A company is migrating applications to AWS. The applications are deployed in different accounts. The company manages the accounts centrally by using AWS Organizations. The company's security team needs a single sign-on (SSO) solution across all the company's accounts. The company must continue managing the users and groups in its on-premises self-managed Microsoft Active Directory.
Which solution will meet these requirements?
A. Enable AWS Single Sign-On (AWS SSO) from the AWS SSO console. Create a one-way forest trust or a one-way domain trust to connect the company's self-managed Microsoft Active Directory with AWS SSO by using AWS Directory Service for Microsoft Active Directory.
B. Enable AWS Single Sign-On (AWS SSO) from the AWS SSO console. Create a two-way forest trust to connect the company's self-managed Microsoft Active Directory with AWS SSO by using AWS Directory Service for Microsoft Active Directory.
C. Use AWS Directory Service. Create a two-way trust relationship with the company's self-managed Microsoft Active Directory.
D. Deploy an identity provider (IdP) on premises. Enable AWS Single Sign-On (AWS SSO) from the AWS SSO console.
A
技巧:排除明显错误选项,在没有明显错误的选项中选择最合理的选项。
一家公司正在将应用程序迁移到 AWS,并且这些应用程序部署在不同的 AWS 账户中。公司使用 AWS Organization 来集中管理这些账户。公司的安全团队需要一个跨所有公司账户的单点登录(SSO)解决方案,同时公司必须继续在本地自管理的 Microsoft Active Directory 中管理用户和组。
A. 正确。从 AWS SSO 控制台启用 AWS Single Sign-On (AWS SSO)。使用 AWS Directory Service for Microsoft Active Directory 创建一个单向林信任或单向域信任,以将公司的自管理 Microsoft Active Directory 与 AWS SSO 连接。AWS SSO 是一项 AWS 服务,允许用户使用一组凭据访问多个 AWS 账户和业务应用程序。AWS Directory Service for Microsoft Active Directory 提供了一种在 AWS 上托管和管理 Microsoft Active Directory 的方式,可以与本地 Active Directory 集成。单向信任(无论是林信任还是域信任)允许 AWS SSO 访问本地 Active Directory 中的用户和组信息,从而实现单点登录。这种方式满足了公司的需求,实现使用本地自管理的 Active Directory 进行用户和组管理,同时实现跨 AWS 账户的单点登录。
B. 不正确。从 AWS SSO 控制台启用 AWS Single Sign-On (AWS SSO)。使用 AWS Directory Service for Microsoft Active Directory 创建一个双向林信任,以将公司的自管理 Microsoft Active Directory 与 AWS SSO 连接。双向林信任通常用于更复杂的网络环境,其中需要双向资源访问。在本题中双向信任超出了客户需求,因为公司只需要 AWS SSO 访问本地 Active Directory 中的用户和组信息,而不需要本地 Active Directory 访问 AWS SSO 中的资源。这个选项虽然可行,但不是最简洁的解决方案。
C. 不正确。使用 AWS Directory Service。与公司的自管理 Microsoft Active Directory 创建一个双向信任关系。该方案缺少 AWS SSO 的集成,无法满足公司实现单点登录的需求。
D. 不正确。在本地部署身份提供者(IdP)。从 AWS SSO 控制台启用 AWS Single Sign-On (AWS SSO)。该方案缺乏具体的集成步骤和说明,无法确保实现跨 AWS 账户的单点登录。