Federasi identitas adalah sistem kepercayaan antara dua pihak untuk tujuan autentikasi pengguna dan penyampaian informasi yang diperlukan untuk mengotorisasi akses keduanya ke sumber daya. Dalam sistem ini, penyedia identitas (IdP) bertanggung jawab atas autentikasi pengguna, dan penyedia layanan (SP), seperti layanan atau aplikasi, mengontrol akses ke sumber daya. Dengan perjanjian administratif dan konfigurasi, SP memberikan kepercayaan kepada IdP untuk mengautentikasi pengguna dan bergantung pada informasi yang diberikan oleh IdP terkait pengguna. Setelah mengautentikasi pengguna, IdP mengirimkan pesan kepada SP, yang disebut asersi, yang berisi nama masuk pengguna dan atribut lain yang diperlukan SP untuk membuat sesi dengan pengguna dan untuk menentukan cakupan akses sumber daya yang harus diberikan oleh SP. Federasi adalah pendekatan umum pada pembangunan sistem kontrol akses yang mengelola pengguna secara terpusat dalam IdP pusat dan mengatur aksesnya ke beberapa aplikasi serta layanan yang bertindak sebagai SP.
AWS menawarkan solusi berbeda untuk menggabungkan karyawan, kontraktor, dan partner (tenaga kerja) Anda ke akun AWS serta aplikasi bisnis, dan untuk menambahkan dukungan federasi ke aplikasi web dan seluler yang digunakan pelanggan Anda. AWS mendukung standar identitas terbuka yang umum digunakan, termasuk Security Assertion Markup Language 2.0 (SAML 2.0), Open ID Connect (OIDC), dan OAuth 2.0.
Anda dapat menggunakan dua layanan AWS untuk menggabungkan tenaga kerja Anda ke akun AWS dan aplikasi bisnis: Pusat Identitas AWS IAM (penerus AWS SSO) atau AWS Identity and Access Management (IAM). Pusat Identitas AWS IAM adalah pilihan tepat untuk membantu Anda menentukan izin akses gabungan untuk para pengguna berdasarkan keanggotaan grup mereka dalam satu direktori terpusat. Jika Anda menggunakan beberapa direktori, atau ingin mengelola izin berdasarkan atribut pengguna, pertimbangkan AWS IAM sebagai alternatif desain Anda. Untuk mempelajari selengkapnya tentang kuota layanan dan pertimbangan desain lainnya di Pusat Identitas AWS IAM, lihat Panduan Pengguna Pusat Identitas AWS IAM. Untuk pertimbangan desain AWS IAM, lihat Panduan Pengguna IAM AWS.
Pusat Identitas AWS IAM memudahkan pengaturan akses gabungan ke beberapa akun AWS dan aplikasi bisnis secara terpusat serta memberi pengguna akses masuk tunggal ke semua akun dan aplikasi dari satu tempat. Anda dapat menggunakan Pusat Identitas AWS IAM untuk identitas di direktori pengguna Pusat Identitas AWS IAM, direktori korporasi yang ada, atau IdP eksternal.
Pusat Identitas AWS IAM bekerja dengan IdP pilihan Anda, seperti Okta Universal Directory atau Azure Active Directory (AD) melalui protokol Security Assertion Markup Language 2.0 (SAML 2.0). Pusat Identitas AWS IAM dengan lancar memanfaatkan izin dan kebijakan IAM untuk pengguna dan peran gabungan guna membantu Anda mengelola akses gabungan secara terpusat di semua akun AWS dalam organisasi AWS Anda. Dengan Pusat Identitas AWS IAM, Anda dapat menetapkan izin berdasarkan keanggotaan grup di direktori IdP Anda, dan selanjutnya mengontrol akses untuk pengguna Anda hanya dengan memodifikasi pengguna serta grup di IdP. Pusat Identitas AWS IAM juga mendukung standar System for Cross-domain Identity Management (SCIM) untuk memungkinkan penyediaan pengguna dan grup secara otomatis dari Azure AD atau Okta Universal Directory ke AWS. Pusat Identitas AWS IAM memudahkan Anda menerapkan kontrol akses berbasis atribut (ABAC) dengan menentukan izin terperinci berdasarkan atribut pengguna yang ditentukan dalam IdP SAML 2.0 Anda. Pusat Identitas AWS IAM memungkinkan Anda memilih atribut ABAC dari informasi pengguna yang disinkronkan dari IdP melalui SCIM atau meneruskan berbagai atribut, seperti pusat biaya, judul, atau lokal, sebagai bagian dari asersi SAML 2.0. Anda dapat menentukan izin sekali untuk seluruh organisasi AWS Anda, lalu memberikan, mencabut, atau memodifikasi akses AWS hanya dengan mengubah atribut di IdP Anda. Dengan Pusat Identitas AWS IAM, Anda juga dapat menetapkan izin berdasarkan keanggotaan grup di direktori IdP Anda, dan selanjutnya mengontrol akses untuk pengguna Anda hanya dengan memodifikasi pengguna serta grup di IdP.
Pusat Identitas AWS IAM dapat berfungsi sebagai IdP untuk mengautentikasi pengguna ke aplikasi terintegrasi Pusat Identitas AWS IAM dan aplikasi berbasis cloud yang kompatibel dengan SAML 2.0, seperti Salesforce, Box, dan Microsoft 365, dengan direktori pilihan Anda. Anda juga dapat menggunakan Pusat Identitas AWS IAM untuk mengautentikasi pengguna ke Konsol Manajemen AWS, AWS Console Mobile Application, dan AWS Command Line Interface (CLI). Untuk sumber identitas, Anda dapat memilih direktori pengguna Microsoft Active Directory atau Pusat Identitas AWS IAM.
Untuk mempelajari selengkapnya, lihat Panduan Pengguna Pusat Identitas AWS IAM, kunjungi Memulai Pusat Identitas AWS IAM, dan jelajahi sumber daya tambahan berikut:
- Posting blog: Pusat Identitas AWS IAM antara Okta Universal Directory dan AWS
- Posting blog: Evolusi Berikutnya di Pusat Identitas AWS IAM
Anda dapat mengaktifkan akses gabungan ke akun AWS menggunakan AWS Identity and Access Management (IAM). Fleksibilitas AWS IAM memungkinkan Anda mengaktifkan SAML 2.0 terpisah atau IdP Open ID Connect (OIDC) untuk setiap akun AWS dan menggunakan atribut pengguna gabungan untuk kontrol akses. Dengan AWS IAM, Anda dapat meneruskan atribut pengguna, seperti pusat biaya, judul, atau lokal, dari IdP Anda ke AWS, dan menerapkan izin akses terperinci berdasarkan atribut ini. AWS IAM membantu Anda menentukan izin sekali, lalu memberikan, mencabut, atau memodifikasi akses AWS hanya dengan mengubah atribut di IdP. Anda dapat menerapkan kebijakan akses gabungan yang sama ke beberapa akun AWS dengan menerapkan kebijakan IAM terkelola kustom yang dapat digunakan kembali.
Untuk mempelajari selengkapnya, lihat Penyedia Identitas dan Federasi IAM, kunjungi Memulai IAM, dan jelajahi sumber daya tambahan:
- Posting blog: Baru untuk Federasi Identitas – Gunakan Atribut Karyawan untuk Kontrol Akses di AWS
- Posting blog: Cara Menerapkan Solusi Umum untuk Akses API/CLI Gabungan Menggunakan SAML 2.0
- Posting blog: Cara Menerapkan Akses API dan CLI Gabungan dengan SAML 2.0 dan AD FS
- Lokakarya: Pilih Petualangan SAML Anda Sendiri: Perjalanan Mandiri untuk Menguasai Federasi Identitas AWS
Anda dapat menambahkan dukungan federasi ke aplikasi web dan seluler yang digunakan pelanggan menggunakan Amazon Cognito. Amazon Cognito membantu Anda menambahkan fitur daftar, fitur masuk, dan kontrol akses pengguna ke aplikasi web serta seluler Anda dengan cepat dan mudah. Amazon Cognito menskalakan jutaan pengguna dan mendukung fitur masuk dengan penyedia identitas sosial seperti Apple, Facebook, Google, dan Amazon, serta penyedia identitas perusahaan melalui SAML 2.0.
Untuk mempelajari selengkapnya, lihat Panduan Developer Amazon Cognito, kunjungi Memulai Amazon Cognito, dan jelajahi sumber daya tambahan:
