TechNet Wiki v2

Sumário

Introdução
Criação Console AWS
Provisionando a Aplicação
Funcionamento do Acesso

Introdução

Nesse tutorial irei demostrar para vocês como fazer a integração do Azure AD com a AWS, esse artigo tem a visão de utilizar a identidade única para fazer o login com seu usuário do AD ou Azure AD diretamente no console da AWS.

O SSO entre o Azure AD e Amazom Web Service, funciona de uma maneira diferente, nessa integração devemos criar o usuário dentro da console da AWS para que seja feita o merge entre as contas, esse é o único ponto onde devemos nos atentar, lembrando que só é uma criação de usuário que não precisa de senha.
Vamos adicionar o app da AWS na galeria de aplicativos SaaS do Microsoft Azure.

Criação da Aplicação Portal Azure

No portal do Microsoft Azure, vamos em “Azure Active Directory”, em seguida “Enterprise Applications” e clique em “All Applications”.

Em seguida clique em “New Application”.

Agora em pesquisa procure por “Amazon Web Services (AWS)” e selecione a aplicação.

Em seguida você pode mudar o nome da aplicação para ficar mais fácil de saber qual cliente está integrado. Após mudar o nome clique em “Add” e aguarde o provisionamento da aplicação.

Pronto a aplicação está provisionada, agora vamos até a opção de “Single Sing-On”.

Em Single “Sing-on” vamos escolher a opção “SAML-based Sing-on”.

Essa etapa é)_05" src="http://micheljatoba.com.br/wp-content/uploads/2018/01/Integra%C3%A7%C3%A3o_do_Azure_Active_Directory_com_o_AWS_Amazon-Web-Services_05_thumb.jpg" style="border-width:0px;border-style:solid;margin-right:auto;margin-left:auto;display:block;float:none;" />Em Single “Sing-on” vamos escolher a opção “SAML-based Sing-on”.

Em seguidas vamos adicionar dois atributos em “User Attributes”, para isso selecione “View and edit all other user attributes”.

Agora clique em “Add Attribute”.

Agora adicione as seguintes regras:

Nome do Atributo	Valor do Atributo	Namespace
RoleSessionName	user.userprincipalname	https://aws.amazon.com/SAML/Attributes
Role	user.assingroles	https://aws.amazon.com/SAML/Attributes

*Lembrando que os atributos respeitam o “case sensitive”.

Agora vamos fazer o download do certificado “Metadados XML” e salvar em local seguro em seu computador. Um detalhe muito importante, altere o “Signing Algorith” para “SHA 1”, por padrão ela vem em “SHA 256” e não funcionara a integração. Em seguida iremos setar o certificado como ativo, depois vamos “Salvar”.

Criação Console AWS

Pronto a primeira parte está configurada, agora vamos ao console da AWS. Vamos procurar a opção IAM(Identity and Access Management).

Agora vamos criar um provedor de identidade, vá até id;margin-right:auto;margin-left:auto;d“Identity Provider” e clique em “Create Provider”.

Em “Create Provider” selecione o tipo de provedor “SAML”, de um nome para esse provedor e seguida faça o upload do “Metadados XML”, em seguida clique em “Next”.

Em seguida clique em “Create”.

Pronto o provedor de identidade foi criado com sucesso.

Agora vamos criar uma regra, vá em “Roles” e clique em “Create Roles”

Agora vamos escolher a identidade confiável “SAML”.

Em seguida selecione o provedor de identidade que foi criado e selecione a permissão “Allow programmatic and AWS Management Console access”, em seguida clique em “Next Permissions”.

Agora selecione a politica, nesse caso estou dando permissão “Full”.

Agora de um nome para essa regra de acesso, em seguida clique em “Create Role”.

Pronto a regra foi criada com sucesso.

Agora vamos criar um usuário para fazer a conexão entre o Azure ad e a AWS. Vá em “User” e “Add User”.

Agora vamos dar um nome para o usuário, em seguida selecione o tipo de acesso “Programmatic Access” e clique e “Next Permissions”.

Agora vamos associar a politica, selecione “Attach existing policies directly”, em seguida clique em “Next Review” em seguida “Create User”.

Agora vamos associar a politica, selecione “Attach existing policies directly”, em seguida clique em “Next Review” em seguida “Create User”.

Agora você pode fazer o download do arquivo”.CSV” ou pode ver o “Secret Access Key” do seu usuário, porque precisamos dessa informação. Iremos voltar ao Azure AD para adicionar essas informações no provisionamento das Roles.

Provisionando a Aplicação

Vá ao Azure AD e selecione a aplicação e selecione “Provisioning”, por padrão ela vem como manual, vamos alterar para "Automático”, em seguida vamos adicionar as seguintes informações nos campos “clientsecret” e “Secret Token”. Depois das informações no campo clique em “Test Connection” depois clique em “Save”.

Pronto a comunicação entre AWS e Azure AD está funcionando.

Por ultimo em “Settings” vá em “Provisioning Status” deixe como “On” e clique em “Save”. Ele demora um pouco para provisionar.

Agora vamos criar um usuário sem senha no console da AWS.

Após criar o usuário voltamos na aplicação no portal do Azure, e iremos adicionar os usuários que terão acesso a integração. Escolha o usuário e atribua a regra que foi criada dentro da AWS.

Funcionamento do Acesso

Pronto o processo de integração está pronto, vamos acessar o “MyApps” da Microsoft, na URL: http://myapps.microsoft.com/. Ao acessar o aplicativo está disponível basta da um clique, que ele vai fazer o SSO do seu usuário dentro da console da AWS.

Fazon-Web-Services_35_thumb.jpg" style="border-width:0px;border-style:solid;margin-right:auto;margin-left:auto;display:block;float:none;" />
Pronto estamos acessando o console da AWS, via federação entre Azure AD e Amazon Web Services. Como podemos reparar ele faz a leitura da role e do usuário.

Obrigado e até o próximo post.

Integração do Azure Active Directory com o AWS (Amazon Web Services) - artigos TechNet - Brasil (Português) - TechNet Wiki