Jak synchronizacja AWS SSO Active Directory poprawia użytkowanie aplikacji AWS

26 marca 2021

Zarządzanie tożsamością jest najprostsze wtedy, kiedy możesz zarządzać tożsamościami w scentralizowanej lokalizacji i używać ich na różnych kontach oraz aplikacjach.

Równocześnie chcesz mieć możliwość korzystania z tych tożsamości w aplikacjach i używać ich do innych celów, jak np. przeszukiwanie grup, znajdowanie członków konkretnej grupy czy udostępnianie projektów innym użytkownikom lub grupom. Na przykład, kiedy korzystasz z Managera Zmian AWS Systems Manager, możesz chcieć wyszukać grupy lub odróżnić użytkownika z listy użytkowników o tej samej nazwie,na podstawie ich adresu e-mail. Oczekujesz, że wyświetlane informacje o użytkowniku i grupie są zgodne ze szczegółami, które wyświetlają się w innej aplikacji.

AWS Single Sign-On (AWS SSO) usprawnia zarządzanie tożsamością poprzez uaktywnienie dostawcy tożsamości (IdP), takiego jak katalog wewnętrzny AWS lub zakres partnerów i użycie informacji o tożsamości IdP w celu uzyskania dostępu i współpracy pomiędzy aplikacjami. Od teraz możesz uzyskać takie same korzyści, podłączając Microsoft Active Directory (AD) jako swoje źródło identyfikacji AWS SSO. Wraz z wydaniem synchronizacji AWS SSO AD będziesz w stanie uzyskać dostęp do grup AD wraz z użytkownikami AD z aplikacji zintegrowanych z AWS SSO i używać tych grup oraz użytkowników do współpracy. Synchronizacja AD automatycznie przenosi informacje o tożsamości z Active Directory do AWS SSO i udostępnia te informacje w aplikacjach. Tym samym zapewnia, że dane użytkownika i grupy, do których masz dostęp w Amazon Web Services (AWS), pozostają niezmienne i zachowają spójność z informacjami w Active Directory dzięki okresowej synchronizacji.

W tym poście zapoznasz się z kluczowymi przypadkami użycia, które podkreślają, w jaki sposób aplikacje wykorzystują informacje o użytkowniku i grupach zsynchronizowanych z Active Directory oraz z tym, jak działa zdolność synchronizacji AD, aby to umożliwić.

Kontrola dostępu

Możliwość zarządzania tym, kto może uzyskać dostęp do wybranych części aplikacji lub kto posiada niezbędne uprawnienia, aby wykonywać określone zadania w aplikacji, zależy od zdolności tej aplikacji do pobierania informacji o użytkownikach i grupach. Ważne jest także to, że każdy dostęp, który konfigurujesz, zostaje dynamicznie aktualizowany w przypadku jakichkolwiek zmian w źródle. Na przykład, jeśli definiujesz dostęp do zatwierdzenia grupy w aplikacji, a jeden z członków opuszcza grupę, kiedy np. zmieni rolę w firmie, ich dostęp oparty na grupach w aplikacji powinien zostać cofnięty. Dzięki synchronizacji z usługą AD aplikacje zintegrowane mogą wykorzystywać informacje o użytkownikach oraz grupach, które są okresowo aktualizowane, a więc pozostają aktualne.

Załóżmy, że skonfigurowałeś szablon zatwierdzania w Managerze Systemów Change Manager do „łatania” instancji i chcesz, aby wszyscy członkowie zespołu IT Security Operations zatwierdzali wszelkie żądania zmian utworzone za pomocą tego szablonu. Synchronizacja AD znacznie usprawnia ten proces, umożliwiając definiowanie osób zatwierdzających na poziomie grupy AD. Jeśli posiadasz grupę IT Security Operations w usłudze Active Directory i grupa ta posiada skonfigurowane uprawnienia dostępu do logowania jednokrotnego AWS, będzie ona dostępna dla Ciebie w Managerze Zmian do wybrania jako osoby zatwierdzającej w szablonie. Jeśli członek grupy IT Security Operations zmienia rolę i opuszcza zespół, synchronizacja AD pomaga zapewnić, że dostęp tego członka do zatwierdzania żądań zmian z poprawkami zostanie odwołany poprzez dynamiczne aktualizowanie grupy IT Security Operations w Managerze Zmian w momencie, gdy członek zostaje usunięty z grupy w Active Directory.

Zespoły w firmach bardzo często pracują nad wielofunkcyjnymi inicjatywami, które obejmują udostępnianie projektów, raportów lub pulpitów nawigacyjnych członkom różnych zespołów w celu przeglądu, wyrażenia opinii lub współpracy. W takich przypadkach chcesz mieć możliwość łatwego wyszukiwania użytkowników i grup w aplikacjach zintegrowanych z AWS SSO, a potem możesz wykorzystać tę informację w celu wyszukiwania i udostępniania.

Przykładowo, jeśli korzystasz z aplikacji zintegrowanej z AWS SSO, jak chociażby AWS IoT SiteWise, w celu tworzenia i udostępniania pulpitów nawigacyjnych do przeglądu wskaźników z kierownictwem lub w celu współpracy z innymi zespołami w Twojej organizacji, od teraz będziesz mógł zobaczyć wszystkich użytkowników z dostępem do AWS. Synchronizacja AD umożliwia AWS IoT SiteWise dostęp do wszystkich użytkowników, nie tylko tych, którzy zalogowali się do AWS przynajmniej raz.

Efektywność administracyjna

Jeśli jesteś adminem platformy lub adminem chmury, który zarządza dostępem do AWS SSO w Twojej firmie, przypisywanie użytkownikom i grupom dostępu do kont i zasobów AWS to rutynowe zadanie, które wymaga wysiłku administracyjnego. Ze względu na to, że synchronizacja AD okresowo synchronizuje grupy AD w AWS SSO, wystarczy, że tylko raz wstępnie zdefiniujesz dostęp do zasobów dla grupy AD. Nowy pracownik również zostanie dodany do AWS SSO poprzez synchronizację AD, a jego informacje pozostaną aktualne dzięki okresowym synchronizacjom. Dlatego też wysiłek administracyjny, związany z zarządzaniem użytkownikami, zostaje zmniejszony po Twojej stronie.

Podobnie w sytuacji, w której pracownik opuszcza firmę – nie będziesz musiał martwić się o usuwanie jego informacji z AWS, ponieważ synchronizacja AD automatycznie usuwa obiekty użytkownika i grup, które Ty usuwasz w Active Directory. To znacznie ułatwia zarządzanie cyklem życia użytkownika i zmniejsza manualny wysiłek związany z tym procesem.

W jaki sposób synchronizacja Active Directory działa w tle?

Nowa funkcja synchronizacji AD skierowana jest do klientów, którzy chcą używać swoich tożsamości AD wraz z AWS SSO, bez konfigurowania oddzielnego dostawcy tożsamości (IdP), jak chociażby AD Federation Service lub Azure AD. Aby skorzystać z tej możliwości, musisz połączyć AWS SSO z Active Directory, wykorzystując AWS SSO z AWS Directory Service for Microsoft Active Directory (AWS Managed Microsoft AD) lub AD Connector. Dowiedz się więcej o korzystaniu z AWS Managed Microsoft AD i AD Connector.

Synchronizacja AD pobiera informacje o użytkownikach i grupach z Active Directory i przechowuje je w magazynie tożsamości AWS SSO. Po tym, jak taka informacja zostaje zsynchronizowana, aplikacje zintegrowane z AWS SSO mogą wykorzystywać informacje o użytkownikach i grupach, aby dostarczać doświadczenia oparte na wspólnych doświadczeniach, takich jak współdzielenie pulpitów nawigacyjnych z innymi użytkownikami.

Synchronizacja AD uzyskuje listę użytkowników i grup do synchronizacji z Active Director, w oparciu o przypisania, które wykonujesz do kont i aplikacji AWS. Następnie synchronizuje tych użytkowników i grupy (w tym członków grupy) z magazynem tożsamości AWS, aktualizując informacje poprzez okresowe synchronizacje, tak jak przedstawiono na rysunku nr 1.

Synchronizacja użytkowników i grup w usłudze Active Directory

Rysunek 1: Synchronizacja użytkowników i grup w usłudze Active Directory

Jeśli użytkownik posiada przypisane zadania w oparciu o kontrolę dostępu, która jest oparta na atrybutach (ABAC) i zmienia działy, atrybuty zostaną automatycznie zaktualizowane przy kolejnej synchronizacji. Jeśli zdarzy się, że użytkownik zaloguje się przed synchronizacją, atrybuty zostaną zaktualizowane podczas logowania w celu zachowania spójności. Od tej pory użytkownik zobaczy zaktualizowane zadania na podstawie nowego działu.

Synchronizacja AD synchronizuje także wszystkich członków grupy, włączając w to podgrupy lub grupy zagnieżdżone. „Rozwija” członków zagnieżdżonych grup, czyli dodaje ich do grupy dominującej w AWS SSO. Na przykład, jeśli grupa B jest członkiem lub zagnieżdżoną grupą Grupy A w usłudze Active Directory, członkowie Grupy B także zostają zsynchronizowani do AWS SSO i dodani bezpośrednio do Grupy A, tak jak pokazano na obrazku nr 2. Tak więc tylko Grupa A może zostać użyta w kontach i aplikacjach AWS SSO.

Członkowie zagnieżdżonej grupy rozpłaszczeni i przeniesieni do dominującej grupy A

Rysunek nr 2: Członkowie zagnieżdżonej grupy rozpłaszczeni i przeniesieni do dominującej grupy A

Jeśli usuniesz użytkownika lub grupę w usłudze Active Directory, synchronizacja AD automatycznie usuwa użytkownika lub grupę z magazynu tożsamości AWS SSO. Usuniętej tożsamości nie zobaczysz także w aplikacjach zintegrowanych z AWS SSO. Mimo to, jeśli usuniesz tylko przypisania użytkownika lub grupy, pozostaną oni w AWS SSO i nie zostaną automatycznie usunięci.

Podsumowanie

W tym artykule zostało przedstawione to, w jaki sposób synchronizacja użytkowników i grup może pomóc w dostarczeniu lepszych doświadczeń aplikacji przy mniejszym wysiłku administracyjnym. Zostało także omówione, jak synchronizacja AWS SSO AD zapewnia te korzyści aplikacjom, takim jak AWS Systems Manager i AWS IoT SiteWise. Funkcja synchronizacji AD jest dostępna bez dodatkowych kosztów, we wszystkich regionach AWS obsługiwanych przez AWS SSO. Jeśli chcesz rozpocząć swoją przygodę z AWS SSO lub dowiedzieć się więcej na temat synchronizacji AD, zapoznaj się z przewodnikiem użytkownika AWS SSO.

Jeśli posiadasz pytania związane z treścią tego artykułu, rozpocznij wątek na forum AWS SSO lub skontaktuj się ze wsparciem technicznym AWS.

źródło: AWS

Case Studies
Referencje

Firma Hostersi pozwoliła nam osadzić ogólne zagadnienia programu Well Architected Framework w kontekście naszej firmy. Oszczędziło nam to wiele czasu i pozwoliło znaleźć lepiej dopasowane rozwiązania do specyfiki naszego biznesu. WAF był świetnym katalizatorem do wprowadzenie szeregu zmian w obszarze niezawodności, szybkości i bezpieczeństwa edrone. 

Piotr Stachowicz
CTO
W skrócie o nas
Specjalizujemy się w dostarczaniu rozwiązań IT w obszarach projektowania infrastruktury serwerowej, wdrażania chmury obliczeniowej, opieki administracyjnej i bezpieczeństwa danych.