Funktionen von AWS IAM Identity Center (Nachfolger von AWS Single Sign-On)

AWS IAM Identity Center (Nachfolger von AWS Single Sign-On) erleichtert die zentrale Verwaltung des Zugriffs auf mehrere AWS-Konten und Geschäftsanwendungen. Es bietet Ihren Mitarbeitern einen Single-Sign-on-Zugriff auf allen zugewiesenen Konten und Anwendungen von einem einzigen Ort aus. Mit IAM Identity Center können Sie den zentralisierten Zugriff und Benutzerberechtigungen für alle Ihre Konten in AWS Organizations problemlos verwalten. IAM Identity Center konfiguriert und verwaltet alle benötigten Berechtigungen für Ihre Konten automatisch, ohne dass zusätzliche Einstellungen in den einzelnen Konten erforderlich sind. Sie können Benutzern Berechtigungen auf Basis gängiger Geschäftsfunktionen zuweisen und diese an Ihre speziellen Sicherheitsanforderungen anpassen. IAM Identity Center umfasst auch integrierte Integrationen in AWS-Anwendungen wie Amazon SageMaker Studio, AWS Systems Manager Change Manager und AWS IoT SiteWise sowie in viele Geschäftsanwendungen wie Salesforce, Box und Microsoft 365.

Sie können Benutzer erstellen und verwalten, die im Identitätsspeicher von IAM Identity Center gespeichert werden, und Verknüpfungen zu einer vorhandenen Identitätsquelle wie Microsoft Active Directory, Okta Ping Identity, JumpCloud, und Azure Active Directory (Azure AD) erstellen. IAM Identity Center ermöglicht Ihnen die Auswahl von Benutzerattributen, z. B. Kostenstelle, Titel oder Gebietsschema, aus der Identitätsquelle und dann deren Verwendung zur attributbasierten Zugriffssteuerung (ABAC) in AWS.

Die ersten Schritte in das IAM Identity Center sind ganz einfach. Mit nur wenigen Klicks in der Verwaltungskonsole des IAM Identity Center können Sie eine Verbindung zu Ihrer bestehenden Identitätsquelle herstellen. Von dort aus können Sie Berechtigungen konfigurieren, die Ihren Benutzern Zugriff auf die ihnen zugewiesenen Konten in AWS Organizations und Hunderte von vorkonfigurierten Cloud-Anwendungen gewähren, und das alles von einem einzigen Benutzerportal aus.

IAM Identity Center stellt Ihnen standardmäßig einen Identitätsspeicher zur Verfügung, den Sie verwenden können, um Benutzer zu erstellen und sie in Gruppen innerhalb von IAM Identity Center zu organisieren. Sie können Benutzer in IAM Identity Center erstellen, indem Sie ihre E-Mail-Adresse und ihren Namen konfigurieren. Wenn Sie einen Benutzer erstellen, sendet IAM Identity Center standardmäßig eine E-Mail an den Benutzer, damit Ihre Benutzer ihr eigenes Kennwort festlegen können. Innerhalb von Minuten können Sie Ihren Benutzern und Gruppen Berechtigungen für AWS-Ressourcen in all Ihren AWS-Konten soviel in vielen Geschäftsanwendungen bereitstellen. Ihre Benutzer melden sich mit den in IAM Identity Center konfigurierten Anmeldeinformationen in einem Benutzerportal an, um auf alle zugeordneten Konten und Anwendungen an einem zentralen Ort zuzugreifen.

Sie können IAM Identity Center über die Security Assertion Markup Language (SAML) 2.0 mit Okta Universal Directory, Azure AD oder einem anderen unterstützten Identitätsanbieter verbinden, sodass Ihre Benutzer sich mit ihren bestehenden Anmeldedaten anmelden können. Darüber unterstützt IAM Identity Center auch System for Cross-domain Identity Management (SCIM) zur Automatisierung der Benutzerbereitstellung. Sie können Ihre Benutzer in Ihrem IdP verwalten, diese schnell in AWS integrieren und den Zugriff auf alle AWS-Konten und -Geschäftsanwendungen zentral steuern. IAM Identity Center ermöglicht Ihnen auch die Auswahl von mehreren Benutzerattributen, z. B. Kostenstelle, Titel oder Gebietsschema aus Ihrem Okta Universal Directory und dann deren Verwendung zur attributbasierten Zugriffssteuerung für eine einfachere und zentrale Zugriffsverwaltung.

Mit IAM Identity Center können Sie Single-Sign-On-Zugriff auf Konten und Anwendungen unter Verwendung Ihrer in Microsoft Active Directory Domain Services (AD DS) vorhandenen Firmenidentitäten verwalten. IAM Identity Center wird über den AWS Directory Service mit AD DS verbunden. Daher können Sie Benutzern den Zugriff auf Konten und Anwendungen erteilen, indem Sie die Benutzer einfach den entsprechenden AD-Gruppen hinzufügen. Ein Beispiel: Sie können eine Gruppe für ein Entwicklerteam erstellen, das an einer Anwendung arbeitet, und dieser dann Zugriff auf die AWS-Konten für diese Anwendung erteilen. Wenn neue Entwickler dem Team beitreten und der AD-Gruppe hinzugefügt werden, erhalten sie dadurch automatisch Zugriff auf sämtliche AWS-Konten für diese Anwendung. IAM Identity Center ermöglicht Ihnen auch die Auswahl von mehreren Benutzerattributen, z. B. Kostenstelle, Titel oder Gebietsschema aus Ihrem AD und dann deren Verwendung zur attributbasierten Zugriffssteuerung für eine einfachere und zentrale Zugriffsverwaltung..

IAM Identity Center ermöglicht Ihnen die Durchsetzung von MFA für alle Ihre Benutzer, einschließlich der Anforderung, dass die Benutzer MFA-Geräte während der Anmeldung einrichten. Dank IAM Identity Center können Sie auf Standards basierte starke Authentifizierungsfunktionen für alle Ihre Benutzer übergreifend über alle Identitätsquellen nutzen. Wenn Sie einen unterstützten SAML-2.0-IdP als Identitätsquelle verwenden, können sie die Multi-Faktor-Authentifizierung (MFA) Ihres Anbieters aktivieren. Falls Sie Active Directory oder IAM Identity Center als Identitätsquelle verwenden, unterstützt IAM Identity Center die Spezifikation für die Webauthentifizierung, um den Benutzerzugriff auf AWS-Konten und Geschäftsanwendungen mit FIDO-aktivierten Sicherheitsschlüsseln, wie YubiKey und integrierten biometrischen Authentifikatoren, wie Touch ID auf Apple MacBooks und Gesichtserkennung auf PCs zu sichern. Sie können mithilfe von Authenticator-Apps wie Google Authenticator oder Twilio Authy auch zeitbasierte Einmalkennwörter (TOTP) aktivieren.

Identity Center baut auf AWS-Identity-and-Access-Management-Rollen und -Richtlinien (IAM) auf, um Sie bei der zentralen Zugriffsverwaltung übergreifend über alle AWS-Konten in Ihrer AWS-Organisation zu unterstützen. IAM Identity Center verwendet Berechtigungssätze, die Sammlungen von einer oder mehreren IAM-Richtlinien sind. Sie weisen dann Berechtigungen zu, um den Zugriff für Ihre Benutzer/Gruppen zu definieren. Auf der Grundlage dieser Zuweisungen erstellt der Service eine vom IAM Identity Center kontrollierte IAM-Rolle und fügt die im Berechtigungssatz angegebenen Richtlinien an diese Rollen in jedem zugewiesenen Konto an. Dazu sind keine zusätzlichen Einrichtungsschritte in den einzelnen Konten erforderlich.

Innerhalb der IAM-Identity-Center-Konsole können Sie mithilfe von Anwendungszuweisungen einen Single-Sign-On-Zugang zu vielen SAML-2.0-Unternehmensanwendungen, darunter Salesforce, Box und Microsoft 365, bereitstellen. Sie können den Single-Sign-On-Zugriff auf diese Anwendungen einfach konfigurieren, indem Sie den Schritt-für-Schritt-Anweisungen innerhalb IAM Identity Center folgen. Es führt Sie durch die einzelnen Schritte, in denen Sie die erforderlichen URLs, Zertifikate und Metadaten eingeben. Die vollständige Liste der für IAM Identity Center vorintegrierten Geschäftsanwendungen finden Sie unter IAM-Identity-Center-Anwendungen.

IAM Identity Center vereinfacht Ihnen das Erstellen und Nutzen differenzierter Berechtigungen für Ihr Personal auf der Grundlage von Benutzerattributen, die in Ihrer IAM-Identity-Center-Identitätsspeicher definiert sind. IAM Identity Center ermöglicht Ihnen die Auswahl von mehreren Attributen, z. B. Kostenstelle, Titel oder Gebietsschema und dann deren Verwendung zur attributbasierten Zugriffssteuerung für eine einfachere und zentrale Zugriffsverwaltung. Sie können die Berechtigungen einmal für die gesamte AWS-Organisation definieren und dann den AWS-Zugriff gewähren, widerrufen oder ändern, indem Sie einfach die Attribute in der Identitätsquelle anpassen.

Weitere Informationen zu ABAC »

IAM Identity Center unterstützt jetzt die zentrale Administration und den API-Zugriff von einem delegierten Administratorkonto von AWS Organizations über sämtliche Mitgliedskonten in Ihrer Organisation. Das bedeutet, dass Sie ein Konto in Ihrer Organisation festlegen können, das zur zentralen Verwaltung aller Mitgliedskonten verwendet werden kann. Mit der delegierten Administration können Sie die empfohlenen Methoden einhalten, da Sie Ihr Managementkonto weniger häufig verwenden müssen.

IAM Identity Center unterstützt Sicherheitsstandards und Compliance-Anforderungen, einschließlich Unterstützung für Payment Card Industry – Data Security Standard (PCI DSS), International Organization for Standardization (ISO), System and Organization Controls (SOC) 1, 2 und 3, Esquema Nacional de Seguridad (ENS) High, die Anforderungen der Finanzmarktaufsicht (FINMA) International Standard on Assurance Engagements (ISAE) 3000 Type 2 Report und Multi-Tier Cloud Security (MTCS). Der Service bleibt Information Security Registered Assessors Program (IRAP) auf der GESCHÜTZT-Ebene geprüft.

IAM Identity Center erfordert die Integration mit AWS Organizations. Daher können Sie ein oder mehrere Konten aus Ihrer Organisation auswählen und Benutzern dann Zugriff auf diese Konten erteilen. Mit nur wenigen Klicks können Sie das IAM Identity Center nutzen und Ihren Mitarbeitern Zugriff auf alle AWS-Konten gewähren, die für eine Anwendung oder von einem Team genutzt werden.

Sie können Single-Sign-On-Integrationen zu SAML 2.0-fähigen Anwendungen mithilfe des Konfigurationsassistenten für Anwendungszuweisungen des IAM Identity Center erstellen. Der Konfigurationsassistent für Anwendungszuweisungen hilft Ihnen beim Auswählen und Formatieren der Informationen, die Anwendungen senden müssen, um Single-Sign-On-Zugriff zu ermöglichen. So können Sie zum Beispiel ein SAML-Attribut für den Benutzernamen erstellen und das Format für dieses Attribut anhand der E-Mail-Adresse eines Benutzers aus seinem AD-Profil festlegen.

Alle administrativen und Zugriffsaktivitäten mehrerer Konten werden in AWS CloudTrail aufgezeichnet. So haben Sie die nötige Transparenz, um IAM-Identity-Center-Aktivitäten zentral nachprüfen zu können. Über CloudTrail können Sie die verschiedensten Aktivitäten anzeigen, wie zum Beispiel Anmeldeversuche, Anwendungszuweisungen und Änderungen bei einer Verzeichnisintegration. So können Sie zum Beispiel erkennen, auf welche Anwendungen ein Benutzer in einem bestimmten Zeitraum zugegriffen hat oder wann einem Benutzer der Zugriff auf eine bestimmte Anwendung erteilt wurde.