironment variables (Opção 1: Definir variáveis de ambiente da AWS), pause os comandos. Em
45
AWS Single Sign-On Guia do usuárioComo obter credenciais de uma função do IAM
para acessar uma conta da AWS por meio da CLI
seguida, escolha Copy (Copiar). Cole os comandos na janela de terminal da CLI e pressione Enterpara definir as variáveis de ambiente necessárias.
• Se precisar executar comandos de vários prompts de comando na mesma conta da AWS, emOption 2: Add a profile to your AWS credentials file (Opção 2: Adicionar um perfil ao seu arquivo decredenciais da AWS), pause os comandos. Em seguida, escolha Copy (Copiar). Cole os comandosno arquivo de credenciais da AWS para configurar um perfil recém-nomeado. Para obter maisinformações, consulte Arquivos de configuração e credenciais no AWS CLI User Guide. Quandovocê modifica os arquivos de credenciais dessa forma, habilita a opção --profile no comandoda AWS CLI para que possa usar essas credenciais. Esse comando afeta todos os prompts decomando que usam o mesmo arquivo de credenciais.
• Se precisar acessar os recursos da AWS por meio de um cliente de serviço da AWS, em Option 3:Use individual values in your AWS service client (Opção 3: Usar valores individuais em no cliente deserviço da AWS), escolha Copy (Copiar) ao lado dos comandos que você precisa usar. Para obtermais informações, consulte Obter credenciais temporárias com o AWS STS no Guia do usuário daCLI da AWS , consulte Ferramentas para a Amazon Web Services.
5. Continue usando a AWS CLI conforme necessário para sua conta da AWS até que as credenciaisexpirem.
46
AWS Single Sign-On Guia do usuárioInformações sobre o AWS SSO no CloudTrail
Registro em log de chamadas da APIdo AWS SSO com o AWS CloudTrail
O AWS SSO é integrado com o AWS CloudTrail, um serviço que fornece um registro das ações realizadaspor um usuário, uma função ou um serviço da AWS no AWS SSO. Se você criar uma trilha, poderáhabilitar a entrega contínua de eventos do CloudTrail para um bucket do Amazon S3, Amazon CloudWatchLogs e Eventos do Amazon CloudWatch. Com as informações coletadas pelo CloudTrail, você podedeterminar a solicitação feita para o AWS SSO, o endereço IP do qual a solicitação foi feita, quem fez asolicitação, quando ela foi feita e detalhes adicionais.
Para saber mais sobre CloudTrail, consulte o AWS CloudTrail User Guide.
Informações sobre o AWS SSO no CloudTrailO CloudTrail está habilitado na sua conta da AWS ao criá-la. Quando uma atividade ocorrer no AWS SSO,ela será registrada em um evento do CloudTrail com outros eventos de serviços da AWS em Event history(Histórico de eventos). Você pode visualizar, pesquisar e fazer download de eventos recentes em suaconta da AWS. Para obter mais informações, consulte Visualizar eventos com o histórico de eventos doCloudTrail.
Para obter um registro contínuo de eventos em sua conta da AWS, incluindo eventos para o AWS SSO,crie uma trilha. Uma trilha permite CloudTrail para fornecer arquivos de log a um bucket do Amazon S3.Por padrão, quando você cria uma trilha no console, ela é aplicada a todas as regiões da AWS. A trilharegistra eventos de todas as regiões na partição da AWS e fornece os arquivos de log para o bucket doAmazon S3 que você especificar. Além disso, é possível configurar outros serviços da AWS para analisarmais profundamente e agir sobre os dados de evento coletados nos logs do CloudTrail. Para obter maisinformações, consulte:
• Visão geral da criação de uma trilha• CloudTrail Serviços compatíveis e integrações do• Configuração de notificações do Amazon SNS para o CloudTrail• Recebimento de arquivos de log do CloudTrail de várias regiões e Recebimento de arquivos de log do
CloudTrail de várias contas
Quando o registro em log do CloudTrail está habilitado na conta da AWS, as chamadas da API feitas paraações do AWS SSO são acompanhadas em arquivos de log. Os registros do AWS SSO são gravadosjuntamente com outros registros de serviços da AWS em um arquivo de log. O CloudTrail determinaquando criar e gravar em um novo arquivo de acordo com o período e o tamanho do arquivo.
As ações a seguir são compatíveis:
• AssociateDirectory
• AssociateProfile
• CreateApplicationInstance
• CreateApplicationInstanceCertificate
• CreatePermissionSet
• CreateProfile
• DeleteApplicationInstance
47
AWS Single Sign-On Guia do usuárioInformações sobre o AWS SSO no CloudTrail
• DeleteApplicationInstanceCertificate
• DeletePermissionsPolicy
• DeletePermissionSet
• DeleteProfile
• DescribePermissionsPolicies
• DisassociateDirectory
• DisassociateProfile
• GetApplicationInstance
• GetApplicationTemplate
• GetPermissionSet
• GetSSOStatus
• ImportApplicationInstanceServiceProviderMetadata
• ListApplicationInstances
• ListApplicationInstanceCertificates
• ListApplicationTemplates
• ListDirectoryAssociations
• ListPermissionSets
• ListProfileAssociations
• ListProfiles
• PutPermissionsPolicy
• StartSSO
• UpdateApplicationInstanceActiveCertificate
• UpdateApplicationInstanceDisplayData
• UpdateApplicationInstanceServiceProviderConfiguration
• UpdateApplicationInstanceStatus
• UpdateApplicationInstanceResponseConfiguration
• UpdateApplicationInstanceResponseSchemaConfiguration
• UpdateApplicationInstanceSecurityConfiguration
• UpdateDirectoryAssociation
• UpdateProfile
Cada entrada de log contém informações sobre quem gerou a solicitação. As informações de identidade nolog ajudam a determinar se a solicitação foi feita por um usuário raiz da conta da AWS ou com credenciaisde usuário do IAM. Você pode saber também se a solicitação foi feita com credenciais de segurançatemporárias de uma função ou de por outro serviço da AWS. Para obter mais informações, consulteElemento userIdentity do CloudTrail.
Você poder criar uma trilha e armazenar os arquivos de log no bucket do Amazon S3 pelo tempo quequiser. Você também pode definir as regras de ciclo de vida Amazon S3 para arquivar ou excluir osarquivos de log automaticamente. Por padrão, os arquivos de log são criptografados com server-sideencryption (SSE – criptografia server-side) do Amazon S3.
Para ser notificado sobre a entrega do arquivo de log, configure o CloudTrail para publicar notificaçõesdo Amazon SNS quando novos arquivos de log forem entregues. Para obter mais informações, consulteConfiguração de notificações do Amazon SNS para o CloudTrail.
Você também pode agregar arquivos de log do AWS SSO de várias regiões da AWS e de várias contas daAWS em um único bucket do Amazon S3. Para obter mais informações, consulte Recebimento de arquivosde log do CloudTrail de várias regiões e Recebimento de arquivos de log do CloudTrail de várias contas.
48
AWS Single Sign-On Guia do usuárioNoções básicas das entradas
dos arquivos de log do AWS SSO
Noções básicas das entradas dos arquivos de logdo AWS SSO
Uma trilha é uma configuração que permite a entrega de eventos como arquivos de log em um bucketdo Amazon S3 que você especificar. Os arquivos de log do CloudTrail contêm uma ou mais entradas delog. Um evento representa uma única solicitação de qualquer origem e inclui informações sobre a açãosolicitada, a data e hora da ação, os parâmetros da solicitação e assim por diante. Os arquivos de log doCloudTrail não são um rastreamento de pilha ordenada de chamadas à API pública; portanto, eles não sãoexibidos em nenhuma ordem específica.
O exemplo a seguir mostra uma entrada de log do CloudTrail para um administrador([email protected]) que ocorreu no console do AWS SSO:
{ "Records":[ { "eventVersion":"1.05", "userIdentity":{ "type":"IAMUser", "principalId":"AIDAJAIENLMexample", "arn":"arn:aws:iam::08966example:user/samadams", "accountId":"08966example", "accessKeyId":"AKIAIIJM2K4example", "userName":"samadams" }, "eventTime":"2017-11-29T22:39:43Z", "eventSource":"sso.amazonaws.com", "eventName":"DescribePermissionsPolicies", "awsRegion":"us-east-1", "sourceIPAddress":"203.0.113.0", "userAgent":"Mozilla/5.0 (Macintosh; Intel Mac OS X 10_11_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/62.0.3202.94 Safari/537.36", "requestParameters":{ "permissionSetId":"ps-79a0dde74b95ed05" }, "responseElements":null, "requestID":"319ac6a1-d556-11e7-a34f-69a333106015", "eventID":"a93a952b-13dd-4ae5-a156-d3ad6220b071", "readOnly":true, "resources":[
], "eventType":"AwsApiCall", "recipientAccountId":"08966example" } ]}
O exemplo a seguir mostra uma entrada de log do CloudTrail para a ação de um usuário final([email protected]) que ocorreu no AWS SSO do portal de usuário:
{ "Records":[ { "eventVersion":"1.05", "userIdentity":{ "type":"Unknown", "principalId":"example.com//S-1-5-21-1122334455-3652759393-4233131409-1126", "accountId":"08966example", "userName":"[email protected]"
49
AWS Single Sign-On Guia do usuárioNoções básicas das entradas
dos arquivos de log do AWS SSO
}, "eventTime":"2017-11-29T18:48:28Z", "eventSource":"sso.amazonaws.com", "eventName":"https://portal.sso.us-east-1.amazonaws.com/instance/appinstances", "awsRegion":"us-east-1", "sourceIPAddress":"203.0.113.0", "userAgent":"Mozilla/5.0 (Macintosh; Intel Mac OS X 10_11_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/62.0.3202.94 Safari/537.36", "requestParameters":null, "responseElements":null, "requestID":"de6c0435-ce4b-49c7-9bcc-bc5ed631ce04", "eventID":"e6e1f3df-9528-4c6d-a877-6b2b895d1f91", "eventType":"AwsApiCall", "recipientAccountId":"08966example" } ]}
50
AWS Single Sign-On Guia do usuárioLimites de aplicativo
Limites no AWS SSOAs tabelas a seguir descrevem limites dentro do AWS SSO. Para obter informações sobre os limites quepodem ser alterados, consulte Limites de serviço da AWS.
Limites de aplicativoRecurso Limite padrão
Tamanho do arquivo de certificados SAML doprovedor de serviços (no formato PEM)
2 kb
Limites da conta da AWSRecurso Limite padrão
O número máximo de conjuntos de permissões noem AWS SSO
50
Número de conjuntos de permissões permitido porconta da AWS
20
Número de referências a políticas gerenciadas pelaAWS por conjunto de permissões
10
Número de políticas em linha por conjunto depermissões
1
Tamanho máximo de política em linha por conjuntode permissões
10,000 bytes
Número de funções do IAM; na conta da AWS quepodem ser reparadas por vez*
1
Número de diretórios que você pode ter por vez 1
*Os conjuntos de permissões são provisionados em uma conta da AWS como funções do IAM. Para obtermais informações, consulte Conjuntos de permissões (p. 6).
Limites do diretório conectadoRecurso Limite padrão
Número de grupos exclusivos do Active Directoryque pode ser atribuído*
50
51
AWS Single Sign-On Guia do usuárioLimites do diretório do AWS SSO
Recurso Limite padrão
Número de diretórios conectados que você podeter por vez
1
*Os usuários dentro de seu próprio Active Directory podem pertencer a vários grupos de diretórios.No entanto, no AWS SSO, eles podem ter até 50 grupos de seu Active Directory atribuído para usaraplicativos.
Limites do diretório do AWS SSORecurso Limite padrão
Número máximo de usuários compatíveis com oAWS SSO
500
Número máximo de grupos compatíveis com oAWS SSO
100
52
AWS Single Sign-On Guia do usuárioNão consigo configurar corretamente
meu aplicativo de nuvem
Solução de problemas no AWS SSOOs tópicos a seguir podem ajudá-lo a solucionar alguns problemas comuns que podem ser encontrados aoconfigurar ou usar o console do AWS SSO.
Não consigo configurar corretamente meu aplicativode nuvem
Cada provedor de serviços de um aplicativo de nuvem pré-integrado no AWS SSO tem um manualpróprio com instruções detalhadas. Você pode acessar o manual na guia Configuration (Configuração) doaplicativo no console do AWS SSO.
Se o problema estiver relacionado com a configuração de confiança entre seu aplicativo e o AWS SSO,lembre-se de examinar as etapas de solução de problemas no manual de instruções.
Eu não sei quais dados da declaração do SAMLsão passados para o provedor de serviços
Use as etapas a seguir no portal do usuário para visualizar quais dados da declaração do SAML serãoenviados ao provedor de serviços do aplicativo para o usuário conectado no momento. Esse procedimentoexibe o conteúdo na janela do navegador antes de enviá-lo ao provedor.
1. Enquanto estiver conectado ao portal, mantenha pressionada a tecla Shift e, em seguida, escolha oaplicativo.
2. Examine as informações na página intitulada You are now in administrator mode (Agora você está nomodo de administrador).
3. Se a informação parecer adequada, você pode escolher Send to (Enviar para)<application> paraenviar a declaração ao provedor de serviços e examinar o resultado da resposta.
53
AWS Single Sign-On Guia do usuário
Histórico do documentoA tabela a seguir descreve a documentação desta versão do AWS Single Sign-On.
• Última atualização da documentação: 30 de outubro de 2018
update-history-change update-history-description update-history-date
Suporte para a duração dasessão em contas da AWS
Adição de conteúdo sobre comodefinir a duração da sessão deuma conta da AWS.
October 30, 2018
Nova opção para usar diretóriodo AWS SSO
Adição de conteúdo para escolhade um diretório do AWS SSO ouconexão com um diretório do ADexistente.
October 17, 2018
Suporte para estado deretransmissão e duração dasessão em aplicativos
Adição de conteúdo sobreo estado de retransmissãoe a duração da sessão paraaplicativos de nuvem.
October 10, 2018
Suporte adicional para novosaplicativos de nuvem
Adição de 4me, BambooHR,Bonusly, Citrix ShareFile,ClickTime, Convo, Deputy,Deskpro, Dome9, DruvaInSync,Egnyte, Engagedly, Expensify,Freshdesk, IdeaScale, Igloo,Jitbit, Kudos, LiquidFiles,Lucidchart, PurelyHR,Samanage, ScreenSteps,Sli.do, SmartSheet, Syncplicity,TalentLMS, Trello, UserVoice,Zoho, OpsGenie, DigiCert,WeekDone, ProdPad e UserEchoao catálogo de aplicativos.
August 3, 2018
Suporte para acesso SSO acontas mestre
Adição de conteúdo sobre comodelegar acesso SSO a usuáriosem uma conta mestre.
July 9, 2018
Compatibilidade com novosaplicativos de nuvem
O DocuSign, Keeper Security eSugarCRM foram adicionados aocatálogo de aplicativos.
March 16, 2018
Obter credenciais temporáriaspara acesso pela CLI
Foram adicionadas informaçõessobre como obter credenciaistemporárias para executarcomandos da AWS CLI.
February 22, 2018
Novo guia Essa é a primeira versão do Guiado usuário do AWS SSO.
December 7, 2017
54
AWS Single Sign-On Guia do usuário
AWS GlossaryFor the latest AWS terminology, see the AWS Glossary in the AWS General Reference.
55
