Fala pessoal, tudo bem com vocês? Dessa vez venho com objetivo de demonstrar como funciona o processo de autenticação na Amazon AWS por meio do protocolo SAML com o Google G Suite. Um dos principais motivadores de fazer essa integração é minimizar alguns riscos de segurança da informação como, por exemplo, acesso indevido de ex-funcionários decorrente do uso de usuários descentralizados dificultando ainda mais a gestão dos acessos.
- Configuração do campo adicional no Google G Suite
O primeiro passo para fazer essa integração é acessar o painel do Google G Suite com privilégios administrativos e clique no ícone User e depois More e Manage custom attributes
Feito isso, agora clique no canto superior direto em Add Custom Attribute e insira as informações necessárias. Para efeitos de exemplo, deixei as informações como Category e Description como Amazon AWS e no campo considere Role e seu valor Text e Visible to user and admin.
2. Configuração e geração do certificado SAML no Google G Suite
Depois disso, na console de administração Google Admin, clique na opção Apps .
Em seguida, clique na opção SAML apps
Seguindo a configuração, você deve clicar no botão amarelo no canto inferior direto para criação de uma novo SAML. Clique na opção Setup My Own Custom App
Uma nova tela será apresentada com o certificado gerado pelo Google G Suite e o Idp metadata ( o arquivo Idp deverá ser importado na Amazon AWS posteriormente) e você deverá fazer o download desse último arquivo.
Na próxima etapa você deve configurar o mapeamento das informações entre Google G Suite x Amazon AWS. As informações que vamos mapear inicialmente são:
- Role – https://aws.amazon.com/SAML/Attributes/Role
- Primary email – https://amazon.com.br/SAML/Attributes/RoleSessionName
IMPORTANTE: Não se esqueça de validar se o SAML está ativado (ON) para todos os colaboradores e/ou OU daqueles que devem acessar a Amazon AWS
Agora a parte de configurar o SAML no Google G Suite está pronto e precisamos iniciar a configuração na Amazon AWS.
3. Configuração e upload do certificado SAML na Amazon AWS
Acesse a console de administração da Amazon AWS e acesse o menu IAM para configurar os acessos.
Depois, será necessário criar uma Role para configurar o que os usuários deverão ter acesso na AWS. Para isso clique na opção no lado esquerdo Create role.
Após clicar no botão destacado, você deve selecionar qual tipo de entidade confiável deve ser escolhida. Para título de exemplo, escolhe AWS service e EC2 para criação da role.
Depois, você precisa escolher qual policy a ser atrelado a nova role criada. Nesse exemplo, vamos adotar a policy AdministratorAccess.
Depois insira a(s) tag(s), opcional, nome e descrição da nova role. Ao final, você precisa anotar o Role ARN, pois essa informação será utilizada posteriormente no Google G Suite.
Agora, você precisa criar o Identity providers e fazer o upload do ldp metadata na Amazon AWS. Para isso, acesse a opção Identity providers no canto esquerdo do menu principal do IAM.
Selecione a opção SAML no Provider Type e insira o Provider Name para identificar a integração. Depois, clique no botão e selecione o ldp metadata que exportamos anteriormente.
Confirme as informação na próxima etapa e ao final será gerado um provider ARN (que também será utilizado no Google G Suite).
4. Associando a Role ARN + Provider ARN com os usuários no Google G Suite
Diante da Role ARN e Provider ARN, precisamos vincular essa informação com os usuários no painel de adminstração no Google G Suite Acesse o painel e clique na opção Users para visualizar as informações dos usuarios.
Depois, clique no ícone v no canto direito para acessar as informações do usuário escolhido
Depois, você precisa encontrar o campo criado anteriormente com o nome Amazon AWS e editar o campo Role com as informações da seguinte forma:
Role ARN, Provider ARN
Lembrando que os campos devem ser separados por vírgula para que funcione corretamente.
Feito isso, você verá que a opção de autenticação via SAML irá estar disponível nas opções do Google ao clicar no canto superior direito. Na imagem abaixo, o usuário deverá clicar no ícone com o nome Amazon …
Pronto, o seu usuário está com acesso configurado para AWS SSO através da configuração via SAML.
Caso você queira que um usuário tenha acesso a mais de uma conta na AWS, você precisa adicionar uma nova role no Google G Suite e ao tentar o acesso na Amazon AWS você deverá escolher qual conta gostaria de acessar
WoW! Agora o seu acesso a Amazon AWS com autenticação via SAML no Google G Suite está configurado e pronto para ser utilizado pelos seus colaboradores.
Informações sobre o autor
Dennis Silva é Arquiteto de Segurança da Informação com +10 anos trabalhando com Tecnologia da Informação e iniciou sua carreira em uma das Big Four como auditoria de sistemas.
Trabalhou como Coordenador de Segurança da Informação na maior empresa de desenvolvimento de software na América Latina. Anteriormente, atuou como consultor de Segurança da Informação e seu objetivo principal era identificar e avaliar os riscos de Segurança da Informação inerentes ao negócio e identificar os controles existentes através de testes de invasão na infraestrutura interna/externa, aplicações Web e ERPs com SAP e TOTVS.
Responsável pela implementação da certificação ISO/EIC 27001:2013 na maior empresa de desenvolvimento de software da América Latina, potencializando a principal oferta de comercialização do software em nuvem como serviço (SaaS) em datacenter próprio.