we are developers

iMaster Developers

iMaster DevelopersPowered by:

DevSecOps

10 jan, 2019

Integração do Azure Active Directory com o AWS (Amazon Web Services)

Michel Jatoba

Tem 1 artigos publicados com 100 visualizações desde 2019

Michel Jatoba
Publicidade

Neste artigo mostrarei como fazer a integração do Azure Active Directory com a AWS. Apresentarei a visão de utilizar a identidade única para fazer o login com seu usuário do AD ou Azure AD diretamente no console da AWS.

O SSO entre o Azure AD e Amazon Web Service funciona de uma maneira diferente. Nessa integração devemos criar o usuário dentro da console da AWS para que seja feito o merge entre as contas. Esse é o único ponto onde devemos nos atentar, lembrando que só é uma criação de usuário que não precisa de senha.

Adicionaremos o app da AWS na galeria de aplicativos SaaS do Microsoft Azure. No portal do Microsoft Azure vamos em “Azure Active Directory”, em seguida “Enterprise Applications” e em “All Applications”:

Feito isso, clique em “New Application”:

Agora, em pesquisa procure por “Amazon Web Services (AWS)” e selecione a aplicação. como na imagem seguir:

Depois disso você pode mudar o nome da aplicação para ficar mais fácil saber qual cliente está integrado. Após mudar o nome, clique em “Add” e aguarde o provisionamento da aplicação:

Pronto! A aplicação está provisionada. Agora vamos até a opção de “Single Sing-On”:

Em Single “Sing-on” vamos escolher a opção “SAML-based Sing-on”:

Essa etapa é muito importante, pois temos que adicionar alguns parâmetros para que funcione 100% a integração com a AWS.

Vá na opção “Show advanced URL settings”. Após expandir essa opção vamos em “Identifier” para adicionar a seguinte informação: “urn:amazon:webservices”:

Agora adicionaremos dois atributos em “User Attributes”. Para isso, selecione “View and edit all other user attributes”:

Agora clique em “Add Attribute”:

Depois adicione as seguintes regras:

  • Lembrando que os atributos respeitam o “case sensitive”.

Neste passo faremos o download do certificado “Metadados XML” e salvaremos em um local seguro no computador. Um detalhe muito importante: altere o “Signing Algorith” para “SHA 1“. Por padrão, ela vem em “SHA 256” e não funcionará a integração. Em seguida iremos setar o certificado como ativo, depois vamos “Salvar”:

Pronto! A primeira parte está configurada. Agora vamos ao console da AWS para procurar a opção IAM (Identity and Access Management).

Neste passo criaremos um provedor de identidade. Vá até “Identity Provider” e clique em “Create Provider”:

Em “Create Provider” selecione o tipo de provedor “SAML”, dê um nome para esse provedor, faça o upload do “Metadados XML”, e em seguida clique em “Next”:

Em seguida, clique em “Create”:

Pronto! O provedor de identidade foi criado com sucesso:

Criaremos agora uma regra. Vá em “Roles” e clique em “Create Roles”:

Agora escolheremos a identidade confiável “SAML”:

Em seguida, selecione o provedor de identidade que foi criado, a permissão “Allow programmatic and AWS Management Console access” e clique em “Next Permissions”:

Agora selecione a politica. Nesse caso estou dando permissão “Full”:

Agora dê um nome para essa regra de acesso e clique em “Create Role”:

Pronto, a regra foi criada com sucesso:

Agora criaremos um usuário para fazer a conexão entre o Azure ad e a AWS. Vá em “User” e “Add User”:

Agora daremos um nome para o usuário. Feito isso, selecione o tipo de acesso “Programmatic Access” e clique e “Next Permissions”:

Nesta etapa associaremos a politica. Selecione “Attach existing policies directly”. Em seguida, clique em “Next Review” e depois em “Create User”:

Agora você pode fazer o download do arquivo”.CSV” ou pode ver o “Secret Access Key” do seu usuário – precisamos dessa informação. Voltaremos ao Azure AD para adicionar essas informações no provisionamento dos Roles.

Vá ao Azure AD, selecione a aplicação e escolha “Provisioning”. Por padrão ela vem como manual. Vamos alterar para “Automático”, e em seguida adicionaremos as seguintes informações nos campos “clientsecret” e “Secret Token”. Depois das informações no campo, clique em “Test Connection” e em “Save”:

Pronto! A comunicação entre AWS e Azure AD está funcionando.

Por último, em “Settings” vá em “Provisioning Status”, deixe como “On” e clique em “Save”. Ele demora um pouco para provisionar:

Criaremos agora um usuário sem senha no console da AWS.

Pronto, o processo de integração está pronto. Vamos acessar o “MyApps” da Microsoft na URL:

Ao acessar, o aplicativo estará disponível. Basta dar um clique que ele fará o SSO do seu usuário dentro do console da AWS.

Pronto! Estamos acessando o console da AWS via federação entre Azure AD e Amazon Web Services. Como podemos reparar, ele faz a leitura da role e do usuário.

Espero que tenham gostado deste artigo. Foi o primeiro artigo do ano, mas prometo um artigo por mês.

Obrigado e até o próximo artigo!

De 0 a 10, o quanto você recomendaria este artigo para um amigo?

Michel Jatoba
Saiba mais

Michel Jatoba

edit1 Artigo(s)

Michel trabalha com infraestrutura desde 2005, focando nas tecnologias cloud da Microsoft. Arquiteto de soluções em Microsoft Azure e ajuda clientes com a adoção de cloud com os melhores processos e atualizações de ambientes.