AWS Single Sign-On (SSO)
Quản lý Single Sign-On trung tâm để truy cập nhiều tài khoản và ứng dụng doanh nghiệp bên thứ ba. Được tích hợp với AWS Organizations. Hỗ trợ đánh dấu SAML 2.0. Tích hợp với máy chủ Active Directory nội bộ. Quản lý quyền truy cập trung tâm. Kiểm soát tập trung với Cloud Trail.
AWS Single Sign-On (SSO) – Setup with AD
AWS Single Sign-On (SSO) là một dịch vụ của AWS cho phép quản lý đăng nhập đơn lẻ (Single Sign-On) để truy cập vào nhiều tài khoản và ứng dụng doanh nghiệp của bên thứ ba. Dịch vụ này được tích hợp với AWS Organizations để quản lý và cấp quyền truy cập tài nguyên AWS. SSO hỗ trợ đánh dấu SAML 2.0 để tương tác với các ứng dụng bên thứ ba.
Để kết nối SSO với Active Directory (AD), ta có thể sử dụng các công cụ của AWS để thiết lập quan hệ tin cậy (trust relationship) giữa AWS và AD. Điều này cho phép người dùng đăng nhập vào AWS sử dụng thông tin đăng nhập của AD mà không cần phải nhập lại thông tin đăng nhập. Việc này giúp đơn giản hóa quản lý người dùng và quản lý quyền truy cập vào các tài nguyên AWS.
SSO cũng hỗ trợ tích hợp với các hệ thống Active Directory on-premise để cung cấp tính năng đăng nhập đơn lẻ cho người dùng trong toàn bộ tổ chức. Ngoài ra, SSO còn cho phép quản lý quyền truy cập tập trung và kiểm soát truy cập vào tài nguyên AWS và các ứng dụng doanh nghiệp bên thứ ba. SSO cũng hỗ trợ việc quản lý nhật ký tập trung bằng cách sử dụng AWS CloudTrail.
SSO – vs AssumeRoleWithSAML
AWS Single Sign-On (SSO) và AssumeRoleWithSAML đều là các phương pháp sử dụng SAML để xác thực người dùng trong việc truy cập các tài nguyên AWS, tuy nhiên chúng có một số điểm khác biệt cơ bản như sau:
- Single Sign-On (SSO) là một dịch vụ được quản lý hoàn toàn bởi AWS, giúp quản lý trung tâm đăng nhập (login) cho nhiều tài khoản AWS và ứng dụng do bên thứ ba cung cấp. Trong khi đó, AssumeRoleWithSAML là một API được sử dụng để xác thực các vai trò IAM (IAM Roles) với SAML.
- Single Sign-On (SSO) cho phép người dùng đăng nhập một lần (single sign-on) và sau đó được cấp quyền truy cập vào nhiều tài khoản AWS và ứng dụng do bên thứ ba cung cấp mà không cần đăng nhập lại. Trong khi đó, AssumeRoleWithSAML cho phép người dùng xác thực và lấy tạm quyền truy cập vào một vai trò IAM cụ thể.
- SSO cung cấp các tính năng quản lý trung tâm cho phép quản lý người dùng và quyền truy cập dễ dàng, bao gồm quản lý tài khoản, quản lý nhóm và phân quyền. Trong khi đó, AssumeRoleWithSAML không có các tính năng này, và cần phải được quản lý bởi người dùng hoặc bởi các công cụ bên thứ ba.
