Introdução
Nesse tutorial irei demostrar para vocês como fazer a integração do Azure AD com a AWS, esse artigo tem a visão de utilizar a identidade única para fazer o login com seu usuário do AD ou Azure AD diretamente no console da AWS.
O SSO entre o Azure AD e Amazom Web Service, funciona de uma maneira diferente, nessa integração devemos criar o usuário dentro da console da AWS para que seja feita o merge entre as contas, esse é o único ponto onde devemos nos atentar, lembrando que só
é uma criação de usuário que não precisa de senha.
Vamos adicionar o app da AWS na galeria de aplicativos SaaS do Microsoft Azure.
Criação da Aplicação Portal Azure
No portal do Microsoft Azure, vamos em “Azure Active Directory”, em seguida “Enterprise Applications” e clique em “All Applications”.
Em
seguida clique em “New Application”.
Agora
em pesquisa procure por “Amazon Web Services (AWS)” e selecione a aplicação.
Em
seguida você pode mudar o nome da aplicação para ficar mais fácil de saber qual cliente está integrado. Após mudar o nome clique em “Add” e aguarde o provisionamento da aplicação.
Pronto
a aplicação está provisionada, agora vamos até a opção de “Single Sing-On”.
Em
Single “Sing-on” vamos escolher a opção “SAML-based Sing-on”.
Essa etapa é)_05" src="http://micheljatoba.com.br/wp-content/uploads/2018/01/Integra%C3%A7%C3%A3o_do_Azure_Active_Directory_com_o_AWS_Amazon-Web-Services_05_thumb.jpg" style="border-width:0px;border-style:solid;margin-right:auto;margin-left:auto;display:block;float:none;" />Em
Single “Sing-on” vamos escolher a opção “SAML-based Sing-on”.
Em seguidas vamos adicionar dois atributos em “User Attributes”, para isso selecione
“View and edit all other user attributes”.
Agora clique em “Add Attribute”.
Agora adicione as seguintes regras:
Nome do Atributo | Valor do Atributo | Namespace |
RoleSessionName | user.userprincipalname | https://aws.amazon.com/SAML/Attributes |
Role | user.assingroles | https://aws.amazon.com/SAML/Attributes |
*Lembrando que os atributos respeitam o “case sensitive”.
Agora vamos fazer o download do certificado “Metadados XML” e salvar em local seguro em seu computador. Um detalhe muito importante, altere o “Signing Algorith” para “SHA 1”, por padrão ela vem em “SHA
256” e não funcionara a integração. Em seguida iremos setar o certificado como ativo, depois vamos “Salvar”.
Criação Console AWS
Pronto a primeira parte está configurada, agora vamos ao console da AWS. Vamos procurar a opção IAM(Identity and Access Management).
Agora vamos criar um provedor de identidade, vá até id;margin-right:auto;margin-left:auto;d“Identity Provider” e clique em “Create Provider”.
Em “Create Provider” selecione o tipo de provedor “SAML”, de um nome para esse provedor e seguida faça o upload do “Metadados XML”, em seguida clique em “Next”.
Em seguida clique em “Create”.
Pronto
o provedor de identidade foi criado com sucesso.
Agora
vamos criar uma regra, vá em “Roles” e clique em “Create Roles”
Agora
vamos escolher a identidade confiável “SAML”.
Em
seguida selecione o provedor de identidade que foi criado e selecione a permissão “Allow programmatic and AWS Management Console access”, em seguida clique em “Next Permissions”.
Agora
selecione a politica, nesse caso estou dando permissão “Full”.
Agora
de um nome para essa regra de acesso, em seguida clique em “Create Role”.
Pronto
a regra foi criada com sucesso.
Agora vamos criar um usuário para fazer a conexão entre o Azure ad e a AWS. Vá em “User” e “Add User”.
Agora vamos dar um nome para o usuário, em seguida selecione o tipo de acesso “Programmatic Access”
e clique e “Next Permissions”.
Agora vamos associar a politica, selecione “Attach existing policies directly”, em seguida clique em “Next Review” em seguida “Create User”.
Agora vamos associar a politica, selecione “Attach existing policies directly”, em seguida clique em “Next Review” em seguida “Create User”.
Agora você pode fazer o download do arquivo”.CSV” ou pode ver o “Secret Access Key” do seu usuário, porque precisamos dessa informação. Iremos voltar ao Azure AD para adicionar essas informações no provisionamento das Roles.
Provisionando a Aplicação
Vá ao Azure AD e selecione a aplicação e selecione “Provisioning”,
por padrão ela vem como manual, vamos alterar para "Automático”, em seguida vamos adicionar as seguintes informações nos campos “clientsecret” e “Secret Token”. Depois das informações no campo clique em “Test
Connection” depois clique em “Save”.
Pronto a comunicação entre AWS e Azure AD está funcionando.
Por ultimo em “Settings” vá em “Provisioning Status” deixe como “On” e clique em “Save”. Ele demora um pouco para provisionar.
Agora vamos criar um usuário sem senha no console da AWS.
Após criar o usuário voltamos na aplicação no portal do Azure, e iremos adicionar os usuários que terão acesso a integração. Escolha o usuário e atribua a regra que foi criada dentro da AWS.
Funcionamento do Acesso
Pronto o processo de integração está pronto, vamos acessar o “MyApps” da Microsoft, na URL:
http://myapps.microsoft.com/. Ao acessar o aplicativo está disponível basta da um clique, que ele vai fazer o SSO do seu usuário dentro da console da AWS.