Федерация удостоверений — это система доверия между двумя сторонами для аутентификации пользователей и передачи информации, необходимой для авторизации доступа к ресурсам. В такой системе поставщик идентификации (IdP) отвечает за аутентификацию пользователей, а поставщик сервисов (SP), например сервис или приложение, управляет доступом к ресурсам. В соответствии с административным соглашением и конфигурацией SP доверяет IdP аутентификацию пользователей и полагается на предоставленную им информацию. После аутентификации пользователя IdP отправляет SP сообщение, называемое утверждением и содержащее имя пользователя и другие атрибуты, необходимые SP для установления сеанса с пользователем и определения объема доступа к ресурсам, который должен предоставить SP. Федерация — это распространенный подход к созданию систем управления доступом, которые централизованно управляют пользователями в центральном IdP, а также их доступом к множеству приложений и сервисов, выполняющих функции SP.
AWS предлагает различные решения для интеграции сотрудников, подрядчиков и партнеров (рабочих ресурсов) с аккаунтами AWS и бизнес-приложениями, а также для добавления поддержки федерации в клиентские веб-приложения и мобильные приложения. AWS поддерживает распространенные стандарты открытой идентификации, включая Security Assertion Markup Language 2.0 (SAML 2.0), Open ID Connect (OIDC) и OAuth 2.0.
Для интеграции сотрудников в аккаунты и бизнес-приложения AWS можно использовать два сервиса AWS: AWS IAM Identity Center (заменил AWS SSO) или AWS Identity and Access Management (IAM). AWS IAM Identity Center — отличное решение для определения прав федеративного доступа пользователей по их принадлежности к группам в едином централизованном каталоге. При использовании нескольких каталогов, либо если разрешения должны определяться атрибутами пользователей, в качестве альтернативы рекомендуется использовать AWS IAM. Подробные сведения о квотах на обслуживание и других вопросах проектирования в AWS IAM Identity Center представлены в Руководстве пользователя AWS IAM Identity Center. Рекомендации по проектированию в AWS IAM в Руководстве пользователя AWS IAM.
Сервис AWS IAM Identity Center позволяет централизованно управлять федеративным доступом ко множеству аккаунтов AWS и бизнес-приложений. Также этот сервис обеспечивает пользователям доступ с единым входом ко всем закрепленным за ними аккаунтам и приложениям. AWS IAM Identity Center можно использовать для идентификации в каталоге пользователей AWS IAM Identity Center, существующем корпоративном каталоге или внешнем IdP.
AWS IAM Identity Center работает с выбранным IdP, например с Okta Universal Directory или Azure Active Directory (AD), по протоколу Security Assertion Markup Language 2.0 (SAML 2.0). AWS IAM Identity Center использует разрешения и политики IAM для федеративных пользователей и ролей для централизованного управления федеративным доступом ко всем аккаунтам AWS в вашей организации AWS. С помощью AWS IAM Identity Center можно назначать разрешения по принадлежности к группе в каталоге вашего IdP, а затем управлять доступом пользователей путем изменения пользователей и групп в IdP. Кроме того, AWS IAM Identity Center поддерживает стандарт системы междоменного управления идентификацией (SCIM) для автоматического распределения пользователей и групп из Azure AD или Okta Universal Directory в AWS. AWS IAM Identity Center упрощает внедрение атрибутивного контроля доступа (ABAC) путем детального определения разрешений по атрибутам пользователей, заданных в SAML 2.0 IdP. В AWS IAM Identity Center можно выбирать атрибуты ABAC из сведений о пользователях, синхронизированных с IdP через SCIM, или передавать несколько атрибутов (например, центр затрат, должность или локаль) в рамках утверждения SAML 2.0. Вы можете определить разрешения для всей организации AWS один раз, после чего доступ можно предоставлять, отзывать и изменять путем изменения атрибутов в IdP. Также с помощью AWS IAM Identity Center можно назначать разрешения в зависимости от принадлежности к группе в каталоге вашего IdP, а затем управлять доступом для пользователей путем изменения пользователей и групп в IdP.
AWS IAM Identity Center может выполнять функцию IdP для аутентификации пользователей в интегрированных приложениях AWS IAM Identity Center и облачных приложениях, совместимых с SAML 2.0 (например, Salesforce, Box и Microsoft 365), с выбранным каталогом. Также AWS IAM Identity Center можно использовать для аутентификации пользователей в консоли управления AWS, мобильном приложения консоли AWS и AWS Command Line Interface (CLI). В качестве источника идентификации можно выбрать каталог пользователей Microsoft Active Directory или AWS IAM Identity Center.
Для получения дополнительных сведений ознакомьтесь с Руководством пользователя AWS IAM Identity Center, перейдите на страницу Начало работы с AWS IAM Identity Center, а также изучите следующие дополнительные ресурсы:
- Публикация в блоге. AWS IAM Identity Center between Okta Universal Directory and AWS
- Публикация в блоге. The Next Evolution in AWS IAM Identity Center
Получать федеративный доступ к своим аккаунтам AWS можно с помощью сервиса AWS Identity and Access Management (IAM). Благодаря гибкости AWS IAM для каждого аккаунта AWS можно включить отдельный IdP SAML 2.0 или Open ID Connect (OIDC) и использовать атрибуты федеративного пользователя для управления доступом. С помощью AWS IAM атрибуты пользователей (например, центр затрат, должность или локаль) можно передавать из IdP в AWS и внедрять детальные разрешения доступа на основе таких атрибутов. В AWS IAM задать разрешения можно один раз, а затем предоставлять, отзывать и изменять доступ к AWS путем изменения атрибутов в IdP. Одну и ту же политику федеративного доступа можно применить к нескольким аккаунтам AWS, внедрив настраиваемые управляемые политики IAM многократного использования.
Для получения дополнительных сведений изучите руководство Поставщики и федерация идентификации IAM, посетите страницу Начало работы с IAM, а также изучите следующие дополнительные ресурсы:
- Публикация в блоге. New for Identity Federation - Use Employee Attributes for Access Control in AWS
- Публикация в блоге. How to Implement a General Solution for Federated API/CLI Access Using SAML 2.0
- Публикация в блоге. How to Implement Federated API and CLI Access Using SAML 2.0 and AD FS
- Семинар. Choose Your Own SAML Adventure: A Self-Directed Journey to AWS Identity Federation Mastery
Обеспечить федеративный доступ к клиентским веб-приложениям и мобильным приложениям можно с помощью Amazon Cognito. Сервис позволяет быстро и просто добавлять возможности регистрации, авторизации и контроля доступа пользователей в мобильные и веб-приложения. Amazon Cognito масштабируется до миллионов пользователей и поддерживает авторизацию с помощью социальных поставщиков удостоверений (Apple, Facebook, Google, Amazon), а также поставщиков корпоративных удостоверений на основе SAML 2.0.
Для получения дополнительных сведений ознакомьтесь с Руководством для разработчиков Amazon Cognito, перейдите на страницу Начало работы с Amazon Cognito, а также изучите следующие дополнительные ресурсы:
- Публикация в блоге. Announcing SAML Support for Amazon Cognito
- Публикация в блоге. Amazon Cognito User Pools supports federation with SAML
- Публикация в блоге. SAML for Your Serverless JavaScript Application: Part I
- Документация Amazon Cognito