Domande frequenti sul Centro identità AWS IAM

Page Topics

Domande generali
7
Origini identità e supporto applicazioni
12
Accesso Single Sign-On agli account AWS
8
Accesso Single Sign-On alle applicazioni aziendali
4
Varie
5

Domande generali

IAM Identity Center si basa su AWS Identity and Access Management (IAM) per semplificare la gestione degli accessi a più account AWS, ad applicazioni AWS e ad altre applicazioni cloud con SAML attivato. In IAM Identity Center crei o colleghi i tuoi utenti della forza lavoro da utilizzare in AWS. Puoi scegliere di gestire l'accesso solo ai tuoi account AWS, solo alle tue applicazioni cloud, o a entrambi. È possibile creare utenti direttamente in IAM Identity Center, oppure portarli dalla tua directory della forza lavoro esistente. Con IAM Identity Center, ottieni un'esperienza di amministrazione unificata per definire, personalizzare e assegnare un accesso granulare. Gli utenti della forza lavoro ottengono un portale utente per accedere ai loro account AWS assegnati o alle loro applicazioni cloud.

IAM Identity Center elimina la complessità amministrativa della federazione e della gestione delle autorizzazioni separatamente per ogni account AWS. Consente di configurare le applicazioni AWS da un'unica interfaccia e di assegnare l'accesso alle applicazioni cloud da un'unica postazione.

Il Centro identità IAM aiuta anche a migliorare la visibilità degli accessi integrandosi con AWS CloudTrail e offrendo una posizione centrale da cui verificare l'accesso single sign-on agli account AWS e applicazioni cloud con SAML abilitato come Microsoft 365, Salesforce e Box.

IAM Identity Center è la porta d'ingresso consigliata per AWS. Dovrebbe essere lo strumento principale per gestire l'accesso ad AWS dei tuoi utenti della forza lavoro. Consente di gestire le identità nella tua origine identità preferita, di collegarle una sola volta per utilizzarle in AWS, di definire autorizzazioni granulari e di applicarle in modo coerente in tutti gli account. Man mano che il numero di account aumenta, IAM Identity Center offre la possibilità di essere utilizzato come un unico luogo per gestire l'accesso degli utenti a tutte le applicazioni cloud.

IAM Identity Center è rivolto agli amministratori che gestiscono più account e applicazioni di business di AWS, che desiderano centralizzare la gestione degli accessi utente su questi servizi cloud e offrire ai dipendenti una posizione unica dove poter accedere ad e applicazioni senza dover memorizzare ulteriori password.

Come nuovo cliente IAM Identity Center:

Accedi alla Console di gestione AWS dell'account di gestione nel tuo account AWS, quindi naviga nella console IAM Identity Center.

Seleziona la directory che utilizzi per archiviare le identità di utenti e gruppi dalla console IAM Identity Center. IAM Identity Center fornisce una directory per impostazione predefinita che è possibile utilizzare per gestire utenti e gruppi in IAM Identity Center. Puoi inoltre cambiare directory per connetterti a una directory Microsoft AD facendo clic su un elenco di istanze Managed Microsoft AD e AD Connector che IAM Identity Center individua automaticamente nel tuo account. Se desideri collegarti ad una directory Microsoft AD, consulta la sezione Nozioni di base sul Servizio di directory AWS.

Concedi agli utenti l'accesso single sign-on agli account AWS nella tua organizzazione selezionando gli account AWS da un elenco popolato da IAM Identity Center, quindi seleziona gli utenti o i gruppi dalla tua directory e le autorizzazioni che desideri concedere.

Concedi agli utenti l'accesso alle applicazioni cloud di business:

a. Seleziona una delle applicazioni dall'elenco di applicazioni preintegrate supportate su IAM Identity Center.

b. Configura l'applicazione attenendoti alle istruzioni di configurazione.

c. Seleziona gli utenti o gruppi che dovrebbero riuscire ad accedere a questa applicazione.

Comunica agli utenti l'indirizzo Web di accesso IAM Identity Center generato quando hai configurato la directory, in modo che possano accedere a IAM Identity Center, nonché agli account e alle applicazioni aziendali.

IAM Identity Center è disponibile senza costi aggiuntivi.

Per informazioni sulla disponibilità del Centro identità IAM in base alla regione, consultare la tabella delle Regioni AWS.

Origini identità e supporto applicazioni

No. È possibile avere una sola directory o un solo gestore dell'identità digitale SAML 2.0 collegato contemporaneamente a IAM Identity Center. Tuttavia, è possibile cambiare l'origine identità collegata a un'altra.

È possibile connettere il Centro identità IAM alla maggior parte dei gestori dell’identità digitale SAML 2.0, come Okta Universal Directory o Microsoft Entra ID (in precedenza Azure AD). Per saperne di più, consulta la Guida per gli utenti del centro identità IAM.

No, il Centro identità IAM non modifica ruoli, utenti o policy IAM esistenti nei tuoi account AWS. Il Centro identità IAM crea nuovi ruoli e policy specificamente da utilizzare tramite il Centro.

Dopo aver abilitato il Centro identità IAM, tutti i ruoli o gli utenti IAM esistenti continueranno a funzionare come previsto. Ciò significa che puoi completare la migrazione al Centro identità IAM con un approccio graduale senza interrompere l'accesso esistente ad AWS.

Il Centro identità IAM fornisce nuovi ruoli da utilizzare all'interno dei tuoi account AWS. Puoi collegare le stesse policy utilizzate con i ruoli IAM esistenti ai nuovi ruoli utilizzati con il Centro identità IAM.

Il Centro identità IAM non crea utenti e gruppi IAM. Dispone di un proprio archivio di identità creato appositamente per contenere le informazioni degli utenti. Quando si utilizza un provider di identità esterno, il Centro identità conserva una copia sincronizzata degli attributi utente e dell'appartenenza ai gruppi, ma nessun materiale di autenticazione come password o dispositivi MFA. Il tuo provider di identità esterno rimane la fonte di verità per le informazioni e gli attributi degli utenti.

Sì. Se si utilizzano Okta Universal Directory, Microsoft Entra ID ( in precedenza Azure AD), OneLogin o PingFederate, è possibile avvalersi di SCIM per sincronizzare automaticamente le informazioni su utenti e gruppi dal proprio gestore dell'identità digitale al Centro identità IAM. Per saperne di più, consulta la Guida degli utenti del centro identità IAM.

È possibile connettere IAM Identity Center ad Active Directory (AD) on-premise o a un AWS Managed Microsoft AD Directory utilizzando il servizio di directory AWS. Per saperne di più, consulta la Guida per gli utenti del centro identità IAM.

Per collegare Active Directory in hosting on-premise a IAM Identity Center sono disponibili due opzioni: (1) utilizzare AD Connector oppure (2) utilizzare una relazione di trust di AWS Managed Microsoft AD. AD Connector connette semplicemente l'Active Directory in locale esistente a AWS. AD Connector è un gateway di directory in grado di reindirizzare le richieste di directory a una Microsoft Active Directory in locale senza memorizzare informazioni nella cache del cloud. Per connettere una directory on-premise utilizzando AD Connector, consulta la Guida all'amministrazione del servizio di directory AWS. AWS Managed Microsoft AD semplifica la configurazione e l’esecuzione di Microsoft Active Directory in AWS. Può essere utilizzato per configurare una relazione di trust di insieme di strutture tra la directory on-premise e AWS Managed Microsoft AD. Per configurare una relazione di trust, consulta la Guida all'amministrazione del servizio di directory AWS.

Amazon Cognito è un servizio che aiuta a gestire le identità per le applicazioni orientate al cliente, e non un'origine identità supportata nel centro identità IAM. È possibile creare e gestire le identità della forza lavoro nel centro identità IAM o nell'origine identità esterna, tra cui Microsoft Active Directory, Okta Universal Directory, Microsoft Entra ID (in precedenza Azure AD) o un altro gestore dell'identità digitale supportato.

Sì, è possibile utilizzare IAM Identity Center per controllare l’accesso alla console di gestione AWS e CLI v2. IAM Identity Center consente agli utenti di accedere alla CLI e alla console di gestione AWS con autenticazione Single Sign-On. L'app della console mobile di AWS supporta anche IAM Identity Center. In questo modo potrai ottenere un'esperienza di accesso uniforme tra browser, dispositivi mobili e interfacce della linea di comando.

A IAM Identity Center è possibile connettere le seguenti applicazioni:

Applicazioni integrate nel centro identità IAM: le applicazioni integrate nel centro identità IAM come SageMaker Studio e IoT SiteWise utilizzano il centro per l'autenticazione e operano con le identità in esso presenti. Non è necessaria un'ulteriore configurazione per sincronizzare le identità in queste applicazioni o per configurare la federazione separatamente.

Applicazioni SAML preintegrate: IAM Identity Center è disponibile con applicazioni aziendali preintegrate di utilizzo comune. Un elenco completo è disponibile nella console IAM Identity Center.

Applicazioni SAML personalizzate: IAM Identity Center supporta le applicazioni che permettono la federazione delle identità utilizzando SAML 2.0. È possibile abilitare IAM Identity Center per supportare queste applicazioni utilizzando la procedura guidata personalizzata.

Accesso Single Sign-On agli account AWS

È possibile aggiungere al centro identità IAM qualsiasi account AWS gestito tramite AWS Organizations. Per gestire gli account Single Sign-On è necessario attivare tutte le funzionalità nell'organizzazione.

Puoi scegliere gli account all'interno dell'organizzazione oppure filtrarli per unità organizzativa.

L'uso principale della propagazione affidabile delle identità consiste nel consentire alle applicazioni di business intelligence (BI) di interrogare i servizi di analisi AWS, come Amazon Redshift o Amazon QuickSight, per i dati richiesti dagli utenti aziendali con un unico accesso utente tramite il provider di identità esistente del cliente, mantenendo al contempo la consapevolezza dell'identità dell'utente. La funzionalità supporta diversi tipi di applicazioni di BI di uso comune e utilizza diversi meccanismi per propagare l'identità dell'utente tra i servizi.

Quando concedi l'accesso ai tuoi utenti, puoi limitare le loro autorizzazioni scegliendo un set di autorizzazioni. I set di autorizzazioni sono una serie di autorizzazioni che è possibile creare in IAM Identity Center, personalizzandole in base alle policy gestite da AWS per le funzioni lavorative o qualsiasi policy gestita da AWS. Le policy gestite da AWS per le funzioni lavorative sono progettate per allinearsi il più possibile alle funzioni lavorative comuni nel settore IT. Se necessario, puoi anche personalizzare completamente il set di autorizzazioni in modo da soddisfare i tuoi requisiti di sicurezza. IAM Identity Center applica automaticamente tali autorizzazioni agli account selezionati. Se modifichi i set di autorizzazioni, IAM Identity Center ti consente di applicare facilmente le modifiche ai relativi account. Quando gli utenti accedono agli account tramite il portale di accesso AWS, queste autorizzazioni limitano ciò che possono fare all'interno degli account. Puoi anche concedere più set di autorizzazioni ai tuoi utenti. Quando accedono all'account tramite il portale utente, possono scegliere il set di autorizzazioni di cui hanno bisogno per tale sessione.

Il centro identità IAM fornisce il supporto per le API e AWS CloudFormation per automatizzare la gestione delle autorizzazioni negli ambienti multi-account e recuperare programmaticamente le autorizzazioni per fini di verifica e governance.

Per implementare ABAC, è possibile selezionare gli attributi dall'archiviazione delle identità del Centro identità IAM per gli utenti del Centro identità IAM e gli utenti sincronizzati da Microsoft AD o da gestori dell'identità digitale SAML 2.0 esterni, tra cui Okta Universal Directory, Microsoft Entra ID (in precedenza Azure AD), OneLogin o PingFederate. Quando si utilizza un gestore dell'identità digitale come origine identità, è possibile inviare gli attributi come parte di un'asserzione SAML 2.0.

È possibile ricevere le credenziali per l'AWS CLI per qualsiasi account AWS e autorizzazioni utente assegnate dall'amministratore del centro identità IAM. Le credenziali CLI possono essere utlizzate per l'accesso programmatico all’account AWS.

Le credenziali per l'AWS CLI ricevute tramite il centro identità IAM sono valide per 60 minuti. Puoi ottenere una nuova serie di credenziali ogni qualvolta sia necessario.

Accesso Single Sign-On alle applicazioni aziendali

Dalla console del Centro identità IAM, accedi al riquadro delle applicazioni, scegli "Configura nuova applicazione", quindi scegli un'applicazione dall'elenco di applicazioni cloud che hanno il Centro identità IAM integrato. Segui le istruzioni visualizzate sullo schermo per configurare l'applicazione. L'applicazione è ora configurata e puoi assegnare l'accesso. Scegli i gruppi e utenti ai quali vuoi concedere l'accesso all'applicazione, quindi seleziona Assign Access per completare la procedura.

Sì. Se l'applicazione supporta SAML 2.0, puoi configurarla come applicazione SAML 2.0 personalizzata. Dalla console IAM Identity Center, accedi al riquadro delle applicazioni, scegli "Configure new application" ("Configura nuova applicazione"), quindi scegli Custom SAML 2.0 application. Segui le istruzioni per configurare l'applicazione. L'applicazione è ora configurata e puoi assegnare l'accesso. Scegli i gruppi e utenti ai quali vuoi concedere l'accesso all'applicazione, quindi seleziona Assign Access per completare la procedura.

Il centro identità IAM supporta solo applicazioni basate su SAML 2.0.

No. IAM Identity Center supporta il Single Sign-On sulle applicazioni aziendali solamente tramite browser web.

Varie

IAM Identity Center archivierà dati relativi agli account e alle applicazioni cloud di AWS che sono assegnati a determinati utenti e gruppi, oltre alle autorizzazioni che sono state concesse per accedere agli account AWS. IAM Identity Center creerà e gestirà inoltre i ruoli IAM nei singoli account AWS per ciascun set di autorizzazioni concesso per gli utenti.

Con IAM Identity Center, è possibile abilitare le funzionalità di autenticazione avanzata basate su standard per tutti gli utenti in tutte le origini identità. Se si utilizza un gestore dell'identità digitale (IdP) SAML 2.0 supportato come origine identità, è possibile abilitare le funzionalità di autenticazione a più fattori del provider. Quando si utilizza IAM Identity Center o Active Directory come origine identità, IAM Identity Center supporta la specifica di autenticazione Web per aiutare a proteggere l'accesso degli utenti agli account AWS e alle applicazioni aziendali tramite chiavi di sicurezza che utilizzano FIDO, come YubiKey, e autenticatori biometrici integrati, come Touch ID su MacBook Apple e riconoscimento facciale su PC. È inoltre possibile abilitare password valide per un solo accesso (TOTP) utilizzando app di autenticazione come Google Authenticator o Twilio Authy.

È inoltre possibile utilizzare la configurazione MFA Remote Authentication Dial-In User Service (RADIUS) esistente con IAM Identity Center e servizio di directory AWS per autenticare gli utenti come forma di verifica secondaria. Per ulteriori informazioni sulla configurazione dell'MFA con il centro identità IAM, consulta la Guida per gli utenti del centro identità IAM.

Sì. Per le identità utente nell'archiviazione delle identità di IAM Identity Center e Active Directory, IAM Identity Center supporta la specifica di autenticazione Web (WebAuthn) per contribuire a proteggere l'accesso degli utenti agli account AWS e alle applicazioni aziendali tramite chiavi di sicurezza con FIDO, come YubiKey, e autenticatori biometrici integrati, come Touch ID su MacBook Apple e riconoscimento facciale su PC. È inoltre possibile abilitare password valide per un solo accesso (TOTP) utilizzando app di autenticazione come Google Authenticator o Twilio Authy.

I dipendenti possono iniziare a utilizzare IAM Identity Center visitando il portale di accesso generato durante la configurazione della tua origine identità su IAM Identity Center. Se gestisci gli utenti su IAM Identity Center, i dipendenti possono utilizzare l'indirizzo e-mail e la password che hanno configurato con IAM Identity Center per effettuare l'accesso ad altri portali utenti. Connettendo il centro identità IAM a Microsoft Active Directory o ad un gestore dell'identità digitale SAML 2.0, i dipendenti possono accedere al portale utente con le credenziali aziendali esistenti e visualizzare quindi gli account e le applicazioni a loro assegnati. Per accedere a un account o a un'applicazione, i dipendenti devono scegliere l'icona associata dal portale di accesso.

Sì. Il centro identità IAM fornisce API di assegnazione degli account per consentire di automatizzare la gestione delle autorizzazioni negli ambienti multi-account e recuperarle programmaticamente per fini di verifica e governance.