AWS Identity Center – SSO com Microsoft Entra ID
Como realizar a integração o acesso na AWS utilizando os usuários do Entra ID
Neste artigo, irei demonstrar o passo a passo para realizar o gerenciamento do acesso das contas AWS, através do acesso já existente no Microsoft Azure Entra ID.
Pre-requisitos
- Conta na Amazon Web Services
- Conta no Microsoft Azure
Procedimento Técnico
Procure pelo serviço IAM Identity Center, na console da AWS e clique para habilitar o serviço
Clique em Settings e a sua direita clique Actions >> Change identity Source
Selecione a opção External identity provider e clique em Next
Realize o download do arquivo de metadados clicando em Download metadata file. Deixa esta tela/janela aberta, pois precisaremos voltar aqui em breve
Salve o arquivo em sua estação de trabalho, no diretório mais apropriado (iremos precisar deste arquivo em etapas posteriores).
Entre na sua conta do Azure e procure pelo serviço Microsoft EntraID
No meu à esquerda, expanda a sessão Manage e clique na opção Enterprise applications
No Menu à esquerda, expanda a sessão Manage e clique em All applications
Na barra de pesquisa, procure pela aplicação AWS IAM Identity Center, selecione a aplicação e clique em Create
Já na aplicação, no menu à esquerda expanda a sessão Manage e clique na opção Single sing-on
Clique no botão Update metadata file, para carregar o arquivo baixados em etapas anteriores, e clique no botão Add
Valide as informações, no final da tela, e depois clique no botão Save
Aparecerá uma notificação no canto superior direito, confirmando o sucesso da configuração (até esta etapa). Caso apresente, retorne nas etapas anteriores, faça a revisão, e se necessário refaça alguma etapa.
Opcionalmente, você pode testar a configuração, porem apresentará erro ou não exibirá nada, pois em etapas posteriores, seá concedido as permissões adequadas para o uso do aplicativo. Então clique no botão No, I’ll test laster.
Clique no aplicativo criado e na sessão SAML Certificate, faça o download do arquivo XML no item Fedetarion Matedata XML
Salve o arquivo no lugar de sua preferência
Retorne a página/janela da AWS, que ficou aberta nas etapas anteriores. Entre das configurações do Provedor de Identidade Externo e clique para editar as configurações. Na sessão Identity provider metadata, carregue o arquivo que acabou de salvar (da etapa anterior). e cloque no botão Next.
Preencha a confirmação, para efetivar a alteração realizada
Exibirá uma mensagem de confirmação da alteração realizada.
Nos detalhes do provedor de identidade externo, podemos observar a origem e o método de autenticação
Até aqui neste momento, a integração entre a AWS e Azure, foi realizada com sucesso. E a partir daqui você pode gerenciar/sincronizar os usuários de forma manual. Vou partir do princípio da menor carga operacional neste processo, e nem vou colocar como opcional as próximas etapas não. Vamos habilitar o provisionamento automático dos usuários, agora.
Na sessão Automatic Provisioning, clique no botão Enable
Aparecerá uma mensagem que a função foi habilitada com sucesso e algumas informações importantes, para as próximas etapas.
Retorne a aba/janela que o Azure está aberto. No aplicativo, no menu à esquerda expanda a sessão Manage e clique na função Provisioning
Clique no botão Get started
Altere o modo do provisionamento de Manual para Automatic. Na sessão Admin Credentials, preencha as informações disponibilizadas pela AWS, nas etapas anteriores. Para validação, clique no botão Test Connection.
Aparecerá uma mensagem informando que o teste foi realizado com sucesso. Na sequência, clique em Save
Aparecerá outra mensagem informando que houve uma atualização nas configurações do aplicativo
Após configurar, chegou a hora de ativar o provisionamento automático, clicando no botão Start provisioning
Aparecerá uma mensagem informando que foi iniciado o provisionamento automático
Agora chegou a hora de conceder as permissões, no Aplicativo.
Com o aplicativo aberto, no menu à esquerda, expanda a sessão Manage, clique na função Users and groups e clique no botão Add user/group
Aqui queria deixar um aviso. Como eu não tenho uma integração com um Active Directory, no laboratório, então utilizarei os usuários que já foram criados anteriormente (para outros fins) em nosso tutorial. Caso houver a integração, ficará disponível selecionar os grupos, ao invés dos usuários. Que é o recomendado, quando se fala em gerenciamento.
Selecione o usuário ou gropo de usuários e clique no botão Select
Clique no botão Assign
Aparecerá uma mensagem que os usuários/grupos foram associados ao aplicativo com sucesso
Neste momento seria somente aguardar o provisionamento dos usuários automaticamente na AWS, que demoram certa de 15 à 40 minutos. Porém para agilizar aqui, optei em realizar um provisionamento manual.
No menu à esquerda, expanda a sessão Manage e clique na opção Provisioning
Aparecerá algumas opções e clique em Provision on demand
Selecione os usuários/groups para provisionamento manual e aguarde alguns minutos.
Aparecerá uma mensagem sobre o provisionamento, se tudo ocorreu como esperado, exibirá o status como completo.
Para validação, retorne na página da AWS, abra o serviço IAM Identity Center e cloque na opção Users. Aparecerá os usuários provisionados automaticamente. Observe na coluna Created by, fica com a referência do protocolo SCIM (System for Cross-domain Identity Management)
Agora vamos criar e conceder as permissões nas contas AWS, para novos usuários/grupos
Na sessão Multi-account permissions, clique na opção Permission sets e clique no botão Create permission set
Selecione a opção que desejar, com relação às permissões que fizer mais sentido para o seu caso de uso. Aqui, utilizarei as permissões predefinidas pela propria AWS.
Insira um nome para sua permissão, o tempo de duração da sessão e clique em Next
Aparecerá uma mensagem para confirmar o êxito nas configurações.
Agora vamos associar a nova permissão criada, as contas da AWS (conforme necessidade e/ou cenário que fizer sentido para você).
Ainda na sessão Multi-account permissions, clique na opção AWS accounts, selecione as contas desejadas e clique no botão Assign users or groups
Confirme se o usuário ou grupo está marcado e clique em Next
Selecione a permissão criada anteriormente e clique em Next
Exibirá um resumo das configurações, estando tudo certo, clique em Submit
Aparecerá a progressão das configurações. Aguarde a finalização.
Exibirá uma mensagem ao término da configuração com sucesso.
Validação
Agora chegou a hora de realizar os testes de fim a fim.
Acesso o link https://myapplications.microsoft.com/ e clique no aplicativo criado
Você será redirecionado para a página de contas da AWS
Selecione a conta AWS desejada, e clique na permissão configurada anteriormente, para conseguir acessar a conta da AWS.
Conclusão
Seguindo as etapas descritas neste documento, você será capaz de utilizar o seu usuário do AD/EntraID, para acessar as suas contas AWS.
Despedida e agradecimentos.
Espero ter ajudado. Deixe seu feedback nos comentários logo abaixo, não esqueça de se inscrever, compartilhe nas redes sociais e fique ligado nas novidades. Abraços!
