AWS Single Sign-On Guida per l'utente - Guida per l'utente
←
→
Trascrizione del contenuto della pagina
Se il tuo browser non visualizza correttamente la pagina, ti preghiamo di leggere il contenuto della pagina quaggiù
AWS Single Sign-On Guida per l'utente
AWS Single Sign-On Guida per l'utente AWS Single Sign-On: Guida per l'utente Copyright © 2020 Amazon Web Services, Inc. and/or its affiliates. All rights reserved. Amazon's trademarks and trade dress may not be used in connection with any product or service that is not Amazon's, in any manner that is likely to cause confusion among customers, or in any manner that disparages or discredits Amazon. All other trademarks not owned by Amazon are the property of their respective owners, who may or may not be affiliated with, connected to, or sponsored by Amazon.
AWS Single Sign-On Guida per l'utente
Table of Contents
Che cos'è AWS Single Sign-On? .......................................................................................................... 1
Caratteristiche di AWS SSO ......................................................................................................... 1
Nozioni di base .................................................................................................................................. 3
Prerequisiti AWS SSO ................................................................................................................. 3
Fase 1: Abilitare AWS SSO ......................................................................................................... 3
Fase 2: seleziona la tua directory ................................................................................................. 4
Fase 3: configurare SSO per gli account AWS ................................................................................ 4
Fase 4: configurare SSO per le applicazioni cloud ........................................................................... 4
Concetti chiave AWS SSO ................................................................................................................... 6
Federazione SAML ..................................................................................................................... 6
Autenticazioni degli utenti ............................................................................................................ 6
Set di autorizzazioni .................................................................................................................... 6
Gestione della directory ....................................................................................................................... 8
Gestione della directory AWS SSO ............................................................................................... 8
Aggiungi utenti ................................................................................................................... 8
Aggiungi gruppi .................................................................................................................. 9
Aggiungi utenti ai gruppi ...................................................................................................... 9
Modificare le Proprietà utente ............................................................................................. 10
Disabilitare un utente ......................................................................................................... 10
Reimpostare la password utente ......................................................................................... 10
Connessione a Microsoft AD Directory. ........................................................................................ 11
Connessione di AWS SSO a una directory AWS Managed Microsoft AD .................................... 11
Connessione di AWS SSO a una Active Directory locale ......................................................... 12
Mappature degli attributi ..................................................................................................... 12
Cambia il tuo tipo di directory ..................................................................................................... 15
Gestione di SSO per gli account AWS ................................................................................................. 16
Accesso Single Sign-On ............................................................................................................ 16
Assegnazione dell'accesso agli utenti ................................................................................... 17
Rimozione dell'accesso degli utenti ...................................................................................... 18
Delega chi può assegnare l'accesso SSO agli utenti nell'account master .................................... 18
Set di autorizzazioni .................................................................................................................. 18
Creazione di set di autorizzazioni ........................................................................................ 19
Eliminazione dei set di autorizzazioni ................................................................................... 19
Impostazione della durata della sessione .............................................................................. 20
Provider di identità IAM ............................................................................................................. 20
Ripristino del provider di identità IAM ................................................................................... 21
Rimozione del provider di identità IAM ................................................................................. 21
Ruoli collegati ai servizi ............................................................................................................. 21
Gestione dell'accesso SSO alle applicazioni .......................................................................................... 22
Applicazioni cloud ..................................................................................................................... 22
Applicazioni supportate ...................................................................................................... 23
Aggiunta e configurazione di un'applicazione cloud ................................................................ 24
Applicazioni SAML 2.0 personalizzate .......................................................................................... 24
Aggiunta e configurazione di un'applicazione SAML 2.0 personalizzata ...................................... 25
Proprietà applicazione ............................................................................................................... 25
URL avvio applicazione ..................................................................................................... 25
Stato del relay .................................................................................................................. 26
Durata della sessione ........................................................................................................ 26
Assegnazione dell'accesso agli utenti ........................................................................................... 27
Rimozione dell'accesso degli utenti .............................................................................................. 27
Mappatura degli attributi dell'applicazione agli attributi AWS SSO ..................................................... 28
Autenticazione e controllo degli accessi ............................................................................................... 29
Autenticazione .......................................................................................................................... 29
Controllo degli accessi ............................................................................................................... 30
iiiAWS Single Sign-On Guida per l'utente
Panoramica della gestione degli accessi ....................................................................................... 30
Risorse e operazioni AWS SSO .......................................................................................... 31
Informazioni sulla proprietà delle risorse ............................................................................... 31
Gestione dell'accesso alle risorse ........................................................................................ 31
Specifica degli elementi delle policy: operazioni, effetti, risorse ed entità .................................... 32
Specifica delle condizioni in una policy ................................................................................. 33
Utilizzo di policy basate su identità (policy IAM) ............................................................................. 33
Autorizzazioni richieste per utilizzare la console AWS SSO ...................................................... 34
Policy gestite (predefinite) da AWS per AWS SSO ................................................................. 35
Esempi di policy gestite dal cliente ...................................................................................... 35
Utilizzo di ruoli collegati ai servizi ................................................................................................ 39
Autorizzazioni del ruolo collegato ai servizi per AWS SSO ....................................................... 39
Creazione di un ruolo collegato ai servizi per AWS SSO ......................................................... 40
Modifica di un ruolo collegato ai servizi per AWS SSO ........................................................... 41
Eliminazione di un ruolo collegato ai servizi per AWS SSO ...................................................... 41
Uso del portale utente ....................................................................................................................... 42
Suggerimenti per l'uso del portale ............................................................................................... 42
Come Accettare l'invito per AWS SSO ......................................................................................... 42
Come accedere al portale utente ................................................................................................ 43
Come uscire dal portale utente ................................................................................................... 43
Come cercare un'applicazione o un account AWS ......................................................................... 43
Per reimpostare la password ...................................................................................................... 44
Come ottenere le credenziali di un ruolo IAM da utilizzare con CLI Access per un account AWS ............. 44
Registrazione delle chiamate API AWS SSO con AWS CloudTrail ............................................................ 46
Informazioni di AWS SSO in CloudTrail ........................................................................................ 46
Comprensione delle voci dei file di log di AWS SSO ...................................................................... 48
Limiti di ........................................................................................................................................... 50
Limiti di applicazioni .................................................................................................................. 50
Limiti dell'account AWS ............................................................................................................. 50
Limiti di directory connesse ........................................................................................................ 50
Restrizioni della directory AWS SSO ............................................................................................ 51
Risoluzione dei problemi .................................................................................................................... 52
Non riesco a configurare correttamente la mia applicazione cloud ..................................................... 52
Non so quali dati dell'asserzione SAML vengono passati al provider di servizi ..................................... 52
Cronologia dei documenti ................................................................................................................... 53
AWS Glossary .................................................................................................................................. 54
ivAWS Single Sign-On Guida per l'utente
Caratteristiche di AWS SSO
Che cos'è AWS Single Sign-On?
AWS Single Sign-On è un servizio single sign-on (SSO) basato sul cloud che semplifica la gestione
centralizzata degli accessi SSO a tutti gli account AWS e applicazioni cloud. Nello specifico, consente
di gestire l'accesso SSO e le autorizzazioni degli utenti per tutti gli account AWS in AWS Organizations.
AWS SSO inoltre, consente di gestire gli accessi e le autorizzazioni per applicazioni software as a service
(SaaS) di terze parti comunemente usate e applicazioni personalizzate che supportano Security Assertion
Markup Language (SAML) 2.0. AWS SSO include un portale utente in cui gli utenti finali possono trovare
e accedere in un unico posto a tutti gli account AWS a loro assegnati, alle applicazioni cloud e alle
applicazioni personalizzate.
Caratteristiche di AWS SSO
AWS SSO offre le seguenti caratteristiche:
Integrazione con AWS Organizations
AWS SSO è integrato con le operazioni API di AWS Organizations e AWS, a differenza di altre soluzioni
cloud SSO native. AWS SSO si integra in modo nativo con AWS Organizations e enumera tutti gli account
AWS. Se hai organizzato i tuoi account in unità organizzative (OU), tali unità verranno visualizzate
all'interno della console AWS SSO. In questo modo è possibile individuare rapidamente gli account AWS,
distribuire set comuni di autorizzazioni e gestire l'accesso da una posizione centrale.
Accesso SSO agli account AWS e alle applicazioni cloud
AWS SSO semplifica la gestione della funzionalità SSO in tutti i tuoi account AWS, nelle applicazioni cloud
e nelle applicazioni personalizzate basate su SAML 2.0, senza script specifici o soluzioni SSO di terze
parti.– Utilizza la console AWS SSO per assegnare rapidamente quali utenti devono disporre di un accesso
rapido solo alle applicazioni che hai autorizzato per il loro portale di utente finale personalizzato.
Come si creano e si gestiscono gruppi e utenti in AWS SSO
Quando si abilita il servizio per la prima volta, si crea una directory di default in AWS SSO. È possibile
usare questa directory per gestire gli utenti e i gruppi direttamente nella console. In alternativa, se si
preferisce, è possibile connettersi a una directory AWS Managed Microsoft AD esistente e gestire gli utenti
con gli strumenti di gestione standard di Active Directory forniti in Windows Server. Se scegli di gestire gli
utenti in AWS SSO, puoi creare rapidamente gli utenti e quindi organizzarli in gruppi, tutti all'interno della
console.
Utilizzo delle identità aziendali esistenti
AWS SSO è integrato con Microsoft AD tramite AWS Directory Service. Questo significa che i dipendenti
possono effettuare l'accesso al portale utente AWS SSO utilizzando le loro credenziali Active Directory
aziendali. Per concedere agli utenti di Active Directory l'accesso ad account e applicazioni, è sufficiente
aggiungerli ai gruppi di Active Directory appropriati. Ad esempio, puoi concedere al gruppo DevOps
l'accesso SSO ai tuoi account AWS per la produzione. Agli utenti aggiunti al gruppo DevOps viene quindi
concesso l'accesso SSO a questi account AWS automaticamente. Questo sistema automatico consente di
aggiungere facilmente nuovi utenti e concedere velocemente agli utenti esistenti l'accesso a nuovi account
e applicazioni.
Compatibilità con le applicazioni cloud più comuni
AWS SSO supporta le applicazioni cloud usate più comunemente, come Salesforce, Box e Office
365. Questo riduce il tempo necessario per configurare queste applicazioni per SSO fornendo le
1AWS Single Sign-On Guida per l'utente
Caratteristiche di AWS SSO
istruzioni di integrazione dell'applicazione. Queste istruzioni fungono da linee guida per aiutare gli
amministratori a impostare e risolvere i problemi di queste configurazioni SSO. Ciò elimina la necessità per
gli amministratori di conoscere i dettagli di configurazione di tutte le applicazioni cloud.
Facilità di configurazione e monitoraggio dell'utilizzo
Con AWS SSO, è possibile abilitare un servizio SSO ad alta disponibilità con pochi clic. Non vi è alcuna
infrastruttura aggiuntiva da distribuire o account AWS da configurare. AWS SSO è altamente disponibile
e offre un'infrastruttura completamente sicura che si adatta alle tue esigenze e non richiede la gestione di
software o hardware. AWS SSO registra tutte le attività di accesso a AWS CloudTrail, offrendo la visibilità
per monitorare e controllare le attività di SSO in un unico posto.
2AWS Single Sign-On Guida per l'utente
Prerequisiti AWS SSO
Nozioni di base
In questo esercizio di base, vedrai come abilitare AWS Single Sign-On, collegare la tua directory e
configurare SSO per il tuo account AWS e per le tue applicazioni cloud. Sebbene non sia richiesto, ti
consigliamo di esaminare Comprensione dei concetti chiave di AWS Single Sign-On (p. 6) prima
di iniziare a utilizzare la console in modo da acquisire familiarità con le caratteristiche fondamentali e la
terminologia.
Argomenti
• Prerequisiti AWS SSO (p. 3)
• Abilitazione di AWS SSO (p. 3)
• Seleziona la tua directory (p. 4)
• Configurazione di SSO per gli account AWS (p. 4)
• Configurazione di SSO per le applicazioni cloud (p. 4)
Prerequisiti AWS SSO
Prima di configurare AWS SSO, è necessario:
• Innanzitutto configurare il servizio AWS Organizations e impostare All features (Tutte le caratteristiche)
su abilitate. Per ulteriori informazioni su questa impostazione, consulta Abilitazione di tutte le
caratteristiche nell'organizzazione nella Guida per l'utente di AWS Organizations.
• Effettuare l'accesso con le credenziali dell'account principale AWS Organizations prima di iniziare
a configurare AWS SSO. Queste credenziali sono necessarie per abilitare AWS SSO. Per ulteriori
informazioni, consulta Creazione e gestione di un'organizzazione AWS nella Guida per l'utente di AWS
Organizations. Non è possibile configurare AWS SSO se si è effettuato l'accesso con le credenziali di un
account membro dell'organizzazione.
• Scegliere uno store di directory per stabilire quale pool di utenti ha l'accesso SSO al portale utente. Se
scegli di utilizzare la directory AWS SSO predefinita come archivio dell'utente, non sono richieste attività
relative ai prerequisiti. La directory AWS SSO viene creata per impostazione predefinita quando si abilita
AWS SSO ed è subito pronta per essere utilizzata. L'utilizzo di questo tipo di directory non prevede costi
aggiuntivi. Se scegli di connetterti a uno store utente di Active Directory, è necessario disporre di:
• Una directory AWS Managed Microsoft AD esistente configurata in AWS Directory Service e deve
risiedere all'interno dell'account master dell'organizzazione. È possibile connettere una sola directory
AWS Managed Microsoft AD alla volta. Tuttavia, è possibile passare a un'altra directory AWS
Managed Microsoft AD o tornare a una directory AWS SSO in qualsiasi momento. Per ulteriori
informazioni, consulta la sezione relativa alla Creazione di una directory AWS Managed Microsoft AD
nella AWS Directory Service Administration Guide.
• Una directory AWS Managed Microsoft AD nella regione US East (N. Virginia) (us-east-1) in cui è
disponibile AWS SSO. AWS SSO memorizza i dati di incarico nella stessa regione della directory.
Per amministrare AWS SSO, è necessario essere nella regione us-east-1. Inoltre, si noti che il portale
utente AWS SSO usa lo stesso URL di accesso della directory connessa.
Abilitazione di AWS SSO
Quando si apre la console AWS SSO per la prima volta, verrà richiesto di abilitare AWS SSO prima di poter
iniziare a gestirlo. Se già hai già scelto questa opzione, questa fase può essere ignorata. In caso contrario,
3AWS Single Sign-On Guida per l'utente
Fase 2: seleziona la tua directory
utilizza la procedura seguente per attivarlo ora. Una volta abilitato, a AWS SSO vengono concesse le
autorizzazioni necessarie per creare i ruoli collegati al servizio IAM in uno qualsiasi degli account AWS
all'interno della propria organizzazione AWS. In questo momento non vengono creati ruoli collegati ai
servizi. AWS SSO crea questi ruoli in seguito, durante il processo di configurazione dell'accesso a SSO per
gli account AWS (vedi Configurazione di SSO per gli account AWS (p. 4)).
Per abilitare AWS SSO
1. Accedi alla Console di gestione AWS con le credenziali dell'account master AWS Organizations.
2. Aprire la console AWS SSO.
3. Scegli Enable AWS SSO (Abilita).
4. Se non hai ancora configurato AWS Organizations, ti verrà chiesto di creare un'organizzazione. Scegli
Create AWS organization (Crea organizzazione AWS) per completare il processo.
Seleziona la tua directory
La scelta di una directory stabilisce se AWS SSO esegue la ricerca di utenti e gruppi che richiedono
l'accesso a SSO. Per impostazione predefinita, è possibile usufruire di una directory AWS SSO per la
gestione degli utenti in modo semplice e rapido. Eventualmente, è anche possibile connettere una directory
AWS Managed Microsoft AD con l'Active Directory locale.
AWS SSO fornisce agli utenti di questa directory un portale utente personalizzato da cui potranno lanciare
facilmente più account AWS o applicazioni cloud. Gli utenti eseguono l'accesso al portale utilizzando le loro
credenziali aziendali o le credenziali impostate in AWS SSO. Una volta effettuato l'accesso, gli utenti hanno
un accesso rapido a tutte le applicazioni e agli acocunt AWS che hai già autorizzato.
A seconda del tipo di directory che stai tentando di configurare, segui una delle procedure riportate di
seguito:
• Gestione della directory AWS SSO (p. 8)
• Connessione a Microsoft AD Directory. (p. 11)
Per ulteriori informazioni sui tipi di directory supportati, consulta Gestione della directory (p. 8).
Configurazione di SSO per gli account AWS
In questa fase, è possibile concedere agli utenti nella tua directory connessa l'accesso SSO a una
o più console AWS per account AWS specifici nella tua organizzazione AWS. Successivamente, gli
utenti possono vedere all'interno del proprio portale utente solo l'icona dell'account AWS (ad esempio,
Development) che è stato assegnato loro. Quando fanno clic sull'icona, possono quindi scegliere quale
ruolo IAM utilizzare durante la procedura di accesso alla Console di gestione AWS per quell'account AWS.
Per iniziare ad assegnare l'accesso SSO agli account AWS, consulta Assegnazione dell'accesso agli
utenti (p. 17).
Configurazione di SSO per le applicazioni cloud
A seconda del tipo di applicazione che stai tentando di configurare, segui una delle procedure riportate di
seguito:
• Aggiunta e configurazione di un'applicazione cloud (p. 24)
4AWS Single Sign-On Guida per l'utente
Fase 4: configurare SSO per le applicazioni cloud
• Aggiunta e configurazione di un'applicazione SAML 2.0 personalizzata (p. 25)
Per ulteriori informazioni sui tipi di applicazioni supportati, consulta Gestione dell'accesso SSO alle
applicazioni (p. 22).
Una volta completata la procedura appropriata, avrai configurato AWS SSO correttamente e impostato
l'attendibilità con il provider di servizi. I tuoi utenti possono ora accedere a queste applicazioni dal loro
portale utente in base alle autorizzazioni assegnate.
5AWS Single Sign-On Guida per l'utente
Federazione SAML
Comprensione dei concetti chiave di
AWS Single Sign-On
Potrai ottimizzare l'utilizzo di AWS Single Sign-On se acquisisci familiarità con i concetti chiave relativi alla
federazione SAML, all'autenticazione degli utenti e alle autorizzazioni IAM.
Argomenti
• Federazione SAML (p. 6)
• Autenticazioni degli utenti (p. 6)
• Set di autorizzazioni (p. 6)
Federazione SAML
AWS SSO supporta la federazione delle identità con SAML (Security Assertion Markup Language) 2.0.
SAML 2.0 è uno standard di settore utilizzato per lo scambio sicuro di asserzioni SAML che trasmettono
informazioni su un utente tra un'autorità SAML (chiamata provider di identità o IdP) e un consumer SAML
(chiamato provider di servizi o SP). Il servizio AWS SSO utilizza queste informazioni per fornire un Single
Sign-On (SSO) federato agli utenti che sono autorizzati a utilizzare le applicazioni all'interno del portale
utente AWS SSO.
AWS SSO aggiunge funzionalità IdP SAML a AWS Managed Microsoft AD o alla directory AWS SSO. Gli
utenti possono quindi eseguire SSO nei servizi che supportano SAML, tra cui la Console di gestione AWS
e le applicazioni di terze parti, come ad esempio Office 365, Concur e Salesforce. Al momento, AWS SSO
non supporta altri tipi di directory o di IdP.
Autenticazioni degli utenti
Quando un utente accede a portale utente utilizzando il proprio nome utente, AWS SSO reindirizza
la richiesta al servizio di autenticazione AWS SSO in base alla directory associata all'indirizzo e-mail
dell'utente. Una volta autenticati, gli utenti dispongono dell'accesso SSO a uno degli account AWS e alle
applicazioni Software-as-a-Service (SaaS) di terze parti che appariranno nel portale senza ulteriori richieste
di accesso. Questo significa che gli utenti non devono più registrare molte credenziali dell'account per le
varie applicazioni AWS che utilizzano su base giornaliera.
Set di autorizzazioni
Un set di autorizzazioni è una raccolta di policy definite dall'amministratore che AWS SSO utilizza per
determinare le autorizzazioni effettive di un utente e accedere a un account AWS specifico. I set di
autorizzazioni possono contenere policy gestite da AWS o policy personalizzate archiviate in AWS
SSO. Le policy sono sostanzialmente documenti che fungono da contenitori per una o più istruzioni di
autorizzazione. Queste istruzioni rappresentano singoli controlli di accesso (autorizzazione o rifiuto) per
le varie attività che determinano quali operazioni gli utenti possono o non possono eseguire nell'account
AWS.
I set di autorizzazioni vengono archiviati in AWS SSO e vengono utilizzati solo per gli account AWS. Non
vengono utilizzati per la gestione l'accesso alle applicazioni cloud. I set di autorizzazioni sostanzialmente
6AWS Single Sign-On Guida per l'utente
Set di autorizzazioni
vengono creati come ruoli IAM in un determinato account AWS, con policy di attendibilità che consentono
agli utenti di assumere il ruolo tramite AWS SSO.
7AWS Single Sign-On Guida per l'utente
Gestione della directory AWS SSO
Gestione della directory
È possibile configurare le directory in AWS SSO per stabilire se gli utenti e i gruppi sono stati archiviati.
Una volta configurata, è possibile cercare utenti o gruppi nella directory per concedere loro l'accesso SSO
(Single Sign-On) agli account AWS, alle applicazioni cloud o a entrambi.
AWS SSO fornisce automaticamente una directory predefinita da utilizzare per gestire i tuoi utenti e gruppi
all'interno di AWS SSO. Se si decide di archiviare in AWS SSO, è necessario creare utenti e gruppi e
assegnare loro il livello di accesso agli account e alle applicazioni AWS. In alternativa, è possibile scegliere
di Connessione di AWS SSO a una Active Directory locale (p. 12) oppure Connessione di AWS SSO a
una directory AWS Managed Microsoft AD (p. 11) utilizzando AWS Directory Service.
Note
AWS SSO non supporta l'uso della directory Simple AD basata su SAMBA4 come directory
connessa.
Argomenti
• Gestione della directory AWS SSO (p. 8)
• Connessione a Microsoft AD Directory. (p. 11)
• Cambia il tuo tipo di directory (p. 15)
Gestione della directory AWS SSO
AWS Single Sign-On fornisce una directory predefinita in cui è possibile archiviare utenti e gruppi. Se si
decide di memorizzarli in AWS SSO, è sufficiente procedere come segue:
1. Creazione di utenti e gruppi.
2. Aggiungi gli utenti come membri dei gruppi.
3. Assegnare i gruppi con il livello di accesso desiderato agli account e alle applicazioni AWS.
Note
Gli utenti e i gruppi creati nella directory AWS SSO sono disponibili solo in AWS SSO.
Se si preferisce gestire utenti in AWS Managed Microsoft AD, è possibile interrompere l'utilizzo della
directory AWS SSO in qualsiasi momento e invece connettere AWS SSO a Microsoft AD utilizzando AWS
Directory Service. Per ulteriori informazioni, consultare Connessione a Microsoft AD Directory. (p. 11).
Argomenti
• Aggiungi utenti (p. 8)
• Aggiungi gruppi (p. 9)
• Aggiungi utenti ai gruppi (p. 9)
• Modificare le Proprietà utente (p. 10)
• Disabilitare un utente (p. 10)
• Reimpostare la password utente (p. 10)
Aggiungi utenti
Utilizzare la procedura seguente per aggiungere utenti alla directory AWS SSO.
8AWS Single Sign-On Guida per l'utente
Aggiungi gruppi
Aggiunta di un utente
1. Aprire la console AWS SSO.
2. Dal Dashboard (Pannello di controllo), scegli Manage your directory (Gestisci la directory)
3. Nella pagina Directory, scegliere la scheda Users (Utenti) e quindi scegliere Add user (Aggiungi
utente).
4. Nella pagina Add user (Aggiungi utente), fornire le seguenti informazioni necessarie:
a. Indirizzo e-mail
b. Password – Scegli una delle seguenti opzioni per inviare la password dell'utente.
i. Send an email to the user with password setup instructions (Invia un'e-mail all'utente con
le istruzioni di configurazione della password) – Questa opzione invia automaticamente
all'utente un'e-mail da Amazon Web Services e invita l'utente per conto della tua azienda ad
accedere al portale utente AWS SSO.
ii. Generate a one-time password that you can share with the user (Genera una password
temporanea che puoi condividere con l'utente) – Quest'opzione offre i dettagli della password
e dell'URL del portale utente che possono essere inviati manualmente all'utente dall'indirizzo
e-mail.
c. Nome
d. Cognome
e. Display name (Nome visualizzato)
Note
(Facoltativo) È possibile fornire ulteriori attributi, ad esempio Employee ID (ID impiegato)
e Office 365 Immutable ID (ID immutabile Office 365) per aiutare a mappare l'identità
dell'utente in AWS SSO con alcune applicazioni aziendali che l'utente deve utilizzare.
5. Selezionare Next: Groups.
6. Selezionare uno o più gruppi di cui si desidera che l'utente sia membro, quindi scegliere Add user
(Aggiungi utente).
Aggiungi gruppi
Utilizzare la procedura seguente per aggiungere gruppi alla directory AWS SSO.
Per aggiungere un gruppo
1. Aprire la console AWS SSO.
2. Dal Dashboard (Pannello di controllo), scegli Manage your directory (Gestisci la directory)
3. Nella pagina Directory, scegliere la scheda Groups (Gruppi), quindi scegliere Create group (Crea
gruppo).
4. Nella finestra di dialogo Create group (Crea gruppo), immettere un Group name (Nome di gruppo) e
una Description (Descrizione). La descrizione deve fornire dettagli sulle autorizzazioni assegnate (o
che saranno assegnate) al gruppo.
5. Scegliere Create (Crea).
Aggiungi utenti ai gruppi
Utilizzare la procedura seguente per aggiungere utenti come membri di un gruppo creato in precedenza
nella directory AWS SSO.
9AWS Single Sign-On Guida per l'utente
Modificare le Proprietà utente
Per aggiungere un utente come membro di un gruppo
1. Aprire la console AWS SSO.
2. Dal Dashboard (Pannello di controllo), scegli Manage your directory (Gestisci la directory)
3. Nella pagina Directory, scegliere la scheda Groups (Gruppi), quindi scegliere un gruppo dall'elenco.
4. Nella pagina dei Details (Dettagli) del gruppo, in Group members (Membri gruppo), scegliere Add
users (Aggiungi utenti).
5. Nella pagina Add users to group (Aggiungi utenti al gruppo), individuare gli utenti che si desidera
aggiungere come membri. Selezionare quindi la casella di controllo di ciascuno di essi.
6. Scegliere Add user (Aggiungi utente).
Modificare le Proprietà utente
Utilizzare la procedura seguente per modificare le proprietà di un utente nella directory AWS SSO.
Per modificare le proprietà utente
1. Aprire la console AWS SSO.
2. Dal Dashboard (Pannello di controllo), scegli Manage your directory (Gestisci la directory)
3. Nella pagina Directory, scegliere la scheda Users (Utenti), quindi scegliere l'utente che si desidera
modificare.
4. Nella pagina Details (Dettagli) dell'utente scegliere Edit user (Modifica utente).
5. Nella pagina Edit user details (Modifica dettagli utente) eseguire gli aggiornamenti alle proprietà in
base alle esigenze, quindi scegliere Save changes (Salva modifiche).
Note
(Facoltativo) È possibile modificare ulteriori attributi, ad esempio Employee ID (ID impiegato)
e Office 365 Immutable ID (ID immutabile Office 365) per aiutare a mappare l'identità
dell'utente in AWS SSO con alcune applicazioni aziendali che gli utenti devono utilizzare.
Disabilitare un utente
Quando si disabilita un utente, non è possibile modificare i dettagli dell'utente, reimpostare la loro
password, aggiungere l'utente a un gruppo o visualizzare i loro gruppi di appartenenza. Utilizzare la
procedura seguente per disabilitare un utente nella directory AWS SSO.
Per disabilitare un utente
1. Aprire la console AWS SSO.
2. Dal Dashboard (Pannello di controllo), scegli Manage your directory (Gestisci la directory)
3. Nella pagina Directory, scegliere la scheda Users (Utenti), quindi scegliere l'utente che si desidera
disabilitare.
4. Nella finestra di dialogo Disable user (Disabilita utente), seleziona Disable user (Disabilita utente).
Note
Disabilitandolo, si impedisce all'utente di effettuare l'accesso al portale utente.
Reimpostare la password utente
Utilizzare la procedura seguente per reimpostare la password di un utente nella directory AWS SSO.
10AWS Single Sign-On Guida per l'utente
Connessione a Microsoft AD Directory.
Per reimpostare la password di un utente
1. Aprire la console AWS SSO.
2. Dal Dashboard (Pannello di controllo), scegli Manage your directory (Gestisci la directory)
3. Nella pagina Directory, scegliere la scheda Users (Utenti), quindi scegliere l'utente la cui password
deve essere reimpostata.
4. Nella finestra di dialogo Reset password (Reimposta password), selezionare una delle seguenti
opzioni, quindi scegliere Reset password (Reimposta password):
a. Send an email to the user with password setup instructions (Invia un'e-mail all'utente con le
istruzioni per reimpostare la password) – Questa opzione invia automaticamente all'utente un'e-
mail da Amazon Web Services per guidarli nella fase di reimpostazione della propria password.
b. Generate a one-time password that you can share with the user (Genera una password
temporanea da condividere con l'utente) – Quest'opzione offre i dettagli della password che
possono essere inviati manualmente all'utente dall'indirizzo e-mail.
Connessione a Microsoft AD Directory.
AWS Single Sign-On consente agli amministratori di connettersi alla propria Active Directory (AD) o
directory AWS Managed Microsoft AD in locale utilizzando AWS Directory Service. Questa directory
Microsoft AD definisce il pool di identità da cui gli amministratori possono eseguire l'estrazione quando
utilizzano la console AWS SSO per assegnare l'accesso Single Sign-On (SSO). Dopo aver collegato la
propria directory aziendale a AWS SSO, gli amministratori possono concedere ai propri utenti o gruppi di
AD l'accesso agli account AWS, alle applicazioni cloud o a entrambi.
AWS Directory Service consente di configurare ed eseguire una directory AWS Managed Microsoft AD
standalone in hosting nel Cloud AWS. Puoi anche utilizzare AWS Directory Service per collegare le tue
risorse AWS a una Microsoft Active Directory in locale già esistente. Per configurare AWS Directory Service
in modo che funzioni con la tua Active Directory locale, devi prima configurare le relazioni di trust per
estendere l'autenticazione da locale al cloud.
Note
AWS SSO non supporta l'uso della directory Simple AD basata su SAMBA4 come directory
connessa.
Argomenti
• Connessione di AWS SSO a una directory AWS Managed Microsoft AD (p. 11)
• Connessione di AWS SSO a una Active Directory locale (p. 12)
• Mappature degli attributi (p. 12)
Connessione di AWS SSO a una directory AWS
Managed Microsoft AD
Usa la procedura seguente per connettere una directory AWS Managed Microsoft AD gestita da AWS
Directory Service a AWS SSO.
Per connettere AWS SSO a AWS Managed Microsoft AD
1. Aprire la console AWS SSO.
11AWS Single Sign-On Guida per l'utente
Connessione di AWS SSO a una Active Directory locale
Note
Verifica che la console AWS SSO stia utilizzando una delle stesse regioni in cui si trova la
directory AWS Managed Microsoft AD prima di passare alla fase successiva.
2. Dal Dashboard (Pannello di controllo), scegli Manage your directory (Gestisci la directory)
3. Nella pagina Directory eseguire queste operazioni:
a. In Available directories (Directory disponibili), selezionare la directory AWS Managed Microsoft AD
a cui vuoi che AWS SSO si connetta.
b. In User portal URL (URL portale utente) inserire il prefisso da utilizzare per l'URL di accesso al
portale utente.
4. Scegli Connect directory (Connetti directory).
Connessione di AWS SSO a una Active Directory
locale
Gli utenti nella Active Directory in locale possono anche avere l'accesso SSO agli account AWS e alle
applicazioni cloud nel portale utente di AWS SSO. Per fare ciò, AWS Directory Service ha le seguenti due
opzioni disponibili:
• Create a two-way trust relationship (Crea una relazione di trust bidirezionale)–: le relazioni di trust
bidirezionali create tra AWS Managed Microsoft AD e una Active Directory locale consentono agli
utenti locali di accedere con le proprie credenziali aziendali a diversi servizi e applicazioni aziendali
di AWS. Le relazioni di trust unidirezionale non funzionano con AWS SSO. Per ulteriori informazioni
sulla configurazione di un trust bidirezionale, consulta Quando creare una relazione di trust nella AWS
Directory Service Administration Guide.
• Create an AD Connector (Crea un)–AD Connector: è un gateway di directory in grado di reindirizzare
le richieste di directory a una Active Directory locale esistente senza caricare informazioni nella cache
nel cloud. Per ulteriori informazioni, consulta Connessione a una directory nella AWS Directory Service
Administration Guide.
Note
AWS SSO non funziona con le directory Simple AD basate su SAMBA4.
Mappature degli attributi
I mapping degli attributi vengono utilizzati per mappare i tipi di attributo esistenti in AWS SSO con attributi
simili in una directory AWS Managed Microsoft AD. AWS SSO recupera gli attributi utente dalla directory
Microsoft AD e li mappa agli attributi AWS SSO degli utenti. Queste mappature degli attributi utente AWS
SSO vengono inoltre utilizzate per generare asserzioni SAML per le applicazioni cloud. Ogni applicazione
cloud determina l'elenco degli attributi SAML necessari per eseguire correttamente il Single Sign On.
AWS SSO inserisce un set di attributi nella schedaAttribute mappings (Mappatura attributi) situata
nella pagina di configurazione dell'applicazione. AWS SSO utilizza questi attributi utente per compilare
asserzioni SAML (come attributi SAML) che vengono inviate all'applicazione cloud. Questi attributi utente
vengono quindi recuperati dalla directory Microsoft AD. Per ulteriori informazioni, consulta Mappatura degli
attributi dell'applicazione agli attributi AWS SSO (p. 28).
Inoltre, AWS SSO gestisce automaticamente un set di attributi nella sezione Attribute mappings (Mappature
attributi) della pagina di configurazione della directory. Per ulteriori informazioni, consulta Mappatura di
attributi in AWS SSO ad attributi nella directory AWS Managed Microsoft AD (p. 14).
12AWS Single Sign-On Guida per l'utente
Mappature degli attributi
Attributi di directory supportati
La tabella che segue fornisce un elenco completo degli attributi della directory AWS Managed Microsoft AD
supportati e che possono essere mappati agli attributi utente in AWS SSO.
Attributi supportati nella directory Microsoft AD
${dir:email}
${dir:displayname}
${dir:distinguishedName}
${dir:firstname}
${dir:guid}
${dir:initials}
${dir:lastname}
${dir:proxyAddresses}
${dir:proxyAddresses:smtp}
${dir:proxyAddresses:SMTP}
${dir:windowsUpn}
Puoi specificare qualsiasi combinazione di attributi supportati per la directory Microsoft AD per
eseguire la mappatura a un singolo attributo in AWS SSO. Ad esempio, potresti scegliere l'attributo
preferredUsername nella colonna User attribute in AWS SSO (Attributo utente in), quindi mapparlo a
${dir:displayname} o ${dir:lastname}${dir:firstname }, oppure a qualsiasi singolo attributo
supportato o a qualsiasi combinazione arbitraria di attributi supportati.
Attributi AWS SSO supportati
La tabella che segue fornisce un elenco completo degli attributi AWS SSO supportati che possono essere
mappati agli attributi utente nella directory AWS Managed Microsoft AD. In seguito, quando configuri le
mappature degli attributi dell'applicazione, sarai in grado di utilizzare questi stessi attributi AWS SSO per
eseguire la mappatura agli attributi effettivamente utilizzati dall'applicazione.
Attributi supportati in AWS SSO
${user:AD_GUID}
${user:email}
${user:familyName}
${user:firstName}
${user:middleName}
${user:name}
${user:preferredUsername}
${user:subject}
13AWS Single Sign-On Guida per l'utente
Mappature degli attributi
Mappature predefinite
La tabella che segue mostra le mappature predefinite degli attributi utente in AWS SSO agli attributi utenti
nella directory AWS Managed Microsoft AD. Al momento, AWS SSO supporta solo l'elenco degli attributi
mostrato nella colonna User attribute in AWS SSO (Attributo utente in).
Attributo utente in AWS SSO Esegue la mappatura a questo attributo nella
directory Microsoft AD
AD_GUID ${dir:guid}
email ${dir:windowsUpn}
familyName ${dir:lastname}
givenName ${dir:firstname}
middleName ${dir:initials}
name ${dir:displayname}
preferredUsername ${dir:displayname}
subject ${dir:windowsUpn}
Puoi modificare le mappature predefinite o aggiungere ulteriori attributi all'asserzione SAML in base alle
esigenze. Ad esempio, se la tua applicazione cloud richiede di specificare l'indirizzo email degli utenti
nell'attributo SAML User.Email e le e-mail vengono archiviate nell'attributo windowsUpn della directory
Microsoft AD, per ottenere questa mappatura, devi apportare modifiche alle due posizioni seguenti nella
console AWS SSO:
1. Nella pagina Directory, nella sezione Attribute mappings (Mappature attributi), devi mappare l'attributo
utente email all'attributo ${dir:windowsUpn} nella colonna Maps to this attribute in your directory
(Esegue la mappatura a questo attributo nella directory)
2. Nella pagina Applications (Applicazioni), scegli l'applicazione dalla tabella, scegli la scheda
Attribute mappings (Mappature attributi), quindi devi mappare l'attributo User.Email all'attributo
${user:email} (nella colonna Maps to this string value or user attribute in AWS SSO (Esegue la
mappatura a questo valore di stringa o attributo utente in)).
Da notare che è necessario fornire ciascun attributo di directory nel formato ${dir:AttributeName}. Ad
esempio, l'attributo firstname nella directory Microsoft AD diventa ${dir:firstname}. È importante
che a ogni attributo di directory venga assegnato un valore effettivo. La mancanza negli attributi di un
valore dopo ${dir: causerà problemi di accesso all'utente.
Mappatura di attributi in AWS SSO ad attributi nella directory
AWS Managed Microsoft AD
Puoi utilizzare la procedura seguente per specificare in che modo gli attributi degli utenti in AWS SSO
devono essere mappati agli attributi corrispondenti nella directory Microsoft AD.
Mappatura di attributi in AWS SSO ad attributi nella directory
1. Aprire la console AWS SSO.
2. Scegli Connected directory (Directory connessa).
14AWS Single Sign-On Guida per l'utente
Cambia il tuo tipo di directory
3. In Attribute mappings (Mappature attributi), scegli Edit attribute mappings (Modifica mappature
attributi).
4. Nella pagina Edit attribute mappings (Modifica mappature attributi), trova l'attributo in AWS SSO che
vuoi mappare, quindi digita un valore nella casella di testo. Ad esempio, puoi mappare l'attributo
dell'utente AWS SSO email all'attributo della directory Microsoft AD ${dir:windowsUpn}.
5. Seleziona Save changes (Salva modifiche).
Cambia il tuo tipo di directory
Puoi modificare dove archiviare gli utenti in qualsiasi momento. Utilizza la procedura seguente per passare
da una directory fornita da AWS SSO (questa è l'impostazione predefinita) a una directory AWS Managed
Microsoft AD o viceversa.
Per modificare il tipo di directory
1. Aprire la console AWS SSO.
2. Dal Dashboard (Pannello di controllo), scegli Manage your directory (Gestisci la directory)
3. Nella pagina Directory, selezionare Change directory (Cambia directory).
4. Nella pagina Change directory (Cambia directory), selezionare la directory a cui si desidera passare,
quindi scegliere Next (Successivo). Se si desidera passare a una directory Microsoft Active, è
necessario scegliere la directory disponibile dal menu fornito.
Important
La modifica di una directory rimuove tutti gli incarichi utente precedentemente assegnati. È
necessario riapplicarli manualmente una volta modificata la directory.
5. Scegli Next:Review (Successivo:Rivedi).
6. Dopo aver letto la liberatoria e quando sei pronto per procedere, digita CONFIRM (CONFERMA).
7. Scegliere Finish (Fine).
15AWS Single Sign-On Guida per l'utente
Accesso Single Sign-On
Gestione di SSO per gli account AWS
AWS Single Sign-On è integrato con AWS Organizations per consentire agli amministratori di scegliere
più account AWS i cui utenti necessitano dell'accesso Single Sign-On (SSO) alla Console di gestione
AWS. Questi account AWS possono essere l'account principale di AWS Organizations o un account
membro. Un account master è un account AWS usato per creare l'organizzazione. Il resto dell'account
che appartengono a un'organizzazione sono denominati account membri. Per ulteriori informazioni sui
vari tipi di account, consulta Concetti e terminologia di AWS Organizations nella Guida per l'utente di AWS
Organizations.
Una volta assegnato l'accesso dalla console AWS SSO, puoi utilizzare i set di autorizzazioni per ottimizzare
le operazioni nella Console di gestione AWS consentite per gli utenti. Per ulteriori informazioni sui set di
autorizzazioni, consulta Set di autorizzazioni (p. 18).
Gli utenti seguono un semplice processo di accesso:
1. Usano le proprie credenziali di directory per accedere al portale a loro dedicato.
2. Quindi scelgono il nome dell'account AWS che offre loro l'accesso federato alla Console di gestione
AWS per tale account.
3. Gli utenti a cui sono assegnati più set di autorizzazioni scelgono il ruolo IAM da utilizzare.
I set di autorizzazioni sono un modo per definire le autorizzazioni centralmente in AWS SSO in modo che
possano essere applicate a tutti gli account AWS. Tali set di autorizzazioni vengono assegnati a ogni
account AWS come ruolo IAM. Il portale utente consente agli utenti di recuperare credenziali temporanee
per il ruolo IAM di un determinato account AWS in modo che possano utilizzarlo per l'accesso a breve
termine all'interfaccia a riga di comando AWS. Per ulteriori informazioni, consulta Come ottenere le
credenziali di un ruolo IAM da utilizzare con CLI Access per un account AWS (p. 44).
Per usare AWS SSO con AWS Organizations, devi innanzitutto Abilitazione di AWS SSO (p. 3), per
concedere a AWS SSO la possibilità di creare Ruoli collegati ai servizi (p. 21) in ogni account
nell'organizzazione AWS. Questi ruoli non vengono creati finché non esegui l'Assegnazione dell'accesso
agli utenti (p. 17) per un determinato account.
È inoltre possibile connettere un account AWS che non fa parte della tua organizzazione configurandolo
come un'applicazione SAML personalizzata in AWS SSO. In questo scenario, puoi predisporre e gestire
i ruoli IAM e le relazioni di trust necessari per abilitare l'accesso SSO. Per ulteriori informazioni su
come effettuare tale operazione, consultare Aggiunta e configurazione di un'applicazione SAML 2.0
personalizzata (p. 25).
Argomenti
• Accesso Single Sign-On (p. 16)
• Set di autorizzazioni (p. 18)
• Provider di identità IAM (p. 20)
• Ruoli collegati ai servizi (p. 21)
Accesso Single Sign-On
È possibile assegnare gli utenti nelle autorizzazioni della directory connessa agli account membro o
master AWS nell'organizzazione AWS Organizations in base alle comuni funzioni di lavoro. In alternativa,
è possibile utilizzare autorizzazioni personalizzate per soddisfare i requisiti specifici di sicurezza. Ad
esempio, è possibile concedere agli amministratori del database ampie autorizzazioni per Amazon RDS
16AWS Single Sign-On Guida per l'utente
Assegnazione dell'accesso agli utenti
negli account di sviluppo, ma limitare le autorizzazioni negli account di produzione. AWS SSO configura
tutte le autorizzazioni utente necessarie negli account AWS automaticamente.
Note
Solo l'utente root dell'account IAM o un utente che utilizza la policy IAM collegata
AWSSSOMasterAccountAdministrator è in grado di concedere agli utenti nella directory
connessa autorizzazioni per l'account master AWS. Per ulteriori informazioni su come delegare
tali autorizzazioni, consulta Delega chi può assegnare l'accesso SSO agli utenti nell'account
master (p. 18).
Assegnazione dell'accesso agli utenti
Usa la procedura seguente per assegnare l'accesso SSO a utenti e gruppi nella directory connessa e
utilizzare i set di autorizzazioni per determinarne il livello di accesso.
Note
Per semplificare l'amministrazione delle autorizzazioni di accesso, ti consigliamo di assegnare
l'accesso direttamente ai gruppi anziché ai singoli utenti. I gruppi ti consentono di concedere o
negare autorizzazioni a più utenti senza dover applicare tali autorizzazioni a ogni singola persona.
Se un utente passa a un'altra organizzazione, devi solo spostare tale utente in un altro gruppo
affinché riceva automaticamente le autorizzazioni necessarie per la nuova organizzazione.
Per assegnare l'accesso a utenti o gruppi
1. Aprire la console AWS SSO.
Note
Prima di passare alla fase successiva, verifica che la console AWS SSO stia utilizzando la
regione US East (N. Virginia) (us-east-1) in cui si trova la directory AWS Managed Microsoft
AD.
2. Seleziona AWS accounts (Account).
3. Nella scheda AWS organization (Organizzazione), nell'elenco degli account AWS, scegli un account a
cui vuoi assegnare l'accesso.
4. Nella pagina dei dettagli dell'account AWS, scegli Assign users (Assegna utenti).
5. Nella pagina Select users or groups (Seleziona utenti o gruppi) inserisci un nome di utente o gruppo
e scegli Search connected directory (Cerca directory connessa). Una volta selezionati tutti gli account
a cui vuoi assegnare l'accesso, scegli Next: Permission sets (Successivo: set di autorizzazioni). Puoi
specificare più utenti o gruppi selezionando gli account applicabili come vengono visualizzati nei
risultati della ricerca.
6. Nella pagina Select permission sets (Seleziona set di autorizzazioni) seleziona il set di autorizzazioni
che vuoi applicare all'utente o al gruppo dalla tabella. Quindi scegli Finish (Fine). Se nessuna
delle autorizzazioni nella tabella soddisfa le tue esigenze, puoi scegliere Create a new permission
set (Crea un nuovo set di autorizzazioni). Per istruzioni dettagliate, consulta Creazione di set di
autorizzazioni (p. 19).
7. Scegli Finish (Fine) per avviare il processo di configurazione dell'account AWS.
Note
Se è la prima volta che assegni l'accesso SSO a questo account AWS, questo processo crea
un ruolo collegato al servizio nell'account. Per ulteriori informazioni, consulta Utilizzo di ruoli
collegati ai servizi per AWS SSO (p. 39).
Important
Il completamento del processo di assegnazione agli utenti potrebbe richiedere alcuni minuti. È
importante lasciare aperta questa pagina finché il processo non viene completato.
17AWS Single Sign-On Guida per l'utente
Rimozione dell'accesso degli utenti
Rimozione dell'accesso degli utenti
Usa questa procedura per rimuovere l'accesso SSO a un account AWS per un determinato utente o gruppo
nella directory connessa.
Per rimuovere l'accesso dell'utente da un account AWS
1. Aprire la console AWS SSO.
2. Seleziona AWS accounts (Account).
3. Nella tabella seleziona l'account AWS con l'utente o il gruppo di cui vuoi rimuovere l'accesso.
4. Nella pagina Details (Dettagli) per l'account AWS, sotto Assigned users and groups (Utenti e gruppi
assegnati), individua l'utente o il gruppo nella tabella. Scegli quindi Remove access (Rimuovi accesso).
5. Nella finestra di dialogo Remove access (Rimuovi accesso) conferma il nome dell'utente o del gruppo.
Scegli quindi Remove access (Rimuovi accesso).
Delega chi può assegnare l'accesso SSO agli utenti
nell'account master
L'assegnazione dell'accesso Single Sign-On all'account master utilizzando la console AWS SSO è
un'azione privilegiata. Per impostazione predefinita, solo un utente root dell'account AWS o un utente
che ha la policy gestita collegata AWSSSOMasterAccountAdministrator di AWS può assegnare l'accesso
SSO all'account master. AWSSSOMasterAccountAdministrator fornisce l'accesso SSO all'account master
all'interno di un'organizzazione AWS Organizations.
Utilizzare la procedura seguente per delegare le autorizzazioni per gestire l'accesso SSO agli utenti nella
directory.
Per concedere le autorizzazioni per gestire l'accesso SSO agli utenti nella directory
1. Accedi alla console AWS SSO come utente root dell'account master o con un altro utente IAM con
autorizzazioni di amministratore IAM per l'account master.
2. Utilizzare la procedura Creazione di set di autorizzazioni (p. 19) per creare un set di autorizzazioni.
Quando si arriva al passo 5c, selezionare l'opzione Attach AWS managed policies (Collega le policy
gestite). In un elenco di policy IAM che appaiono nella tabella, scegliere la policy gestita AWS
AWSSSOMasterAccountAdministrator. Questa policy concede autorizzazioni a qualsiasi utente a cui
verrà assegnato l'accesso a questo set di autorizzazioni in futuro.
3. Utilizza la procedura Assegnazione dell'accesso agli utenti (p. 17) per assegnare gli utenti
appropriati al set di autorizzazioni creato.
4. Comunicare quanto segue agli utenti assegnati: quando effettuano l'accesso al portale utente
e selezionano l'icona AWSAccount, devono scegliere il nome del ruolo IAM appropriato per
l'autenticazione con le autorizzazioni appena delegate.
Set di autorizzazioni
I set di autorizzazioni definiscono il livello di accesso degli utenti e dei gruppi per un account AWS. I
set di autorizzazioni vengono archiviati in AWS SSO e assegnati all'account AWS come ruoli IAM. Puoi
assegnare più set di autorizzazioni a un utente. Gli utenti che dispongono di più set di autorizzazioni
devono sceglierne uno quando accedono al portale utente. I set di autorizzazioni saranno visualizzati come
ruoli IAM. Per ulteriori informazioni, consulta Set di autorizzazioni (p. 6).
18Puoi anche leggere
