A company is migrating applications to AWS. The applications are deployed in different accounts. The company manages the accounts centrally by using AWS Organizations. The company's security team needs a single sign-on (SSO) solution across all the company's accounts. The company must continue managing the users and groups in its on-premises self-managed Microsoft Active Directory.
Which solution will meet these requirements?
A. Enable AWS Single Sign-On (AWS SSO) from the AWS SSO console. Create a one-way forest trust or a one-way domain trust to connect the company's self-managed Microsoft Active Directory with AWS SSO by using AWS Directory Service for Microsoft Active Directory.
B. Enable AWS Single Sign-On (AWS SSO) from the AWS SSO console. Create a two-way forest trust to connect the company's self-managed Microsoft Active Directory with AWS SSO by using AWS Directory Service for Microsoft Active Directory.
C. Use AWS Directory Service. Create a two-way trust relationship with the company's self-managed Microsoft Active Directory.
D. Deploy an identity provider (IdP) on premises. Enable AWS Single Sign-On (AWS SSO) from the AWS SSO console.
A
技巧:排除明顯錯誤選項,在沒有明顯錯誤的選項中選擇最合理的選項。
一家公司正在將應用程序遷移到 AWS,并且這些應用程序部署在不同的 AWS 賬戶中。公司使用 AWS Organization 來集中管理這些賬戶。公司的安全團隊需要一個跨所有公司賬戶的單點登錄(SSO)解決方案,同時公司必須繼續在本地自管理的 Microsoft Active Directory 中管理用戶和組。
A. 正確。從 AWS SSO 控制臺啟用 AWS Single Sign-On (AWS SSO)。使用 AWS Directory Service for Microsoft Active Directory 創建一個單向林信任或單向域信任,以將公司的自管理 Microsoft Active Directory 與 AWS SSO 連接。AWS SSO 是一項 AWS 服務,允許用戶使用一組憑據訪問多個 AWS 賬戶和業務應用程序。AWS Directory Service for Microsoft Active Directory 提供了一種在 AWS 上托管和管理 Microsoft Active Directory 的方式,可以與本地 Active Directory 集成。單向信任(無論是林信任還是域信任)允許 AWS SSO 訪問本地 Active Directory 中的用戶和組信息,從而實現單點登錄。這種方式滿足了公司的需求,實現使用本地自管理的 Active Directory 進行用戶和組管理,同時實現跨 AWS 賬戶的單點登錄。
B. 不正確。從 AWS SSO 控制臺啟用 AWS Single Sign-On (AWS SSO)。使用 AWS Directory Service for Microsoft Active Directory 創建一個雙向林信任,以將公司的自管理 Microsoft Active Directory 與 AWS SSO 連接。雙向林信任通常用于更復雜的網絡環境,其中需要雙向資源訪問。在本題中雙向信任超出了客戶需求,因為公司只需要 AWS SSO 訪問本地 Active Directory 中的用戶和組信息,而不需要本地 Active Directory 訪問 AWS SSO 中的資源。這個選項雖然可行,但不是最簡潔的解決方案。
C. 不正確。使用 AWS Directory Service。與公司的自管理 Microsoft Active Directory 創建一個雙向信任關系。該方案缺少 AWS SSO 的集成,無法滿足公司實現單點登錄的需求。
D. 不正確。在本地部署身份提供者(IdP)。從 AWS SSO 控制臺啟用 AWS Single Sign-On (AWS SSO)。該方案缺乏具體的集成步驟和說明,無法確保實現跨 AWS 賬戶的單點登錄。