Skip to main content

Featured

Novo recurso no Microsoft Entra ID: desativar App Registration sem excluir

O Microsoft Entra ID agora permite desativar uma App Registration de forma reversível, sem precisar excluí-la do tenant.  Além de uma maneira de obter maior controle operacional, menor superfície de ataque e maior maturidade em identidade corporativa, esse recurso proporciona segurança, sem que haja  perca de configurações e permissões de aplicações que podem voltar a serem utilizadas. Antes dessa funcionalidade, administradores precisavam optar entre manter o aplicativo ativo durante uma investigação ou removê-lo completamente, o que implicava perda de histórico, permissões de API e configurações. Agora é possível interromper o acesso sem destruir o objeto. O que acontece ao desativar um aplicativo Quando uma App Registration é desativada, n ovos tokens deixam de ser emitidos, u suários não conseguem autenticar, a  aplicação não consegue acessar APIs usando novos tokens e o  Service Principal passa a ter o atributo isDisabled definido como true Se houver tentativa ...
Post a Comment
Read more

Como integrar Microsoft Entra ID com AWS IAM / Identity Center: abordagem prática e estratégica


Na era das arquiteturas híbridas e multicloud, muitas organizações buscam consolidar identidades e melhorar a experiência de autenticação entre plataformas diferentes. A integração entre o Microsoft Entra ID (o novo nome para o que era Azure AD) e os mecanismos de identidade da AWS (como o IAM Identity Center) é uma das estratégias mais relevantes para quem já opera em ambos os mundos. Este artigo aborda os conceitos, os passos recomendados e os desafios mais comuns para realizar essa integração de forma segura e eficiente.

Por que fazer essa integração?

Integrar Entra ID com AWS traz benefícios tangíveis:

  • Autenticação única (SSO) para usuários Microsoft acessarem recursos AWS sem gerenciar credenciais separadas.

  • Centralização de políticas de acesso e controle condicional no Entra ID, estendendo a ambientes AWS.

  • Provisionamento automático (ou ao menos sincronização) de usuários e grupos entre os dois ambientes.

  • Redução de fricção para times de DevOps, infraestrutura e segurança ao gerenciar acessos AWS a partir de uma identidade corporativa consolidada.

Entendendo os componentes da integração

A integração normalmente envolve duas camadas complementares:

  1. Federação / SSO (SAML / OIDC) — para autenticar usuários do Entra ID ao entrarem na console ou serviços AWS via Identity Center.

  2. Provisionamento (SCIM ou sincronização de usuários/grupos) — para que usuários e grupos criados no Entra ID sejam refletidos no AWS Identity Center automaticamente ou com mínima intervenção manual.

No caso da AWS, o IAM Identity Center (antigo AWS Single Sign-On) suporta integração com provedores externos via SAML 2.0 e provisionamento de usuário via SCIM. 

Etapas de integração: guia passo a passo

A seguir, apresento um fluxo de implementação típico — útil como referência ou roteiro para projetos práticos.

Preparação do ambiente

Antes de iniciar, você precisará:

  • Um tenant ativo no Microsoft Entra ID.

  • Um ambiente AWS com o IAM Identity Center habilitado (em uma conta delegada, preferencialmente não a raiz de administração) e com AWS Organizations configurado, se aplicável. 

  • Permissões administrativas no Entra ID para configurar aplicações corporativas e SSO.

  • Certifique-se de que suas redes, firewall e políticas permitam troca de metadados, endpoints SAML e chamadas SCIM entre os ambientes.

1. Adicionar a aplicação AWS Identity Center no Entra ID

No portal do Entra ID, você deve:

  • Navegar até Enterprise Applications (Aplicativos Corporativos).

  • Buscar “AWS IAM Identity Center” (ou AWS SSO) na galeria e adicioná-la como aplicativo gerenciado. (Microsoft Learn)

  • Em Configurações de Single Sign-On para esse aplicativo, escolher SAML como método de autenticação.

2. Coletar metadados e configurar federação

  • No console AWS IAM Identity Center, alterar a fonte de identidade para “External Identity Provider” e obter o metadata do provedor de serviço (SP metadata) e a URL de login do portal AWS que será usada. 

  • De volta ao Entra ID, importar ou inserir manualmente esse metadata do SP, ajustando os campos “Identifier (Entity ID)”, “Reply URL / Assertion Consumer Service (ACS)” e, se necessário, “Sign-on URL”. 

  • Definir os mapeamentos de atributos / declarações (claims) que serão enviados pelo Entra ID para a AWS. Exemplos típicos incluem user.userprincipalname, user.mail, givenName, surname, etc. Também pode ser necessário adicionar atributos customizados para controle de políticas AWS (como atributos para ABAC).

3. Completar a configuração no AWS

  • Voltar ao fluxo de configuração do Identity Center para fornecer o metadata do IdP (obtido do Entra ID) e concluir o emparelhamento da federação. (AWS Documentation)

  • Confirmar que a troca de dados está correta e que o endpoint de login federado está operando conforme esperado.

4. Provisionamento automático via SCIM

Com a federação funcionando, recomenda-se ativar o provisionamento automático de usuários e grupos por meio de SCIM:

  • No console AWS IAM Identity Center, ativar o método de provisionamento automático (SCIM) e obter o endpoint SCIM e o token de acesso fornecido pela AWS.

  • No Entra ID, dentro do aplicativo AWS Identity Center, acessar a aba Provisioning, configurar o método como automático e inserir a URL do SCIM e o token.

  • Testar a conexão e iniciar a sincronização.

  • Verificar no portal AWS se os usuários criados no Entra ID aparecem no IAM Identity Center com seus respectivos atributos. 

5. Atribuição de permissões e testes

  • Dentro do Identity Center, você precisa definir permission sets (conjuntos de permissão) que representam perfis de acesso a contas AWS.

  • Em seguida, atribuir usuários e/ou grupos provenientes do Entra ID a esses permission sets para as contas AWS desejadas. 

  • Realizar testes de login federado e validar se os usuários conseguem acessar o portal AWS e as contas com as permissões apropriadas.

Principais cuidados e desafios

Embora o fluxo acima pareça linear, vale estar ciente de vários pontos críticos:

  • Latência e disponibilidade do serviço IdP: se o Entra ID estiver inacessível, usuários não conseguirão autenticar no AWS. Avalie estratégias de fallback ou redundância.

  • Expiração/rotação de certificados SAML: é essencial gerenciar a renovação dos certificados do IdP e SP para evitar falhas no login quando um certificado expirar.

  • Limites e nuances do SCIM: o serviço de provisionamento do Entra ID tem limitações, como não “desprovisionar” atributos removidos (eles podem não ser removidos no destino) e não processar usuários em grupos aninhados. 

  • Mapeamento de atributos e compatibilidade: alguns atributos no Entra ID podem não existir ou ter formato diferente no AWS, exigindo transformação ou adaptação.

  • Configuração de ABAC e políticas finas: se você for usar controle de acesso baseado em atributos (ABAC) com AWS, será necessário mapear os atributos corretos e garantir que eles sejam passados nas asserções SAML. 

  • Ciclos de atualização e replicação: mudanças no Entra ID (e-mail, nome, status) devem refletir no AWS; atrasos ou falhas na sincronização podem gerar inconsistências.

Benefícios esperados e boas práticas

Quando bem implementada, essa integração promove uma experiência de login unificada e reduz drasticamente a necessidade de gerenciar identidades separadas para ambientes Microsoft e AWS. Organizações relatam menor esforço de suporte (menos reset de senha), maior segurança centralizada e melhor governança.

Para mitigar riscos, recomenda-se:

  • Começar com um piloto pequeno antes de escalar para toda a organização.

  • Monitorar logs de autenticação e provisionamento nos dois lados (Entra ID e AWS).

  • Planejar a rotação de certificados com antecedência.

  • Documentar todo o fluxo de federação e provisionamento para facilitar manutenção futura.

  • Educar os usuários finais sobre alterações no fluxo de login e acesso.

Integrar Microsoft Entra ID com AWS IAM / Identity Center é uma iniciativa estratégica que promove convergência de identidade entre plataformas, melhor segurança e melhor experiência para os usuários. Apesar dos desafios técnicos (mapeamento de atributos, provisionamento, manutenção de certificados), seguir um guia estruturado e adotar boas práticas de governança facilita bastante o sucesso.

Me acompanhe em outras redes sociais: iamjuliaribeiro | Instagram, Twitch | Linktree

Comments

Post a Comment