AWS Single Sign-On Guida per l'utente - Guida per l'utente

 
AWS Single Sign-On Guida per l'utente - Guida per l'utente
AWS Single Sign-On
   Guida per l'utente
AWS Single Sign-On Guida per l'utente - Guida per l'utente
AWS Single Sign-On Guida per l'utente

AWS Single Sign-On: Guida per l'utente
Copyright © 2020 Amazon Web Services, Inc. and/or its affiliates. All rights reserved.

Amazon's trademarks and trade dress may not be used in connection with any product or service that is not Amazon's,
in any manner that is likely to cause confusion among customers, or in any manner that disparages or discredits
Amazon. All other trademarks not owned by Amazon are the property of their respective owners, who may or may not
be affiliated with, connected to, or sponsored by Amazon.
AWS Single Sign-On Guida per l'utente

Table of Contents
  Che cos'è AWS Single Sign-On? .......................................................................................................... 1
       Caratteristiche di AWS SSO ......................................................................................................... 1
  Nozioni di base .................................................................................................................................. 3
       Prerequisiti AWS SSO ................................................................................................................. 3
       Fase 1: Abilitare AWS SSO ......................................................................................................... 3
       Fase 2: seleziona la tua directory ................................................................................................. 4
       Fase 3: configurare SSO per gli account AWS ................................................................................ 4
       Fase 4: configurare SSO per le applicazioni cloud ........................................................................... 4
  Concetti chiave AWS SSO ................................................................................................................... 6
       Federazione SAML ..................................................................................................................... 6
       Autenticazioni degli utenti ............................................................................................................ 6
       Set di autorizzazioni .................................................................................................................... 6
  Gestione della directory ....................................................................................................................... 8
       Gestione della directory AWS SSO ............................................................................................... 8
              Aggiungi utenti ................................................................................................................... 8
              Aggiungi gruppi .................................................................................................................. 9
              Aggiungi utenti ai gruppi ...................................................................................................... 9
              Modificare le Proprietà utente ............................................................................................. 10
              Disabilitare un utente ......................................................................................................... 10
              Reimpostare la password utente ......................................................................................... 10
       Connessione a Microsoft AD Directory. ........................................................................................ 11
              Connessione di AWS SSO a una directory AWS Managed Microsoft AD .................................... 11
              Connessione di AWS SSO a una Active Directory locale ......................................................... 12
              Mappature degli attributi ..................................................................................................... 12
       Cambia il tuo tipo di directory ..................................................................................................... 15
  Gestione di SSO per gli account AWS ................................................................................................. 16
       Accesso Single Sign-On ............................................................................................................ 16
              Assegnazione dell'accesso agli utenti ................................................................................... 17
              Rimozione dell'accesso degli utenti ...................................................................................... 18
              Delega chi può assegnare l'accesso SSO agli utenti nell'account master .................................... 18
       Set di autorizzazioni .................................................................................................................. 18
              Creazione di set di autorizzazioni ........................................................................................ 19
              Eliminazione dei set di autorizzazioni ................................................................................... 19
              Impostazione della durata della sessione .............................................................................. 20
       Provider di identità IAM ............................................................................................................. 20
              Ripristino del provider di identità IAM ................................................................................... 21
              Rimozione del provider di identità IAM ................................................................................. 21
       Ruoli collegati ai servizi ............................................................................................................. 21
  Gestione dell'accesso SSO alle applicazioni .......................................................................................... 22
       Applicazioni cloud ..................................................................................................................... 22
              Applicazioni supportate ...................................................................................................... 23
              Aggiunta e configurazione di un'applicazione cloud ................................................................ 24
       Applicazioni SAML 2.0 personalizzate .......................................................................................... 24
              Aggiunta e configurazione di un'applicazione SAML 2.0 personalizzata ...................................... 25
       Proprietà applicazione ............................................................................................................... 25
              URL avvio applicazione ..................................................................................................... 25
              Stato del relay .................................................................................................................. 26
              Durata della sessione ........................................................................................................ 26
       Assegnazione dell'accesso agli utenti ........................................................................................... 27
       Rimozione dell'accesso degli utenti .............................................................................................. 27
       Mappatura degli attributi dell'applicazione agli attributi AWS SSO ..................................................... 28
  Autenticazione e controllo degli accessi ............................................................................................... 29
       Autenticazione .......................................................................................................................... 29
       Controllo degli accessi ............................................................................................................... 30

                                                                        iii
AWS Single Sign-On Guida per l'utente

       Panoramica della gestione degli accessi .......................................................................................                  30
              Risorse e operazioni AWS SSO ..........................................................................................                   31
              Informazioni sulla proprietà delle risorse ...............................................................................                31
              Gestione dell'accesso alle risorse ........................................................................................               31
              Specifica degli elementi delle policy: operazioni, effetti, risorse ed entità ....................................                        32
              Specifica delle condizioni in una policy .................................................................................                33
       Utilizzo di policy basate su identità (policy IAM) .............................................................................                 33
              Autorizzazioni richieste per utilizzare la console AWS SSO ......................................................                         34
              Policy gestite (predefinite) da AWS per AWS SSO .................................................................                         35
              Esempi di policy gestite dal cliente ......................................................................................               35
       Utilizzo di ruoli collegati ai servizi ................................................................................................          39
              Autorizzazioni del ruolo collegato ai servizi per AWS SSO .......................................................                         39
              Creazione di un ruolo collegato ai servizi per AWS SSO .........................................................                          40
              Modifica di un ruolo collegato ai servizi per AWS SSO ...........................................................                         41
              Eliminazione di un ruolo collegato ai servizi per AWS SSO ......................................................                          41
Uso del portale utente .......................................................................................................................          42
       Suggerimenti per l'uso del portale ...............................................................................................               42
       Come Accettare l'invito per AWS SSO .........................................................................................                    42
       Come accedere al portale utente ................................................................................................                 43
       Come uscire dal portale utente ...................................................................................................               43
       Come cercare un'applicazione o un account AWS .........................................................................                          43
       Per reimpostare la password ......................................................................................................               44
       Come ottenere le credenziali di un ruolo IAM da utilizzare con CLI Access per un account AWS .............                                       44
Registrazione delle chiamate API AWS SSO con AWS CloudTrail ............................................................                                46
       Informazioni di AWS SSO in CloudTrail ........................................................................................                   46
       Comprensione delle voci dei file di log di AWS SSO ......................................................................                        48
Limiti di ...........................................................................................................................................   50
       Limiti di applicazioni ..................................................................................................................        50
       Limiti dell'account AWS .............................................................................................................            50
       Limiti di directory connesse ........................................................................................................            50
       Restrizioni della directory AWS SSO ............................................................................................                 51
Risoluzione dei problemi ....................................................................................................................           52
       Non riesco a configurare correttamente la mia applicazione cloud .....................................................                           52
       Non so quali dati dell'asserzione SAML vengono passati al provider di servizi .....................................                              52
Cronologia dei documenti ...................................................................................................................            53
AWS Glossary ..................................................................................................................................         54

                                                                        iv
AWS Single Sign-On Guida per l'utente
                                       Caratteristiche di AWS SSO

Che cos'è AWS Single Sign-On?
    AWS Single Sign-On è un servizio single sign-on (SSO) basato sul cloud che semplifica la gestione
    centralizzata degli accessi SSO a tutti gli account AWS e applicazioni cloud. Nello specifico, consente
    di gestire l'accesso SSO e le autorizzazioni degli utenti per tutti gli account AWS in AWS Organizations.
    AWS SSO inoltre, consente di gestire gli accessi e le autorizzazioni per applicazioni software as a service
    (SaaS) di terze parti comunemente usate e applicazioni personalizzate che supportano Security Assertion
    Markup Language (SAML) 2.0. AWS SSO include un portale utente in cui gli utenti finali possono trovare
    e accedere in un unico posto a tutti gli account AWS a loro assegnati, alle applicazioni cloud e alle
    applicazioni personalizzate.

Caratteristiche di AWS SSO
    AWS SSO offre le seguenti caratteristiche:

    Integrazione con AWS Organizations

    AWS SSO è integrato con le operazioni API di AWS Organizations e AWS, a differenza di altre soluzioni
    cloud SSO native. AWS SSO si integra in modo nativo con AWS Organizations e enumera tutti gli account
    AWS. Se hai organizzato i tuoi account in unità organizzative (OU), tali unità verranno visualizzate
    all'interno della console AWS SSO. In questo modo è possibile individuare rapidamente gli account AWS,
    distribuire set comuni di autorizzazioni e gestire l'accesso da una posizione centrale.

    Accesso SSO agli account AWS e alle applicazioni cloud

    AWS SSO semplifica la gestione della funzionalità SSO in tutti i tuoi account AWS, nelle applicazioni cloud
    e nelle applicazioni personalizzate basate su SAML 2.0, senza script specifici o soluzioni SSO di terze
    parti.– Utilizza la console AWS SSO per assegnare rapidamente quali utenti devono disporre di un accesso
    rapido solo alle applicazioni che hai autorizzato per il loro portale di utente finale personalizzato.

    Come si creano e si gestiscono gruppi e utenti in AWS SSO

    Quando si abilita il servizio per la prima volta, si crea una directory di default in AWS SSO. È possibile
    usare questa directory per gestire gli utenti e i gruppi direttamente nella console. In alternativa, se si
    preferisce, è possibile connettersi a una directory AWS Managed Microsoft AD esistente e gestire gli utenti
    con gli strumenti di gestione standard di Active Directory forniti in Windows Server. Se scegli di gestire gli
    utenti in AWS SSO, puoi creare rapidamente gli utenti e quindi organizzarli in gruppi, tutti all'interno della
    console.

    Utilizzo delle identità aziendali esistenti

    AWS SSO è integrato con Microsoft AD tramite AWS Directory Service. Questo significa che i dipendenti
    possono effettuare l'accesso al portale utente AWS SSO utilizzando le loro credenziali Active Directory
    aziendali. Per concedere agli utenti di Active Directory l'accesso ad account e applicazioni, è sufficiente
    aggiungerli ai gruppi di Active Directory appropriati. Ad esempio, puoi concedere al gruppo DevOps
    l'accesso SSO ai tuoi account AWS per la produzione. Agli utenti aggiunti al gruppo DevOps viene quindi
    concesso l'accesso SSO a questi account AWS automaticamente. Questo sistema automatico consente di
    aggiungere facilmente nuovi utenti e concedere velocemente agli utenti esistenti l'accesso a nuovi account
    e applicazioni.

    Compatibilità con le applicazioni cloud più comuni

    AWS SSO supporta le applicazioni cloud usate più comunemente, come Salesforce, Box e Office
    365. Questo riduce il tempo necessario per configurare queste applicazioni per SSO fornendo le

                                                    1
AWS Single Sign-On Guida per l'utente
                                  Caratteristiche di AWS SSO

istruzioni di integrazione dell'applicazione. Queste istruzioni fungono da linee guida per aiutare gli
amministratori a impostare e risolvere i problemi di queste configurazioni SSO. Ciò elimina la necessità per
gli amministratori di conoscere i dettagli di configurazione di tutte le applicazioni cloud.

Facilità di configurazione e monitoraggio dell'utilizzo

Con AWS SSO, è possibile abilitare un servizio SSO ad alta disponibilità con pochi clic. Non vi è alcuna
infrastruttura aggiuntiva da distribuire o account AWS da configurare. AWS SSO è altamente disponibile
e offre un'infrastruttura completamente sicura che si adatta alle tue esigenze e non richiede la gestione di
software o hardware. AWS SSO registra tutte le attività di accesso a AWS CloudTrail, offrendo la visibilità
per monitorare e controllare le attività di SSO in un unico posto.

                                                  2
AWS Single Sign-On Guida per l'utente
                                         Prerequisiti AWS SSO

Nozioni di base
    In questo esercizio di base, vedrai come abilitare AWS Single Sign-On, collegare la tua directory e
    configurare SSO per il tuo account AWS e per le tue applicazioni cloud. Sebbene non sia richiesto, ti
    consigliamo di esaminare Comprensione dei concetti chiave di AWS Single Sign-On (p. 6) prima
    di iniziare a utilizzare la console in modo da acquisire familiarità con le caratteristiche fondamentali e la
    terminologia.

    Argomenti
     • Prerequisiti AWS SSO (p. 3)
     • Abilitazione di AWS SSO (p. 3)
     • Seleziona la tua directory (p. 4)
     • Configurazione di SSO per gli account AWS (p. 4)
     • Configurazione di SSO per le applicazioni cloud (p. 4)

Prerequisiti AWS SSO
    Prima di configurare AWS SSO, è necessario:

    • Innanzitutto configurare il servizio AWS Organizations e impostare All features (Tutte le caratteristiche)
      su abilitate. Per ulteriori informazioni su questa impostazione, consulta Abilitazione di tutte le
      caratteristiche nell'organizzazione nella Guida per l'utente di AWS Organizations.
    • Effettuare l'accesso con le credenziali dell'account principale AWS Organizations prima di iniziare
      a configurare AWS SSO. Queste credenziali sono necessarie per abilitare AWS SSO. Per ulteriori
      informazioni, consulta Creazione e gestione di un'organizzazione AWS nella Guida per l'utente di AWS
      Organizations. Non è possibile configurare AWS SSO se si è effettuato l'accesso con le credenziali di un
      account membro dell'organizzazione.
    • Scegliere uno store di directory per stabilire quale pool di utenti ha l'accesso SSO al portale utente. Se
      scegli di utilizzare la directory AWS SSO predefinita come archivio dell'utente, non sono richieste attività
      relative ai prerequisiti. La directory AWS SSO viene creata per impostazione predefinita quando si abilita
      AWS SSO ed è subito pronta per essere utilizzata. L'utilizzo di questo tipo di directory non prevede costi
      aggiuntivi. Se scegli di connetterti a uno store utente di Active Directory, è necessario disporre di:
      • Una directory AWS Managed Microsoft AD esistente configurata in AWS Directory Service e deve
        risiedere all'interno dell'account master dell'organizzazione. È possibile connettere una sola directory
        AWS Managed Microsoft AD alla volta. Tuttavia, è possibile passare a un'altra directory AWS
        Managed Microsoft AD o tornare a una directory AWS SSO in qualsiasi momento. Per ulteriori
        informazioni, consulta la sezione relativa alla Creazione di una directory AWS Managed Microsoft AD
        nella AWS Directory Service Administration Guide.
      • Una directory AWS Managed Microsoft AD nella regione US East (N. Virginia) (us-east-1) in cui è
        disponibile AWS SSO. AWS SSO memorizza i dati di incarico nella stessa regione della directory.
        Per amministrare AWS SSO, è necessario essere nella regione us-east-1. Inoltre, si noti che il portale
        utente AWS SSO usa lo stesso URL di accesso della directory connessa.

Abilitazione di AWS SSO
    Quando si apre la console AWS SSO per la prima volta, verrà richiesto di abilitare AWS SSO prima di poter
    iniziare a gestirlo. Se già hai già scelto questa opzione, questa fase può essere ignorata. In caso contrario,

                                                      3
AWS Single Sign-On Guida per l'utente
                                      Fase 2: seleziona la tua directory

     utilizza la procedura seguente per attivarlo ora. Una volta abilitato, a AWS SSO vengono concesse le
     autorizzazioni necessarie per creare i ruoli collegati al servizio IAM in uno qualsiasi degli account AWS
     all'interno della propria organizzazione AWS. In questo momento non vengono creati ruoli collegati ai
     servizi. AWS SSO crea questi ruoli in seguito, durante il processo di configurazione dell'accesso a SSO per
     gli account AWS (vedi Configurazione di SSO per gli account AWS (p. 4)).

     Per abilitare AWS SSO

     1.   Accedi alla Console di gestione AWS con le credenziali dell'account master AWS Organizations.
     2.   Aprire la console AWS SSO.
     3.   Scegli Enable AWS SSO (Abilita).
     4.   Se non hai ancora configurato AWS Organizations, ti verrà chiesto di creare un'organizzazione. Scegli
          Create AWS organization (Crea organizzazione AWS) per completare il processo.

Seleziona la tua directory
     La scelta di una directory stabilisce se AWS SSO esegue la ricerca di utenti e gruppi che richiedono
     l'accesso a SSO. Per impostazione predefinita, è possibile usufruire di una directory AWS SSO per la
     gestione degli utenti in modo semplice e rapido. Eventualmente, è anche possibile connettere una directory
     AWS Managed Microsoft AD con l'Active Directory locale.

     AWS SSO fornisce agli utenti di questa directory un portale utente personalizzato da cui potranno lanciare
     facilmente più account AWS o applicazioni cloud. Gli utenti eseguono l'accesso al portale utilizzando le loro
     credenziali aziendali o le credenziali impostate in AWS SSO. Una volta effettuato l'accesso, gli utenti hanno
     un accesso rapido a tutte le applicazioni e agli acocunt AWS che hai già autorizzato.

     A seconda del tipo di directory che stai tentando di configurare, segui una delle procedure riportate di
     seguito:

     • Gestione della directory AWS SSO (p. 8)
     • Connessione a Microsoft AD Directory. (p. 11)

     Per ulteriori informazioni sui tipi di directory supportati, consulta Gestione della directory (p. 8).

Configurazione di SSO per gli account AWS
     In questa fase, è possibile concedere agli utenti nella tua directory connessa l'accesso SSO a una
     o più console AWS per account AWS specifici nella tua organizzazione AWS. Successivamente, gli
     utenti possono vedere all'interno del proprio portale utente solo l'icona dell'account AWS (ad esempio,
     Development) che è stato assegnato loro. Quando fanno clic sull'icona, possono quindi scegliere quale
     ruolo IAM utilizzare durante la procedura di accesso alla Console di gestione AWS per quell'account AWS.

     Per iniziare ad assegnare l'accesso SSO agli account AWS, consulta Assegnazione dell'accesso agli
     utenti (p. 17).

Configurazione di SSO per le applicazioni cloud
     A seconda del tipo di applicazione che stai tentando di configurare, segui una delle procedure riportate di
     seguito:

     • Aggiunta e configurazione di un'applicazione cloud (p. 24)

                                                        4
AWS Single Sign-On Guida per l'utente
                         Fase 4: configurare SSO per le applicazioni cloud

• Aggiunta e configurazione di un'applicazione SAML 2.0 personalizzata (p. 25)

Per ulteriori informazioni sui tipi di applicazioni supportati, consulta Gestione dell'accesso SSO alle
applicazioni (p. 22).

Una volta completata la procedura appropriata, avrai configurato AWS SSO correttamente e impostato
l'attendibilità con il provider di servizi. I tuoi utenti possono ora accedere a queste applicazioni dal loro
portale utente in base alle autorizzazioni assegnate.

                                                  5
AWS Single Sign-On Guida per l'utente
                                           Federazione SAML

Comprensione dei concetti chiave di
AWS Single Sign-On
     Potrai ottimizzare l'utilizzo di AWS Single Sign-On se acquisisci familiarità con i concetti chiave relativi alla
     federazione SAML, all'autenticazione degli utenti e alle autorizzazioni IAM.

     Argomenti
      • Federazione SAML (p. 6)
      • Autenticazioni degli utenti (p. 6)
      • Set di autorizzazioni (p. 6)

Federazione SAML
     AWS SSO supporta la federazione delle identità con SAML (Security Assertion Markup Language) 2.0.
     SAML 2.0 è uno standard di settore utilizzato per lo scambio sicuro di asserzioni SAML che trasmettono
     informazioni su un utente tra un'autorità SAML (chiamata provider di identità o IdP) e un consumer SAML
     (chiamato provider di servizi o SP). Il servizio AWS SSO utilizza queste informazioni per fornire un Single
     Sign-On (SSO) federato agli utenti che sono autorizzati a utilizzare le applicazioni all'interno del portale
     utente AWS SSO.

     AWS SSO aggiunge funzionalità IdP SAML a AWS Managed Microsoft AD o alla directory AWS SSO. Gli
     utenti possono quindi eseguire SSO nei servizi che supportano SAML, tra cui la Console di gestione AWS
     e le applicazioni di terze parti, come ad esempio Office 365, Concur e Salesforce. Al momento, AWS SSO
     non supporta altri tipi di directory o di IdP.

Autenticazioni degli utenti
     Quando un utente accede a portale utente utilizzando il proprio nome utente, AWS SSO reindirizza
     la richiesta al servizio di autenticazione AWS SSO in base alla directory associata all'indirizzo e-mail
     dell'utente. Una volta autenticati, gli utenti dispongono dell'accesso SSO a uno degli account AWS e alle
     applicazioni Software-as-a-Service (SaaS) di terze parti che appariranno nel portale senza ulteriori richieste
     di accesso. Questo significa che gli utenti non devono più registrare molte credenziali dell'account per le
     varie applicazioni AWS che utilizzano su base giornaliera.

Set di autorizzazioni
     Un set di autorizzazioni è una raccolta di policy definite dall'amministratore che AWS SSO utilizza per
     determinare le autorizzazioni effettive di un utente e accedere a un account AWS specifico. I set di
     autorizzazioni possono contenere policy gestite da AWS o policy personalizzate archiviate in AWS
     SSO. Le policy sono sostanzialmente documenti che fungono da contenitori per una o più istruzioni di
     autorizzazione. Queste istruzioni rappresentano singoli controlli di accesso (autorizzazione o rifiuto) per
     le varie attività che determinano quali operazioni gli utenti possono o non possono eseguire nell'account
     AWS.

     I set di autorizzazioni vengono archiviati in AWS SSO e vengono utilizzati solo per gli account AWS. Non
     vengono utilizzati per la gestione l'accesso alle applicazioni cloud. I set di autorizzazioni sostanzialmente

                                                       6
AWS Single Sign-On Guida per l'utente
                                   Set di autorizzazioni

vengono creati come ruoli IAM in un determinato account AWS, con policy di attendibilità che consentono
agli utenti di assumere il ruolo tramite AWS SSO.

                                              7
AWS Single Sign-On Guida per l'utente
                                   Gestione della directory AWS SSO

Gestione della directory
    È possibile configurare le directory in AWS SSO per stabilire se gli utenti e i gruppi sono stati archiviati.
    Una volta configurata, è possibile cercare utenti o gruppi nella directory per concedere loro l'accesso SSO
    (Single Sign-On) agli account AWS, alle applicazioni cloud o a entrambi.

    AWS SSO fornisce automaticamente una directory predefinita da utilizzare per gestire i tuoi utenti e gruppi
    all'interno di AWS SSO. Se si decide di archiviare in AWS SSO, è necessario creare utenti e gruppi e
    assegnare loro il livello di accesso agli account e alle applicazioni AWS. In alternativa, è possibile scegliere
    di Connessione di AWS SSO a una Active Directory locale (p. 12) oppure Connessione di AWS SSO a
    una directory AWS Managed Microsoft AD (p. 11) utilizzando AWS Directory Service.
        Note

        AWS SSO non supporta l'uso della directory Simple AD basata su SAMBA4 come directory
        connessa.

    Argomenti
     • Gestione della directory AWS SSO (p. 8)
     • Connessione a Microsoft AD Directory. (p. 11)
     • Cambia il tuo tipo di directory (p. 15)

Gestione della directory AWS SSO
    AWS Single Sign-On fornisce una directory predefinita in cui è possibile archiviare utenti e gruppi. Se si
    decide di memorizzarli in AWS SSO, è sufficiente procedere come segue:

    1. Creazione di utenti e gruppi.
    2. Aggiungi gli utenti come membri dei gruppi.
    3. Assegnare i gruppi con il livello di accesso desiderato agli account e alle applicazioni AWS.

        Note

        Gli utenti e i gruppi creati nella directory AWS SSO sono disponibili solo in AWS SSO.

    Se si preferisce gestire utenti in AWS Managed Microsoft AD, è possibile interrompere l'utilizzo della
    directory AWS SSO in qualsiasi momento e invece connettere AWS SSO a Microsoft AD utilizzando AWS
    Directory Service. Per ulteriori informazioni, consultare Connessione a Microsoft AD Directory. (p. 11).

    Argomenti
     • Aggiungi utenti (p. 8)
     • Aggiungi gruppi (p. 9)
     • Aggiungi utenti ai gruppi (p. 9)
     • Modificare le Proprietà utente (p. 10)
     • Disabilitare un utente (p. 10)
     • Reimpostare la password utente (p. 10)

    Aggiungi utenti
    Utilizzare la procedura seguente per aggiungere utenti alla directory AWS SSO.

                                                     8
AWS Single Sign-On Guida per l'utente
                                         Aggiungi gruppi

Aggiunta di un utente

1.   Aprire la console AWS SSO.
2.   Dal Dashboard (Pannello di controllo), scegli Manage your directory (Gestisci la directory)
3.   Nella pagina Directory, scegliere la scheda Users (Utenti) e quindi scegliere Add user (Aggiungi
     utente).
4.   Nella pagina Add user (Aggiungi utente), fornire le seguenti informazioni necessarie:

     a.   Indirizzo e-mail
     b.   Password – Scegli una delle seguenti opzioni per inviare la password dell'utente.

          i.    Send an email to the user with password setup instructions (Invia un'e-mail all'utente con
                le istruzioni di configurazione della password) – Questa opzione invia automaticamente
                all'utente un'e-mail da Amazon Web Services e invita l'utente per conto della tua azienda ad
                accedere al portale utente AWS SSO.
          ii.   Generate a one-time password that you can share with the user (Genera una password
                temporanea che puoi condividere con l'utente) – Quest'opzione offre i dettagli della password
                e dell'URL del portale utente che possono essere inviati manualmente all'utente dall'indirizzo
                e-mail.
     c.   Nome
     d.   Cognome
     e.   Display name (Nome visualizzato)
                Note

                (Facoltativo) È possibile fornire ulteriori attributi, ad esempio Employee ID (ID impiegato)
                e Office 365 Immutable ID (ID immutabile Office 365) per aiutare a mappare l'identità
                dell'utente in AWS SSO con alcune applicazioni aziendali che l'utente deve utilizzare.
5.   Selezionare Next: Groups.
6.   Selezionare uno o più gruppi di cui si desidera che l'utente sia membro, quindi scegliere Add user
     (Aggiungi utente).

Aggiungi gruppi
Utilizzare la procedura seguente per aggiungere gruppi alla directory AWS SSO.

Per aggiungere un gruppo

1.   Aprire la console AWS SSO.
2.   Dal Dashboard (Pannello di controllo), scegli Manage your directory (Gestisci la directory)
3.   Nella pagina Directory, scegliere la scheda Groups (Gruppi), quindi scegliere Create group (Crea
     gruppo).
4.   Nella finestra di dialogo Create group (Crea gruppo), immettere un Group name (Nome di gruppo) e
     una Description (Descrizione). La descrizione deve fornire dettagli sulle autorizzazioni assegnate (o
     che saranno assegnate) al gruppo.
5.   Scegliere Create (Crea).

Aggiungi utenti ai gruppi
Utilizzare la procedura seguente per aggiungere utenti come membri di un gruppo creato in precedenza
nella directory AWS SSO.

                                                   9
AWS Single Sign-On Guida per l'utente
                                 Modificare le Proprietà utente

Per aggiungere un utente come membro di un gruppo

1.   Aprire la console AWS SSO.
2.   Dal Dashboard (Pannello di controllo), scegli Manage your directory (Gestisci la directory)
3.   Nella pagina Directory, scegliere la scheda Groups (Gruppi), quindi scegliere un gruppo dall'elenco.
4.   Nella pagina dei Details (Dettagli) del gruppo, in Group members (Membri gruppo), scegliere Add
     users (Aggiungi utenti).
5.   Nella pagina Add users to group (Aggiungi utenti al gruppo), individuare gli utenti che si desidera
     aggiungere come membri. Selezionare quindi la casella di controllo di ciascuno di essi.
6.   Scegliere Add user (Aggiungi utente).

Modificare le Proprietà utente
Utilizzare la procedura seguente per modificare le proprietà di un utente nella directory AWS SSO.

Per modificare le proprietà utente

1.   Aprire la console AWS SSO.
2.   Dal Dashboard (Pannello di controllo), scegli Manage your directory (Gestisci la directory)
3.   Nella pagina Directory, scegliere la scheda Users (Utenti), quindi scegliere l'utente che si desidera
     modificare.
4.   Nella pagina Details (Dettagli) dell'utente scegliere Edit user (Modifica utente).
5.   Nella pagina Edit user details (Modifica dettagli utente) eseguire gli aggiornamenti alle proprietà in
     base alle esigenze, quindi scegliere Save changes (Salva modifiche).
         Note

         (Facoltativo) È possibile modificare ulteriori attributi, ad esempio Employee ID (ID impiegato)
         e Office 365 Immutable ID (ID immutabile Office 365) per aiutare a mappare l'identità
         dell'utente in AWS SSO con alcune applicazioni aziendali che gli utenti devono utilizzare.

Disabilitare un utente
Quando si disabilita un utente, non è possibile modificare i dettagli dell'utente, reimpostare la loro
password, aggiungere l'utente a un gruppo o visualizzare i loro gruppi di appartenenza. Utilizzare la
procedura seguente per disabilitare un utente nella directory AWS SSO.

Per disabilitare un utente

1.   Aprire la console AWS SSO.
2.   Dal Dashboard (Pannello di controllo), scegli Manage your directory (Gestisci la directory)
3.   Nella pagina Directory, scegliere la scheda Users (Utenti), quindi scegliere l'utente che si desidera
     disabilitare.
4.   Nella finestra di dialogo Disable user (Disabilita utente), seleziona Disable user (Disabilita utente).
         Note

         Disabilitandolo, si impedisce all'utente di effettuare l'accesso al portale utente.

Reimpostare la password utente
Utilizzare la procedura seguente per reimpostare la password di un utente nella directory AWS SSO.

                                                 10
AWS Single Sign-On Guida per l'utente
                                 Connessione a Microsoft AD Directory.

    Per reimpostare la password di un utente

    1.   Aprire la console AWS SSO.
    2.   Dal Dashboard (Pannello di controllo), scegli Manage your directory (Gestisci la directory)
    3.   Nella pagina Directory, scegliere la scheda Users (Utenti), quindi scegliere l'utente la cui password
         deve essere reimpostata.
    4.   Nella finestra di dialogo Reset password (Reimposta password), selezionare una delle seguenti
         opzioni, quindi scegliere Reset password (Reimposta password):

         a.   Send an email to the user with password setup instructions (Invia un'e-mail all'utente con le
              istruzioni per reimpostare la password) – Questa opzione invia automaticamente all'utente un'e-
              mail da Amazon Web Services per guidarli nella fase di reimpostazione della propria password.
         b.   Generate a one-time password that you can share with the user (Genera una password
              temporanea da condividere con l'utente) – Quest'opzione offre i dettagli della password che
              possono essere inviati manualmente all'utente dall'indirizzo e-mail.

Connessione a Microsoft AD Directory.
    AWS Single Sign-On consente agli amministratori di connettersi alla propria Active Directory (AD) o
    directory AWS Managed Microsoft AD in locale utilizzando AWS Directory Service. Questa directory
    Microsoft AD definisce il pool di identità da cui gli amministratori possono eseguire l'estrazione quando
    utilizzano la console AWS SSO per assegnare l'accesso Single Sign-On (SSO). Dopo aver collegato la
    propria directory aziendale a AWS SSO, gli amministratori possono concedere ai propri utenti o gruppi di
    AD l'accesso agli account AWS, alle applicazioni cloud o a entrambi.

    AWS Directory Service consente di configurare ed eseguire una directory AWS Managed Microsoft AD
    standalone in hosting nel Cloud AWS. Puoi anche utilizzare AWS Directory Service per collegare le tue
    risorse AWS a una Microsoft Active Directory in locale già esistente. Per configurare AWS Directory Service
    in modo che funzioni con la tua Active Directory locale, devi prima configurare le relazioni di trust per
    estendere l'autenticazione da locale al cloud.
         Note

         AWS SSO non supporta l'uso della directory Simple AD basata su SAMBA4 come directory
         connessa.

    Argomenti
     • Connessione di AWS SSO a una directory AWS Managed Microsoft AD (p. 11)
     • Connessione di AWS SSO a una Active Directory locale (p. 12)
     • Mappature degli attributi (p. 12)

    Connessione di AWS SSO a una directory AWS
    Managed Microsoft AD
    Usa la procedura seguente per connettere una directory AWS Managed Microsoft AD gestita da AWS
    Directory Service a AWS SSO.

    Per connettere AWS SSO a AWS Managed Microsoft AD

    1.   Aprire la console AWS SSO.

                                                    11
AWS Single Sign-On Guida per l'utente
                       Connessione di AWS SSO a una Active Directory locale

            Note

            Verifica che la console AWS SSO stia utilizzando una delle stesse regioni in cui si trova la
            directory AWS Managed Microsoft AD prima di passare alla fase successiva.
2.   Dal Dashboard (Pannello di controllo), scegli Manage your directory (Gestisci la directory)
3.   Nella pagina Directory eseguire queste operazioni:

     a.     In Available directories (Directory disponibili), selezionare la directory AWS Managed Microsoft AD
            a cui vuoi che AWS SSO si connetta.
     b.     In User portal URL (URL portale utente) inserire il prefisso da utilizzare per l'URL di accesso al
            portale utente.
4.   Scegli Connect directory (Connetti directory).

Connessione di AWS SSO a una Active Directory
locale
Gli utenti nella Active Directory in locale possono anche avere l'accesso SSO agli account AWS e alle
applicazioni cloud nel portale utente di AWS SSO. Per fare ciò, AWS Directory Service ha le seguenti due
opzioni disponibili:

• Create a two-way trust relationship (Crea una relazione di trust bidirezionale)–: le relazioni di trust
  bidirezionali create tra AWS Managed Microsoft AD e una Active Directory locale consentono agli
  utenti locali di accedere con le proprie credenziali aziendali a diversi servizi e applicazioni aziendali
  di AWS. Le relazioni di trust unidirezionale non funzionano con AWS SSO. Per ulteriori informazioni
  sulla configurazione di un trust bidirezionale, consulta Quando creare una relazione di trust nella AWS
  Directory Service Administration Guide.
• Create an AD Connector (Crea un)–AD Connector: è un gateway di directory in grado di reindirizzare
  le richieste di directory a una Active Directory locale esistente senza caricare informazioni nella cache
  nel cloud. Per ulteriori informazioni, consulta Connessione a una directory nella AWS Directory Service
  Administration Guide.
          Note

          AWS SSO non funziona con le directory Simple AD basate su SAMBA4.

Mappature degli attributi
I mapping degli attributi vengono utilizzati per mappare i tipi di attributo esistenti in AWS SSO con attributi
simili in una directory AWS Managed Microsoft AD. AWS SSO recupera gli attributi utente dalla directory
Microsoft AD e li mappa agli attributi AWS SSO degli utenti. Queste mappature degli attributi utente AWS
SSO vengono inoltre utilizzate per generare asserzioni SAML per le applicazioni cloud. Ogni applicazione
cloud determina l'elenco degli attributi SAML necessari per eseguire correttamente il Single Sign On.

AWS SSO inserisce un set di attributi nella schedaAttribute mappings (Mappatura attributi) situata
nella pagina di configurazione dell'applicazione. AWS SSO utilizza questi attributi utente per compilare
asserzioni SAML (come attributi SAML) che vengono inviate all'applicazione cloud. Questi attributi utente
vengono quindi recuperati dalla directory Microsoft AD. Per ulteriori informazioni, consulta Mappatura degli
attributi dell'applicazione agli attributi AWS SSO (p. 28).

Inoltre, AWS SSO gestisce automaticamente un set di attributi nella sezione Attribute mappings (Mappature
attributi) della pagina di configurazione della directory. Per ulteriori informazioni, consulta Mappatura di
attributi in AWS SSO ad attributi nella directory AWS Managed Microsoft AD (p. 14).

                                                   12
AWS Single Sign-On Guida per l'utente
                                    Mappature degli attributi

Attributi di directory supportati
La tabella che segue fornisce un elenco completo degli attributi della directory AWS Managed Microsoft AD
supportati e che possono essere mappati agli attributi utente in AWS SSO.

 Attributi supportati nella directory Microsoft AD

 ${dir:email}

 ${dir:displayname}

 ${dir:distinguishedName}

 ${dir:firstname}

 ${dir:guid}

 ${dir:initials}

 ${dir:lastname}

 ${dir:proxyAddresses}

 ${dir:proxyAddresses:smtp}

 ${dir:proxyAddresses:SMTP}

 ${dir:windowsUpn}

Puoi specificare qualsiasi combinazione di attributi supportati per la directory Microsoft AD per
eseguire la mappatura a un singolo attributo in AWS SSO. Ad esempio, potresti scegliere l'attributo
preferredUsername nella colonna User attribute in AWS SSO (Attributo utente in), quindi mapparlo a
${dir:displayname} o ${dir:lastname}${dir:firstname }, oppure a qualsiasi singolo attributo
supportato o a qualsiasi combinazione arbitraria di attributi supportati.

Attributi AWS SSO supportati
La tabella che segue fornisce un elenco completo degli attributi AWS SSO supportati che possono essere
mappati agli attributi utente nella directory AWS Managed Microsoft AD. In seguito, quando configuri le
mappature degli attributi dell'applicazione, sarai in grado di utilizzare questi stessi attributi AWS SSO per
eseguire la mappatura agli attributi effettivamente utilizzati dall'applicazione.

 Attributi supportati in AWS SSO

 ${user:AD_GUID}

 ${user:email}

 ${user:familyName}

 ${user:firstName}

 ${user:middleName}

 ${user:name}

 ${user:preferredUsername}

 ${user:subject}

                                                 13
AWS Single Sign-On Guida per l'utente
                                   Mappature degli attributi

Mappature predefinite
La tabella che segue mostra le mappature predefinite degli attributi utente in AWS SSO agli attributi utenti
nella directory AWS Managed Microsoft AD. Al momento, AWS SSO supporta solo l'elenco degli attributi
mostrato nella colonna User attribute in AWS SSO (Attributo utente in).

 Attributo utente in AWS SSO                            Esegue la mappatura a questo attributo nella
                                                        directory Microsoft AD

 AD_GUID                                                ${dir:guid}

 email                                                  ${dir:windowsUpn}

 familyName                                             ${dir:lastname}

 givenName                                              ${dir:firstname}

 middleName                                             ${dir:initials}

 name                                                   ${dir:displayname}

 preferredUsername                                      ${dir:displayname}

 subject                                                ${dir:windowsUpn}

Puoi modificare le mappature predefinite o aggiungere ulteriori attributi all'asserzione SAML in base alle
esigenze. Ad esempio, se la tua applicazione cloud richiede di specificare l'indirizzo email degli utenti
nell'attributo SAML User.Email e le e-mail vengono archiviate nell'attributo windowsUpn della directory
Microsoft AD, per ottenere questa mappatura, devi apportare modifiche alle due posizioni seguenti nella
console AWS SSO:

1. Nella pagina Directory, nella sezione Attribute mappings (Mappature attributi), devi mappare l'attributo
   utente email all'attributo ${dir:windowsUpn} nella colonna Maps to this attribute in your directory
   (Esegue la mappatura a questo attributo nella directory)
2. Nella pagina Applications (Applicazioni), scegli l'applicazione dalla tabella, scegli la scheda
   Attribute mappings (Mappature attributi), quindi devi mappare l'attributo User.Email all'attributo
   ${user:email} (nella colonna Maps to this string value or user attribute in AWS SSO (Esegue la
   mappatura a questo valore di stringa o attributo utente in)).

Da notare che è necessario fornire ciascun attributo di directory nel formato ${dir:AttributeName}. Ad
esempio, l'attributo firstname nella directory Microsoft AD diventa ${dir:firstname}. È importante
che a ogni attributo di directory venga assegnato un valore effettivo. La mancanza negli attributi di un
valore dopo ${dir: causerà problemi di accesso all'utente.

Mappatura di attributi in AWS SSO ad attributi nella directory
AWS Managed Microsoft AD
Puoi utilizzare la procedura seguente per specificare in che modo gli attributi degli utenti in AWS SSO
devono essere mappati agli attributi corrispondenti nella directory Microsoft AD.

Mappatura di attributi in AWS SSO ad attributi nella directory

1.   Aprire la console AWS SSO.
2.   Scegli Connected directory (Directory connessa).

                                               14
AWS Single Sign-On Guida per l'utente
                                     Cambia il tuo tipo di directory

     3.   In Attribute mappings (Mappature attributi), scegli Edit attribute mappings (Modifica mappature
          attributi).
     4.   Nella pagina Edit attribute mappings (Modifica mappature attributi), trova l'attributo in AWS SSO che
          vuoi mappare, quindi digita un valore nella casella di testo. Ad esempio, puoi mappare l'attributo
          dell'utente AWS SSO email all'attributo della directory Microsoft AD ${dir:windowsUpn}.
     5.   Seleziona Save changes (Salva modifiche).

Cambia il tuo tipo di directory
     Puoi modificare dove archiviare gli utenti in qualsiasi momento. Utilizza la procedura seguente per passare
     da una directory fornita da AWS SSO (questa è l'impostazione predefinita) a una directory AWS Managed
     Microsoft AD o viceversa.

     Per modificare il tipo di directory

     1.   Aprire la console AWS SSO.
     2.   Dal Dashboard (Pannello di controllo), scegli Manage your directory (Gestisci la directory)
     3.   Nella pagina Directory, selezionare Change directory (Cambia directory).
     4.   Nella pagina Change directory (Cambia directory), selezionare la directory a cui si desidera passare,
          quindi scegliere Next (Successivo). Se si desidera passare a una directory Microsoft Active, è
          necessario scegliere la directory disponibile dal menu fornito.
              Important

             La modifica di una directory rimuove tutti gli incarichi utente precedentemente assegnati. È
             necessario riapplicarli manualmente una volta modificata la directory.
     5.   Scegli Next:Review (Successivo:Rivedi).
     6.   Dopo aver letto la liberatoria e quando sei pronto per procedere, digita CONFIRM (CONFERMA).
     7.   Scegliere Finish (Fine).

                                                    15
AWS Single Sign-On Guida per l'utente
                                       Accesso Single Sign-On

Gestione di SSO per gli account AWS
    AWS Single Sign-On è integrato con AWS Organizations per consentire agli amministratori di scegliere
    più account AWS i cui utenti necessitano dell'accesso Single Sign-On (SSO) alla Console di gestione
    AWS. Questi account AWS possono essere l'account principale di AWS Organizations o un account
    membro. Un account master è un account AWS usato per creare l'organizzazione. Il resto dell'account
    che appartengono a un'organizzazione sono denominati account membri. Per ulteriori informazioni sui
    vari tipi di account, consulta Concetti e terminologia di AWS Organizations nella Guida per l'utente di AWS
    Organizations.

    Una volta assegnato l'accesso dalla console AWS SSO, puoi utilizzare i set di autorizzazioni per ottimizzare
    le operazioni nella Console di gestione AWS consentite per gli utenti. Per ulteriori informazioni sui set di
    autorizzazioni, consulta Set di autorizzazioni (p. 18).

    Gli utenti seguono un semplice processo di accesso:

    1. Usano le proprie credenziali di directory per accedere al portale a loro dedicato.
    2. Quindi scelgono il nome dell'account AWS che offre loro l'accesso federato alla Console di gestione
       AWS per tale account.
    3. Gli utenti a cui sono assegnati più set di autorizzazioni scelgono il ruolo IAM da utilizzare.

    I set di autorizzazioni sono un modo per definire le autorizzazioni centralmente in AWS SSO in modo che
    possano essere applicate a tutti gli account AWS. Tali set di autorizzazioni vengono assegnati a ogni
    account AWS come ruolo IAM. Il portale utente consente agli utenti di recuperare credenziali temporanee
    per il ruolo IAM di un determinato account AWS in modo che possano utilizzarlo per l'accesso a breve
    termine all'interfaccia a riga di comando AWS. Per ulteriori informazioni, consulta Come ottenere le
    credenziali di un ruolo IAM da utilizzare con CLI Access per un account AWS (p. 44).

    Per usare AWS SSO con AWS Organizations, devi innanzitutto Abilitazione di AWS SSO (p. 3), per
    concedere a AWS SSO la possibilità di creare Ruoli collegati ai servizi (p. 21) in ogni account
    nell'organizzazione AWS. Questi ruoli non vengono creati finché non esegui l'Assegnazione dell'accesso
    agli utenti (p. 17) per un determinato account.

    È inoltre possibile connettere un account AWS che non fa parte della tua organizzazione configurandolo
    come un'applicazione SAML personalizzata in AWS SSO. In questo scenario, puoi predisporre e gestire
    i ruoli IAM e le relazioni di trust necessari per abilitare l'accesso SSO. Per ulteriori informazioni su
    come effettuare tale operazione, consultare Aggiunta e configurazione di un'applicazione SAML 2.0
    personalizzata (p. 25).

    Argomenti
     • Accesso Single Sign-On (p. 16)
     • Set di autorizzazioni (p. 18)
     • Provider di identità IAM (p. 20)
     • Ruoli collegati ai servizi (p. 21)

Accesso Single Sign-On
    È possibile assegnare gli utenti nelle autorizzazioni della directory connessa agli account membro o
    master AWS nell'organizzazione AWS Organizations in base alle comuni funzioni di lavoro. In alternativa,
    è possibile utilizzare autorizzazioni personalizzate per soddisfare i requisiti specifici di sicurezza. Ad
    esempio, è possibile concedere agli amministratori del database ampie autorizzazioni per Amazon RDS

                                                     16
AWS Single Sign-On Guida per l'utente
                              Assegnazione dell'accesso agli utenti

negli account di sviluppo, ma limitare le autorizzazioni negli account di produzione. AWS SSO configura
tutte le autorizzazioni utente necessarie negli account AWS automaticamente.
     Note

     Solo l'utente root dell'account IAM o un utente che utilizza la policy IAM collegata
     AWSSSOMasterAccountAdministrator è in grado di concedere agli utenti nella directory
     connessa autorizzazioni per l'account master AWS. Per ulteriori informazioni su come delegare
     tali autorizzazioni, consulta Delega chi può assegnare l'accesso SSO agli utenti nell'account
     master (p. 18).

Assegnazione dell'accesso agli utenti
Usa la procedura seguente per assegnare l'accesso SSO a utenti e gruppi nella directory connessa e
utilizzare i set di autorizzazioni per determinarne il livello di accesso.
     Note

     Per semplificare l'amministrazione delle autorizzazioni di accesso, ti consigliamo di assegnare
     l'accesso direttamente ai gruppi anziché ai singoli utenti. I gruppi ti consentono di concedere o
     negare autorizzazioni a più utenti senza dover applicare tali autorizzazioni a ogni singola persona.
     Se un utente passa a un'altra organizzazione, devi solo spostare tale utente in un altro gruppo
     affinché riceva automaticamente le autorizzazioni necessarie per la nuova organizzazione.

Per assegnare l'accesso a utenti o gruppi

1.   Aprire la console AWS SSO.
         Note

         Prima di passare alla fase successiva, verifica che la console AWS SSO stia utilizzando la
         regione US East (N. Virginia) (us-east-1) in cui si trova la directory AWS Managed Microsoft
         AD.
2.   Seleziona AWS accounts (Account).
3.   Nella scheda AWS organization (Organizzazione), nell'elenco degli account AWS, scegli un account a
     cui vuoi assegnare l'accesso.
4.   Nella pagina dei dettagli dell'account AWS, scegli Assign users (Assegna utenti).
5.   Nella pagina Select users or groups (Seleziona utenti o gruppi) inserisci un nome di utente o gruppo
     e scegli Search connected directory (Cerca directory connessa). Una volta selezionati tutti gli account
     a cui vuoi assegnare l'accesso, scegli Next: Permission sets (Successivo: set di autorizzazioni). Puoi
     specificare più utenti o gruppi selezionando gli account applicabili come vengono visualizzati nei
     risultati della ricerca.
6.   Nella pagina Select permission sets (Seleziona set di autorizzazioni) seleziona il set di autorizzazioni
     che vuoi applicare all'utente o al gruppo dalla tabella. Quindi scegli Finish (Fine). Se nessuna
     delle autorizzazioni nella tabella soddisfa le tue esigenze, puoi scegliere Create a new permission
     set (Crea un nuovo set di autorizzazioni). Per istruzioni dettagliate, consulta Creazione di set di
     autorizzazioni (p. 19).
7.   Scegli Finish (Fine) per avviare il processo di configurazione dell'account AWS.
         Note

         Se è la prima volta che assegni l'accesso SSO a questo account AWS, questo processo crea
         un ruolo collegato al servizio nell'account. Per ulteriori informazioni, consulta Utilizzo di ruoli
         collegati ai servizi per AWS SSO (p. 39).
         Important

         Il completamento del processo di assegnazione agli utenti potrebbe richiedere alcuni minuti. È
         importante lasciare aperta questa pagina finché il processo non viene completato.

                                                 17
AWS Single Sign-On Guida per l'utente
                                   Rimozione dell'accesso degli utenti

     Rimozione dell'accesso degli utenti
     Usa questa procedura per rimuovere l'accesso SSO a un account AWS per un determinato utente o gruppo
     nella directory connessa.

     Per rimuovere l'accesso dell'utente da un account AWS

     1.   Aprire la console AWS SSO.
     2.   Seleziona AWS accounts (Account).
     3.   Nella tabella seleziona l'account AWS con l'utente o il gruppo di cui vuoi rimuovere l'accesso.
     4.   Nella pagina Details (Dettagli) per l'account AWS, sotto Assigned users and groups (Utenti e gruppi
          assegnati), individua l'utente o il gruppo nella tabella. Scegli quindi Remove access (Rimuovi accesso).
     5.   Nella finestra di dialogo Remove access (Rimuovi accesso) conferma il nome dell'utente o del gruppo.
          Scegli quindi Remove access (Rimuovi accesso).

     Delega chi può assegnare l'accesso SSO agli utenti
     nell'account master
     L'assegnazione dell'accesso Single Sign-On all'account master utilizzando la console AWS SSO è
     un'azione privilegiata. Per impostazione predefinita, solo un utente root dell'account AWS o un utente
     che ha la policy gestita collegata AWSSSOMasterAccountAdministrator di AWS può assegnare l'accesso
     SSO all'account master. AWSSSOMasterAccountAdministrator fornisce l'accesso SSO all'account master
     all'interno di un'organizzazione AWS Organizations.

     Utilizzare la procedura seguente per delegare le autorizzazioni per gestire l'accesso SSO agli utenti nella
     directory.

     Per concedere le autorizzazioni per gestire l'accesso SSO agli utenti nella directory

     1.   Accedi alla console AWS SSO come utente root dell'account master o con un altro utente IAM con
          autorizzazioni di amministratore IAM per l'account master.
     2.   Utilizzare la procedura Creazione di set di autorizzazioni (p. 19) per creare un set di autorizzazioni.
          Quando si arriva al passo 5c, selezionare l'opzione Attach AWS managed policies (Collega le policy
          gestite). In un elenco di policy IAM che appaiono nella tabella, scegliere la policy gestita AWS
          AWSSSOMasterAccountAdministrator. Questa policy concede autorizzazioni a qualsiasi utente a cui
          verrà assegnato l'accesso a questo set di autorizzazioni in futuro.
     3.   Utilizza la procedura Assegnazione dell'accesso agli utenti (p. 17) per assegnare gli utenti
          appropriati al set di autorizzazioni creato.
     4.   Comunicare quanto segue agli utenti assegnati: quando effettuano l'accesso al portale utente
          e selezionano l'icona AWSAccount, devono scegliere il nome del ruolo IAM appropriato per
          l'autenticazione con le autorizzazioni appena delegate.

Set di autorizzazioni
     I set di autorizzazioni definiscono il livello di accesso degli utenti e dei gruppi per un account AWS. I
     set di autorizzazioni vengono archiviati in AWS SSO e assegnati all'account AWS come ruoli IAM. Puoi
     assegnare più set di autorizzazioni a un utente. Gli utenti che dispongono di più set di autorizzazioni
     devono sceglierne uno quando accedono al portale utente. I set di autorizzazioni saranno visualizzati come
     ruoli IAM. Per ulteriori informazioni, consulta Set di autorizzazioni (p. 6).

                                                     18
Puoi anche leggere
DIAPOSITIVE SUCCESSIVE ... Annulla