Kimlik federasyonu, kullanıcıların kimliklerini doğrulamak ve kaynaklara erişimlerine izin vermek için gereken bilgileri iletmeyi sağlayan iki taraf arasındaki bir güven sistemidir. Bu sistemde, bir kimlik sağlayıcı (IdP) kullanıcı kimlik doğrulamasından sorumludur ve bir hizmet veya uygulama gibi bir hizmet sağlayıcı (SP) kaynaklara erişimi kontrol eder. Yönetimsel anlaşma ve yapılandırma ile SP, kullanıcıların kimliğini doğrulamak için IdP'ye güvenir ve onlar hakkında IdP tarafından sağlanan bilgilere göre hareket eder. Bir kullanıcının kimliğini doğruladıktan sonra IdP, SP'ye kullanıcının oturum açma adını ve SP'nin kullanıcıyla bir oturum oluşturmak ve SP'nin vermesi gereken kaynak erişiminin kapsamını belirlemek için ihtiyaç duyduğu diğer nitelikleri içeren, onay denilen bir mesaj gönderir. Federasyon, kullanıcıları merkezi bir IdP içinde merkezi olarak yöneten ve SP'ler görevi gören birden fazla uygulamaya ve hizmete erişimlerini yöneten erişim kontrol sistemleri oluşturmayla ilgili yaygın bir yaklaşımdır.
AWS, çalışanlarınızı, yüklenicilerinizi ve iş ortaklarınızı (iş gücünüzü) AWS hesaplarında ve iş uygulamalarında birleştirme ve müşteriye yönelik web ve mobil uygulamalarınıza federasyon desteği ekleme konusunda farklı çözümler sunar. AWS, Security Assertion Markup Language 2.0 (SAML 2.0), Open ID Connect (OIDC) ve OAuth 2.0 dahil yaygın kullanılan açık kimlik standartlarını destekler.
İş gücünüzü AWS hesaplarında ve iş uygulamalarında birleştirmek için iki AWS hizmetini kullanabilirsiniz: AWS IAM Kimlik Merkezi (AWS SSO'nun yerine geçmiştir) veya AWS Kimlik ve Erişim Yönetimi (IAM). AWS IAM Kimlik Merkezi, tek bir merkezi dizinde grup üyeliklerine göre kullanıcılarınız için birleştirilmiş erişim izinlerini tanımlamanıza yardımcı olan mükemmel bir seçimdir. Birden fazla dizin kullanıyorsanız veya izinleri kullanıcı niteliklerine göre yönetmek istiyorsanız tasarım alternatifiniz olarak AWS IAM'yi değerlendirin. AWS IAM Kimlik Merkezi'ndeki hizmet kotaları ve diğer tasarım konuları hakkında daha fazla bilgi almak için AWS IAM Kimlik Merkezi Kullanıcı Kılavuzu'na bakın. AWS IAM tasarımı konuları için AWS IAM Kullanıcı Kılavuzu'na bakın.
AWS IAM Kimlik Merkezi, birden fazla AWS hesabına ve iş uygulamasına federe erişimi merkezi olarak yönetmeyi kolaylaştırır. Ayrıca kullanıcıların kendilerine atanmış olan tüm hesaplarına ve uygulamalarına tek bir yerden tek oturum açma ile erişmelerini sağlar. AWS IAM Kimlik Merkezi'ni AWS IAM Kimlik Merkezi'nin kullanıcı dizinindeki, mevcut kurumsal dizininizdeki veya harici IdP'deki kimlikler için kullanabilirsiniz.
AWS IAM Kimlik Merkezi, Security Assertion Markup Language 2.0 (SAML 2.0) protokolü aracılığıyla Okta Universal Directory veya Azure Active Directory (AD) gibi seçtiğiniz bir IdP ile çalışır. AWS IAM Kimlik Merkezi, AWS kuruluşunuzdaki tüm AWS hesaplarında federe erişimi merkezi olarak yönetmenize yardımcı olacak şekilde federe kullanıcılar ve roller için IAM izinlerinden ve politikalarından sorunsuz bir şekilde yararlanır. AWS IAM Kimlik Merkezi ile, IdP'nizin dizininde grup üyeliğine göre izinler atayabilir ve ardından IdP'deki kullanıcıları ve grupları değiştirerek kullanıcılarınızın erişimini denetleyebilirsiniz. AWS IAM Kimlik Merkezi, kullanıcıların ve grupların Azure AD veya Okta Universal Directory'den AWS'ye otomatik olarak tedarik edilmesini sağlayan Etki Alanları Arası Kimlik Yönetimi Sistemi (SCIM) standardını da destekler. AWS IAM Kimlik Merkezi, SAML 2.0 IdP'nizde tanımlı olan kullanıcı özniteliklerine göre ayrıntılı izinler tanımlayarak özniteliğe dayalı erişim denetimini (ABAC) uygulamanızı kolaylaştırır. AWS IAM Kimlik Merkezi, ABAC özniteliklerinizi, SCIM aracılığıyla IdP'den senkronize edilen kullanıcı bilgilerinden seçmenize veya SAML 2.0 onayının bir parçası olarak maliyet merkezi, unvan veya yerel ayar gibi birden çok özniteliği aktarmanıza olanak tanır. Bütün AWS kuruluşunuz için izinleri bir kez tanımlayabilir ve ardından IdP'nizdeki öznitelikleri değiştirerek AWS erişimini verebilir, iptal edebilir veya değiştirebilirsiniz. AWS IAM Kimlik Merkezi ile aynı zamanda IdP'nizin dizininde grup üyeliğine göre izinler atayabilir ve ardından IdP'deki kullanıcıları ve grupları değiştirerek kullanıcılarınızın erişimini denetleyebilirsiniz.
AWS IAM Kimlik Merkezi, AWS IAM Kimlik Merkezi'ne entegre olan uygulamalarda ve Salesforce, Box ve Microsoft 365 gibi SAML 2.0 uyumlu bulut tabanlı uygulamalarda kullanıcıların kimliklerini seçtiğiniz bir dizinle doğrulamak için bir IdP görevi görebilir. AWS IAM Kimlik Merkezi'ni kullanarak kullanıcıların bilgilerini AWS Yönetim Konsolu, AWS Konsol Mobil Uygulaması ve AWS Komut Satırı Arabirimi (CLI) ile doğrulayabilirsiniz. Kimlik kaynağınız için Microsoft Active Directory veya AWS IAM Kimlik Merkezi'nin kullanıcı dizinini seçebilirsiniz.
Daha fazla bilgi edinmek için AWS IAM Kimlik Merkezi Kullanıcı Kılavuzu'na bakın, AWS IAM Kimlik Merkezi'ni Kullanmaya Başlama sayfasını ziyaret edin ve aşağıdaki diğer kaynakları inceleyin:
- Blog yazısı: Okta Universal Directory ve AWS arasında AWS IAM Kimlik Merkezi
- Blog yazısı: AWS IAM Kimlik Merkezi'nde Bir Sonraki Evrim
AWS Kimlik ve Erişim Yönetimi (IAM) kullanarak AWS hesaplarına federe erişimi etkinleştirebilirsiniz. AWS IAM'in esnekliği, her AWS hesabı için ayrı bir SAML 2.0 veya Open ID Connect (OIDC) IdP'yi etkinleştirmenize ve erişim denetimi için federe kullanıcı özniteliklerini kullanmanıza olanak tanır. AWS IAM ile maliyet merkezi, unvan veya yerel ayar gibi kullanıcı özniteliklerini IdP'lerinizden AWS'ye aktarabilir ve bu özniteliklere göre ayrıntılı erişim izinleri uygulayabilirsiniz. AWS IAM, izinleri bir kez tanımlamanıza ve ardından IdP'deki öznitelikleri değiştirerek AWS erişimini vermenize, iptal etmenize veya değiştirmenize yardımcı olur. Yeniden kullanılabilir özel yönetilen IAM politikalarını uygulayarak aynı federe erişim politikasını birden fazla AWS hesabına uygulayabilirsiniz.
Daha fazla bilgi edinmek için IAM Kimlik Sağlayıcıları ve Federasyonu'na bakın, IAM'i Kullanmaya Başlama sayfasını ziyaret edin ve ek kaynakları inceleyin:
- Blog yazısı: Kimlik Federasyonu için Yeni – AWS'de Erişim Denetimi için Çalışan Özniteliklerini Kullanma
- Blog yazısı: SAML 2.0 Kullanarak Federe API/CLI Erişimi için Genel Çözüm Nasıl Uygulanır
- Blog yazısı: SAML 2.0 ve AD FS Kullanarak Federe API ve CLI Erişimi Nasıl Uygulanır
- Atölye çalışması: Kendi SAML Maceranızı Seçin: AWS Kimlik Federasyonu Uzmanlığında Bağımsız Bir Yolculuk
Amazon Cognito'yu kullanarak müşteriye yönelik web ve mobil uygulamalarınıza federasyon desteğini ekleyebilirsiniz. Mobil ve web uygulamalarınıza hızlı ve kolay bir şekilde kullanıcı kaydı, oturum açma ve erişim denetimi eklemenize yardımcı olur. Amazon Cognito, milyonlarca kullanıcıya ölçeklenir ve Apple, Facebook, Google, Amazon gibi sosyal kimlik sağlayıcıları ve SAML 2.0 aracılığıyla kurumsal kimlik sağlayıcıları ile oturum açmayı destekler.
Daha fazla bilgi edinmek için Amazon Cognito Geliştirici Kılavuzu'na bakın, Amazon Cognito Kullanmaya Başlama sayfasını ziyaret edin ve ek kaynakları inceleyin: