{"id":149,"date":"2017-04-07T14:28:30","date_gmt":"2017-04-07T12:28:30","guid":{"rendered":"https:\/\/blog.besharp.it\/?p=149"},"modified":"2022-07-21T15:12:37","modified_gmt":"2022-07-21T13:12:37","slug":"single-sign-on-con-g-suite-sulla-console-di-amazon-web-services","status":"publish","type":"post","link":"https:\/\/blog.besharp.it\/it\/single-sign-on-con-g-suite-sulla-console-di-amazon-web-services\/","title":{"rendered":"Single-sign-on con G Suite sulla console di Amazon Web Services."},"content":{"rendered":"
Chi, tra gli utilizzatori della console di AWS non si \u00e8 mai scontrato con l\u2019annoso problema di gestire molteplici utenti su altrettanti account<\/strong>, dovendo creare diversi IAM user e, per ognuno di essi, password complesse, oltre alla quanto mai fondamentale (ma decisamente scomoda, diciamoci la verit\u00e0) two-factor-authentication<\/strong>?<\/p>\n Proprio riguardo a quest\u2019ultima, dando per scontato che non si voglia utilizzare un token hardware dedicato per ogni singolo IAM user, la scelta ricade quasi obbligatoriamente sul Google Authenticator<\/strong><\/a>, con codici e QR code che proliferano come funghi e che diventa complicato salvaguardare da eventi nefasti legati allo smartphone (furti, smarrimenti, rotture, backup, cambio device\u2026)<\/p>\n AWS in realt\u00e0 offrirebbe un servizio di cross-account access<\/strong><\/a> per la sua management console, che ha per\u00f2 diversi limiti, tra i quali:<\/p>\n La risposta pi\u00f9 consona alla necessit\u00e0 di gestire centralmente utenti e accessi, per AWS cos\u00ec come per la stragrande maggioranza delle applicazioni che necessitano autenticazione multi-utente, si chiama \u00a0Single-sign-on<\/strong>\u00a0(SSO).<\/p>\n Tipicamente, il meccanismo del SSO si basa su un\u00a0Identity Provider<\/strong><\/a> (un repository centralizzato di tutte le identit\u00e0 aziendali con relativi attributi \u2013 username, password, gruppi, ruoli ecc\u2026) e una serie di Service Provider<\/strong> (le applicazioni dove gli utenti si possono loggare con le loro identit\u00e0 aziendali) che vengono federati all’Identity Provider con relazioni di trust<\/em> forte<\/strong>, basate tipicamente sulla condivisione di chiavi, certificati o token<\/strong>. In questo modo gli utenti possono utilizzare un\u2019unica utenza (e quindi una sola password e una singola TFA), gestita in maniera centralizzata, per loggarsi in tutte le applicazioni per le quali sono stati abilitati.<\/p>\n Se i Service Provider possono essere le applicazioni pi\u00f9 disparate (Web, desktop, mobile, accesso remoto, CLI, API ecc\u2026.), gli Identity Provider sono quasi sempre dei server LDAP<\/a> o Microsoft Active Directory<\/a><\/strong>. In particolare MS AD \u00e8 lo standard de facto nella maggior parte delle aziende pi\u00f9 strutturate per la gestione delle identit\u00e0 aziendali, ed \u00e8 infatti supportato di default da tutte le applicazioni che prevedano la possibilit\u00e0 di fare SSO.<\/p>\n Tuttavia non \u00e8 cos\u00ec comune trovare implementata un\u2019infrastruttura MS AD<\/strong> (ma il discorso vale in parte anche per LDAP), in particolar modo nelle realt\u00e0 pi\u00f9 piccole o giovani e agili, per ragioni che spaziano dai costi alla complessit\u00e0 di gestione<\/strong> (specie se si necessita del servizio di AD erogato in alta affidabilit\u00e0), senza trascurare il fatto che MS AD \u00e8 tipico di realt\u00e0 Microsoft-centriche (quasi tutte le grandi aziende legacy) ed \u00e8 quindi meno diffuso dove il parco client \u00e8 pi\u00f9 eterogeneo (Windows+Mac+Linux\u2026).<\/p>\n Una tendenza molto diffusa in realt\u00e0 \u00e8 quella di utilizzare come Identity Provider l\u2019account Google Apps (da poco rinominato in G Suite<\/a>) aziendale, servizio ampiamente diffuso e largamente utilizzato per le funzionalit\u00e0 di posta elettronica e colaboration. In questo modo si pu\u00f2 fare SSO sulle numerosissime applicazioni che gi\u00e0 nativamente supportano la funzione \u201clogin with Google\u201d<\/strong>, ma anche su quelle (come \u00e8 il caso della console di AWS) che supportano lo standard SAML<\/strong><\/a>, standard per il quale da circa un anno G Suite eroga il servizio di Identity Provider.<\/p>\n\n
il limite massimo di 5 account AWS gestiti;<\/del> [UPDATE: il limite \u00e8 stato rimosso :)]<\/strong><\/li>\n