Skip to content
Khoá học AWSAdvanced TopicsAWS IAM Identity Center

AWS IAM Identity Center là gì

AWS IAM Identity Center (trước đây gọi là AWS Single Sign-On – SSO) là dịch vụ giúp doanh nghiệp:

  • Quản lý danh tính tập trung (Identity Management) cho toàn bộ tài khoản và ứng dụng AWS.
  • Cung cấp Single Sign-On (SSO): Người dùng chỉ cần đăng nhập một lần để truy cập:
    • Tài khoản AWS (thuộc AWS Organizations)
    • Các ứng dụng bên ngoài (SaaS như Microsoft 365, Salesforce, Slack…).
    • EC2 Windows Instances

Nói ngắn gọn, đây là giải pháp trung tâm kiểm soát quyền truy cập, giúp giảm gánh nặng quản trị, đồng thời nâng cao tính bảo mật.

Cách hoạt động

  1. Nguồn danh tính (Identity Source)
  • Dùng Identity Center directory mặc định (simple built-in directory).
  • Hoặc kết nối IdP bên ngoài như Microsoft Entra ID (Azure AD), Okta, Ping Identity qua SAML 2.0.
  1. Gán quyền (Permission Sets)
  • Quản trị viên định nghĩa Permission Set (dựa trên AWS IAM policies).
  • Gán các Permission Set này cho từng người dùng hoặc nhóm, áp dụng cho nhiều tài khoản AWS trong AWS Organizations.
  1. Truy cập
  • Người dùng đăng nhập qua User Portal (một URL duy nhất).
  • Chỉ cần một lần đăng nhập để truy cập:
    • AWS Management Console của nhiều tài khoản.
    • Ứng dụng SaaS tích hợp SAML.

Ưu điểm nổi bật

  • Single Sign-On: Giảm việc quản lý nhiều username/password.
  • Tích hợp chặt chẽ với AWS Organizations: Gán quyền nhanh cho hàng chục, hàng trăm tài khoản AWS.
  • Tương thích chuẩn SAML 2.0 và SCIM: Dễ dàng kết nối IdP ngoài và tự động đồng bộ user/group.
  • Quản lý tập trung: Một nơi duy nhất để quản trị danh tính và phân quyền.
  • Bảo mật cao: Hỗ trợ MFA (Multi-Factor Authentication), CloudTrail logging.

Các thành phần chính

Thành phầnMô tả
Identity SourceNơi lưu trữ user/group (built-in directory hoặc IdP bên ngoài).
Permission SetTập hợp IAM policies định nghĩa quyền truy cập cho user/group.
User PortalTrang web để người dùng đăng nhập một lần và truy cập mọi tài nguyên.
ApplicationsỨng dụng AWS (Console/CLI) hoặc SaaS bên ngoài hỗ trợ SAML 2.0.

Use Cases

  • Quản lý đa tài khoản AWS: Doanh nghiệp có nhiều account trong AWS Organizations cần phân quyền dễ dàng.
  • Hợp nhất danh tính: Dùng một hệ thống IdP (Azure AD, Okta…) cho tất cả dịch vụ cloud và ứng dụng doanh nghiệp.
  • Đáp ứng bảo mật & tuân thủ: Ghi log, kiểm tra truy cập tập trung để đáp ứng yêu cầu audit.

So sánh nhanh với IAM

Dịch vụMục tiêu chính
IAMQuản lý user, role, policy cho từng tài khoản AWS.
IAM Identity CenterQuản lý trung tâm, SSO cho nhiều tài khoản & ứng dụng.

👉 IAM: tập trung vào user/role trong 1 account. 👉 IAM Identity Center: tập trung vào nhiều account và nhiều ứng dụng.

Quy trình triển khai cơ bản

  1. Bật IAM Identity Center trong AWS Management Console.
  2. Chọn Identity Source: sử dụng directory mặc định hoặc kết nối IdP ngoài.
  3. Tạo Group/UserPermission Set.
  4. Gán Permission Set cho tài khoản AWS và nhóm người dùng.
  5. Cung cấp URL User Portal cho người dùng đăng nhập.
AWS OrganizationsActive Directory (AD) & AWS Directory Services