AWS IAM Identity Center (successivo ad AWS Single Sign-On) semplifica la gestione centralizzata degli accessi a più applicazioni business e account di AWS. Fornisce accessi single sign-on ai tuoi dipendenti per tutti gli account e le applicazioni assegnate da un unico posto. Con IAM Identity Center puoi gestire facilmente e centralmente gli accessi e le autorizzazioni utente di tutti gli account in AWS Organizations. IAM Identity Center consente di configurare e mantenere automaticamente tutte le autorizzazioni necessarie agli account, senza il bisogno di configurazioni aggiuntive per i singoli account. È possibile assegnare le autorizzazioni utente in base alle funzioni lavorative comuni e personalizzarle per soddisfare i requisiti di sicurezza specifici. Inoltre, IAM Identity Center include integrazioni per le applicazioni AWS, come Amazon SageMaker Studio, AWS Systems Manager Change Manager e AWS IoT SiteWise, oltre ad altre applicazioni business, come Salesforce, Box e Microsoft 365.
Puoi creare e gestire identità utenti nell'archivio delle identità di IAM Identity Center. In alternativa, puoi connettere facilmente l'origine identità esistente, tra cui Microsoft Active Directory, Okta, Ping Identity, JumpCloud e Azure Active Directory (Azure AD). IAM Identity Center consente di selezionare gli attributi dell'utente, come centri di costo, titoli o impostazioni locali, dall'origine identità, per poi utilizzarli per il controllo di accessi basato sugli attributi (ABAC) in AWS.
È facile iniziare a utilizzare IAM Identity Center. In pochi clic sulla console di gestione di IAM Identity Center potrai collegarti all'origine identità esistente. Da qui, potrai configurare le autorizzazioni per concedere agli utenti l'accesso ai relativi account in AWS Organizations e a centinaia di applicazioni cloud preconfigurate da un unico portale utente.
Gestione delle identità centralizzata
Creazione e gestione degli utenti in IAM Identity Center
IAM Identity Center fornisce un archivio delle identità predefinito che puoi utilizzare per creare utenti e organizzarli in gruppi in IAM Identity Center. Puoi creare gli utenti in IAM Identity Center configurando i loro nomi e indirizzi e-mail. Quando viene creato un utente, IAM Identity Center invia in modo predefinito un'e-mail all'utente che può impostare una password a sua scelta. In pochi minuti, è possibile fornire a utenti e gruppi le autorizzazioni per accedere alle risorse AWS nell'intero account e a diverse applicazioni aziendali. Gli utenti accederanno a un portale con le credenziali configurate in IAM Identity Center, quindi potranno accedere a tutti gli account e le applicazioni loro assegnate da un unico posto.
Connessione e provisioning automatico degli utenti da parte di fornitori di identità basati su standard
Puoi connettere IAM Identity Center a Okta Universal Directory, Azure AD o a un altro gestore dell'identità digitale (IdP) supportato tramite Security Assertion Markup Language (SAML) 2.0 per garantire agli utenti la possibilità di accedere con le loro credenziali esistenti. Inoltre, IAM Identity Center è in grado di supportare System for Cross-domain Identity Management (SCIM) per il provisioning automatico degli utenti. È possibile gestire gli utenti nell'IdP, trasferirli rapidamente in AWS e gestire gli accessi ai loro account AWS e applicazioni aziendali a livello centralizzato. IAM Identity Center consente anche di selezionare più attributi degli utenti, come centri di costo, titoli o impostazioni locali da Okta Universal Directory e di utilizzarli per ABAC per semplificare e centralizzare l'amministrazione degli accessi.
Connessione a Microsoft Active Directory
Con IAM Identity Center puoi gestire l'accesso single sign-on agli account e alle applicazioni utilizzando le credenziali aziendali esistenti di Microsoft Active Directory Domain Services (AD DS). IAM Identity Center si connette ad AD DS tramite il Servizio di directory AWS e ti permette di concedere agli utenti l'accesso ad account e applicazioni semplicemente aggiungendo gli utenti ai gruppi AD appropriati. Ad esempio, puoi creare un gruppo per un team di sviluppatori che lavora su un'applicazione e concedere a tale gruppo l'accesso agli account AWS per l'applicazione. Se nuovi sviluppatori entrano a far parte del team, è possibile aggiungerli al gruppo AD in modo da concedere loro automaticamente l'accesso a tutti gli account AWS per l'applicazione. IAM Identity Center consente anche di selezionare più attributi degli utenti, come centri di costo, titoli o impostazioni locali da AD e di utilizzarli per ABAC per semplificare e centralizzare l'amministrazione degli accessi.
Autenticazione a più fattori
IAM Identity Center consente di applicare l'autenticazione a più fattori (MFA) per tutti gli utenti, ad esempio richiedendo loro di configurare i dispositivi con autenticazione MFA al momento dell'accesso. Con IAM Identity Center, è possibile usare le funzionalità di autenticazione avanzata basate su standard per tutti gli utenti in tutte le origini identità. Se si utilizza un IdP SAML 2.0 supportato come origine identità, è possibile abilitare l'autenticazione a più fattori (MFA) del provider. Quando si utilizza Active Directory o IAM Identity Center come origine identità, IAM Identity Center supporta la specifica di autenticazione Web per aiutare a proteggere l'accesso degli utenti agli account AWS e alle applicazioni aziendali tramite chiavi di sicurezza che utilizzano FIDO, come YubiKey, e autenticatori biometrici integrati, come Touch ID su MacBook Apple e riconoscimento facciale su PC. Inoltre, è possibile abilitare le password con scadenza a tempo valide per un solo accesso (TOTP) utilizzando le app di autenticazione come Google Authenticator o Twilio Authy.
Autorizzazioni e assegnazioni granulari
Autorizzazioni multi-account
IAM Identity Center si basa sui ruoli e sulle policy di AWS Identity and Access Management (IAM) per agevolare la gestione dell'accesso a livello centrale in tutti gli account AWS dell'organizzazione AWS. IAM Identity Center utilizza i set di autorizzazioni, ovvero raccolte di una o più policy IAM. Successivamente, puoi assegnare i set di autorizzazioni per definire gli accessi per i tuoi utenti/gruppi. Sulla base di tali assegnazioni, il servizio crea un ruolo IAM controllato dall'IAM Identity Center e allega le policy indicate dai set di autorizzazioni per i ruoli di ogni account assegnato. Non è necessario eseguire configurazioni aggiuntive nei singoli account.
Assegnazioni delle applicazioni
All'interno della console IAM Identity Center, utilizza le assegnazioni delle applicazioni per fornire accessi single sign-on a diverse applicazioni business SAML 2.0, comprese Salesforce, Box e Microsoft 365. Puoi configurare facilmente l'accesso single sign-on a tali applicazioni seguendo le istruzioni dettagliate contenute nell'IAM Identity Center. Questo ti guiderà nell'inserimento di URL, certificati e metadati richiesti. Per un elenco completo delle applicazioni aziendali pre-integrate con IAM Identity Center, consulta le applicazioni cloud IAM Identity Center.
Controllo degli accessi basato sugli attributi
IAM Identity Center facilita la creazione e l'utilizzo di autorizzazioni granulari per la forza lavoro sulla base degli attributi utente definiti nell'archivio identità di IAM Identity Center. IAM Identity Center consente di selezionare più attributi, come centri di costo, titoli o impostazioni locali, per poi utilizzarli per il controllo di accessi basato sugli attributi (ABAC) per semplificare e centralizzare l'amministrazione degli accessi. È possibile definire le autorizzazioni una sola volta per l'intera organizzazione AWS e poi concedere, revocare o modificare l'accesso AWS semplicemente modificando gli attributi nell'origine identità.
Funzioni amministrative e di governance
Amministrazione delegata dall'account di un membro
IAM Identity Center supporta l'amministrazione centralizzata e l'accesso alle API da un account amministratore delegato di AWS Organizations per tutti gli account membri della tua organizzazione. Ciò significate che puoi scegliere un account nella tua organizzazione da utilizzare in maniera centralizzata per la gestione di tutti gli account dei membri. Grazie all'amministrazione delegata, potrai aderire alle pratiche consigliate, riducendo l'esigenza di utilizzare il tuo account di gestione.
Supporto per standard di sicurezza e certificazioni di conformità
IAM Identity Center supporta gli standard di sicurezza e i requisiti di conformità, compreso il supporto per Standard di sicurezza dei dati dell'industria delle carte di pagamento (PCI DSS), Organizzazione internazionale per la normazione (ISO), System and Organization Controls (SOC) 1, 2 e 3, Esquema Nacional de Seguridad (ENS) elevato, Autorità federale di vigilanza sui mercati finanziari (FINMA), International Standard on Assurance Engagements (ISAE) 3000 requisiti di report di tipo 2, e Multi-Tier Cloud Security (MTCS). Il servizio è valutato dall'Information Security Registered Assessors Program (IRAP) a livello PROTECTED.
Integrazione con AWS Organizations
IAM Identity Center richiede l'integrazione con AWS Organizations e consente di selezionare uno o più account dall'organizzazione e concedere l'accesso a tali account. Con pochi clic puoi iniziare a utilizzare IAM Identity Center e concedere al tuo personale l'accesso a tutti i tuoi account AWS utilizzati per un'applicazione o da un team.
Configurazione guidata dell'applicazione abilitata per SAML
Utilizzando la configurazione guidata delle assegnazioni dell'applicazione IAM Identity Center, puoi creare integrazioni single sign-on sulle applicazioni abilitate per SAML 2.0. La configurazione guidata delle assegnazioni dell'applicazione aiuta a selezionare e formattare le informazioni da inviare alle applicazioni per abilitare l'accesso single sign-on. Ad esempio, puoi creare un attributo SAML per il nome utente e specificarne il formato in base all'indirizzo e-mail di un utente dal relativo profilo AD.
Verifica degli eventi di accesso tra applicazioni e account AWS
Tutte le attività amministrative e relative agli accessi multi-account vengono registrate in AWS CloudTrail, per offrirti visibilità sull'attività di verifica di IAM Identity Center a livello centralizzato. Tramite CloudTrail puoi visualizzare attività quali i tentativi di accesso, le assegnazioni delle applicazioni e le modifiche di integrazione della directory. Ad esempio, puoi visualizzare le applicazioni sulle quali un utente ha eseguito l'accesso in un determinato periodo o quando a un utente è stato concesso l'accesso a un'applicazione specifica.
Scopri di più su AWS IAM Identity Center