Neste artigo mostrarei como fazer a integração do Azure Active Directory com a AWS. Apresentarei a visão de utilizar a identidade única para fazer o login com seu usuário do AD ou Azure AD diretamente no console da AWS.
O SSO entre o Azure AD e Amazon Web Service funciona de uma maneira diferente. Nessa integração devemos criar o usuário dentro da console da AWS para que seja feito o merge entre as contas. Esse é o único ponto onde devemos nos atentar, lembrando que só é uma criação de usuário que não precisa de senha.
Adicionaremos o app da AWS na galeria de aplicativos SaaS do Microsoft Azure. No portal do Microsoft Azure vamos em “Azure Active Directory”, em seguida “Enterprise Applications” e em “All Applications”:
Feito isso, clique em “New Application”:
Agora, em pesquisa procure por “Amazon Web Services (AWS)” e selecione a aplicação. como na imagem seguir:
Depois disso você pode mudar o nome da aplicação para ficar mais fácil saber qual cliente está integrado. Após mudar o nome, clique em “Add” e aguarde o provisionamento da aplicação:
Pronto! A aplicação está provisionada. Agora vamos até a opção de “Single Sing-On”:
Em Single “Sing-on” vamos escolher a opção “SAML-based Sing-on”:
Essa etapa é muito importante, pois temos que adicionar alguns parâmetros para que funcione 100% a integração com a AWS.
Vá na opção “Show advanced URL settings”. Após expandir essa opção vamos em “Identifier” para adicionar a seguinte informação: “urn:amazon:webservices”:
Agora adicionaremos dois atributos em “User Attributes”. Para isso, selecione “View and edit all other user attributes”:
Agora clique em “Add Attribute”:
Depois adicione as seguintes regras:
- Lembrando que os atributos respeitam o “case sensitive”.
Neste passo faremos o download do certificado “Metadados XML” e salvaremos em um local seguro no computador. Um detalhe muito importante: altere o “Signing Algorith” para “SHA 1“. Por padrão, ela vem em “SHA 256” e não funcionará a integração. Em seguida iremos setar o certificado como ativo, depois vamos “Salvar”:
Pronto! A primeira parte está configurada. Agora vamos ao console da AWS para procurar a opção IAM (Identity and Access Management).
Neste passo criaremos um provedor de identidade. Vá até “Identity Provider” e clique em “Create Provider”:
Em “Create Provider” selecione o tipo de provedor “SAML”, dê um nome para esse provedor, faça o upload do “Metadados XML”, e em seguida clique em “Next”:
Em seguida, clique em “Create”:
Pronto! O provedor de identidade foi criado com sucesso:
Criaremos agora uma regra. Vá em “Roles” e clique em “Create Roles”:
Agora escolheremos a identidade confiável “SAML”:
Em seguida, selecione o provedor de identidade que foi criado, a permissão “Allow programmatic and AWS Management Console access” e clique em “Next Permissions”:
Agora selecione a politica. Nesse caso estou dando permissão “Full”:
Agora dê um nome para essa regra de acesso e clique em “Create Role”:
Pronto, a regra foi criada com sucesso:
Agora criaremos um usuário para fazer a conexão entre o Azure ad e a AWS. Vá em “User” e “Add User”:
Agora daremos um nome para o usuário. Feito isso, selecione o tipo de acesso “Programmatic Access” e clique e “Next Permissions”:
Nesta etapa associaremos a politica. Selecione “Attach existing policies directly”. Em seguida, clique em “Next Review” e depois em “Create User”:
Agora você pode fazer o download do arquivo”.CSV” ou pode ver o “Secret Access Key” do seu usuário – precisamos dessa informação. Voltaremos ao Azure AD para adicionar essas informações no provisionamento dos Roles.
Vá ao Azure AD, selecione a aplicação e escolha “Provisioning”. Por padrão ela vem como manual. Vamos alterar para “Automático”, e em seguida adicionaremos as seguintes informações nos campos “clientsecret” e “Secret Token”. Depois das informações no campo, clique em “Test Connection” e em “Save”:
Pronto! A comunicação entre AWS e Azure AD está funcionando.
Por último, em “Settings” vá em “Provisioning Status”, deixe como “On” e clique em “Save”. Ele demora um pouco para provisionar:
Criaremos agora um usuário sem senha no console da AWS.
Pronto, o processo de integração está pronto. Vamos acessar o “MyApps” da Microsoft na URL:
Ao acessar, o aplicativo estará disponível. Basta dar um clique que ele fará o SSO do seu usuário dentro do console da AWS.
Pronto! Estamos acessando o console da AWS via federação entre Azure AD e Amazon Web Services. Como podemos reparar, ele faz a leitura da role e do usuário.
Espero que tenham gostado deste artigo. Foi o primeiro artigo do ano, mas prometo um artigo por mês.
Obrigado e até o próximo artigo!