Liên kết danh tính là một hệ thống tin cậy giữa hai bên với mục đích xác thực người dùng và truyền đạt thông tin cần thiết để phê duyệt quyền truy cập của họ vào tài nguyên. Trong hệ thống này, nhà cung cấp danh tính (IdP) chịu trách nhiệm xác thực người dùng và nhà cung cấp dịch vụ (SP), chẳng hạn như dịch vụ hoặc ứng dụng, kiểm soát quyền truy cập vào tài nguyên. Theo thỏa thuận và cấu hình quản trị, SP tin tưởng IdP xác thực người dùng và dựa vào thông tin do IdP cung cấp về người dùng. Sau khi xác thực một người dùng, IdP sẽ gửi cho SP một thông báo, được gọi là xác nhận, chứa tên đăng nhập của người dùng và các thuộc tính khác mà SP cần để thiết lập một phiên với người dùng đó và xác định phạm vi quyền truy cập tài nguyên mà SP nên cấp. Liên kết là một phương pháp phổ biến để xây dựng các hệ thống kiểm soát quyền truy cập, qua đó quản lý tập trung người dùng trong một IdP trung tâm và quản trị quyền truy cập của người dùng vào nhiều ứng dụng và dịch vụ với vai trò như SP.
AWS cung cấp các giải pháp riêng biệt để liên kết cho nhân viên, nhà thầu và đối tác (lực lượng lao động) của bạn với các tài khoản và ứng dụng dành cho doanh nghiệp của AWS, đồng thời bổ sung hỗ trợ liên kết vào các ứng dụng web và di động tương tác với khách hàng của bạn. AWS hỗ trợ các tiêu chuẩn danh tính mở được sử dụng phổ biến, bao gồm Ngôn ngữ đánh dấu xác nhận bảo mật 2.0 (SAML 2.0), OpenID Connect (OIDC) và OAuth 2.0.
Bạn có thể sử dụng hai dịch vụ AWS để liên kết lực lượng lao động của mình vào tài khoản và ứng dụng dành cho doanh nghiệp của AWS: Trung tâm danh tính AWS IAM (công cụ thay thế AWS SSO) hoặc Quản lý danh tính và truy cập (IAM) trong AWS. Trung tâm danh tính AWS IAM là một lựa chọn tuyệt vời để giúp bạn xác định quyền truy cập liên kết cho người dùng dựa trên tư cách thành viên nhóm của họ trong một thư mục tập trung duy nhất. Nếu bạn sử dụng nhiều thư mục hoặc muốn quản lý các quyền dựa trên thuộc tính người dùng, hãy cân nhắc sử dụng AWS IAM làm thiết kế thay thế. Để tìm hiểu thêm về hạn mức dịch vụ và các cân nhắc thiết kế khác trong Trung tâm danh tính AWS IAM, hãy tham khảo Hướng dẫn sử dụng Trung tâm danh tính AWS IAM. Để tìm hiểu các cân nhắc thiết kế AWS IAM, hãy tham khảo Hướng dẫn sử dụng AWS IAM.
Trung tâm danh tính AWS IAM giúp dễ dàng quản lý tập trung quyền truy cập liên kết vào nhiều tài khoản và ứng dụng dành cho doanh nghiệp của AWS cũng như cung cấp cho người dùng quyền truy cập đăng nhập đơn vào tất cả các tài khoản và ứng dụng mà người dùng được chỉ định tại một nơi. Bạn có thể sử dụng Trung tâm danh tính AWS IAM cho các danh tính trong thư mục người dùng của Trung tâm danh tính AWS IAM, thư mục công ty hiện có của bạn hoặc IdP bên ngoài.
Trung tâm danh tính AWS IAM hoạt động với IdP do bạn chọn, chẳng hạn như Okta Universal Directory hoặc Azure Active Directory (AD) thông qua giao thức Ngôn ngữ đánh dấu xác nhận bảo mật 2.0 (SAML 2.0). Trung tâm danh tính AWS IAM tận dụng liền mạch quyền và chính sách của IAM cho người dùng và vai trò liên kết để giúp bạn quản lý tập trung quyền truy cập liên kết trên tất cả các tài khoản AWS trong tổ chức AWS của bạn. Với Trung tâm danh tính AWS IAM, bạn có thể chỉ định quyền dựa trên tư cách thành viên nhóm trong thư mục của IdP, sau đó kiểm soát quyền truy cập cho người dùng bằng cách sửa đổi người dùng và nhóm trong IdP. Trung tâm danh tính AWS IAM cũng hỗ trợ tiêu chuẩn Hệ thống quản lý danh tính giữa các miền (SCIM) để cho phép tự động cung cấp người dùng và nhóm từ Azure AD hoặc Okta Universal Directory sang AWS. Trung tâm danh tính AWS IAM giúp bạn dễ dàng triển khai kiểm soát quyền truy cập dựa trên thuộc tính (ABAC) bằng cách xác định các quyền ở mức độ chi tiết dựa trên thuộc tính người dùng được xác định trong IdP SAML 2.0 của bạn. Trung tâm danh tính AWS IAM cho phép bạn chọn thuộc tính ABAC từ thông tin người dùng được đồng bộ hóa từ IdP thông qua SCIM hoặc truyền nhiều thuộc tính, chẳng hạn như trung tâm chi phí, tiêu đề hoặc ngôn ngữ, như một phần trong xác nhận SAML 2.0. Bạn có thể xác định quyền một lần cho toàn bộ tổ chức AWS của mình, sau đó cấp, thu hồi hoặc sửa đổi quyền truy cập AWS bằng cách thay đổi các thuộc tính trong IdP của bạn. Với Trung tâm danh tính AWS IAM, bạn cũng có thể gán quyền dựa trên tư cách thành viên nhóm trong thư mục của IdP, sau đó kiểm soát quyền truy cập cho người dùng bằng cách sửa đổi người dùng và nhóm trong IdP.
Trung tâm danh tính AWS IAM có thể đóng vai trò là IdP để xác thực người dùng cho các ứng dụng tích hợp Trung tâm danh tính AWS IAM và các ứng dụng trên nền tảng đám mây tương thích với SAML 2.0, chẳng hạn như Salesforce, Box và Microsoft 365, với thư mục do bạn chọn. Bạn cũng có thể sử dụng Trung tâm danh tính AWS IAM để xác thực người dùng cho Bảng điều khiển quản lý AWS, Ứng dụng di động Bảng điều khiển AWS và Giao diện dòng lệnh (CLI) AWS. Đối với nguồn danh tính của bạn, bạn có thể chọn Microsoft Active Directory hoặc thư mục người dùng của Trung tâm danh tính AWS IAM.
Để tìm hiểu thêm, hãy tham khảo Hướng dẫn sử dụng Trung tâm danh tính AWS IAM, truy cập Bắt đầu sử dụng Trung tâm danh tính AWS IAM và khám phá các tài nguyên bổ sung sau:
- Bài đăng trên blog: Trung tâm danh tính AWS IAM giữa Okta Universal Directory và AWS
- Bài đăng trên blog: Bước phát triển tiến theo trong Trung tâm danh tính AWS IAM
Bạn có thể kích hoạt quyền truy cập liên kết vào tài khoản AWS bằng cách sử dụng Quản lý danh tính và truy cập (IAM) trong AWS. Tính linh hoạt của AWS IAM cho phép bạn kích hoạt một IdP SAML 2.0 hoặc OpenID Connect (OIDC) riêng biệt cho mỗi tài khoản AWS và sử dụng các thuộc tính người dùng liên kết để kiểm soát quyền truy cập. Với AWS IAM, bạn có thể truyền các thuộc tính người dùng, chẳng hạn như trung tâm chi phí, tiêu đề hoặc ngôn ngữ, từ IdP đến AWS và triển khai các quyền truy cập ở mức độ chi tiết dựa trên các thuộc tính này. AWS IAM giúp bạn xác định quyền một lần, sau đó cấp, thu hồi hoặc sửa đổi quyền truy cập AWS bằng cách thay đổi các thuộc tính trong IdP. Bạn có thể áp dụng cùng một chính sách truy cập liên kết cho nhiều tài khoản AWS bằng cách triển khai các chính sách IAM được quản lý, tùy chỉnh và có thể tái sử dụng.
Để tìm hiểu thêm, hãy tham khảo Nhà cung cấp danh tính và liên kết IAM, truy cập Bắt đầu sử dụng IAM và khám phá các tài nguyên bổ sung:
- Bài đăng trên blog: Tính năng mới cho liên kết danh tính - Sử dụng thuộc tính của nhân viên để kiểm soát quyền truy cập trong AWS
- Bài đăng trên blog: Cách triển khai giải pháp tổng quát cho quyền truy cập API/CLI liên kết bằng cách sử dụng SAML 2.0
- Bài đăng trên blog: Cách triển khai quyền truy cập API và CLI liên kết bằng cách sử dụng SAML 2.0 và AD FS
- Hội thảo: Chọn cuộc phiêu lưu SAML của riêng bạn: Hành trình tự định hướng để làm chủ liên kết danh tính AWS
Bạn có thể bổ sung hỗ trợ liên kết vào các ứng dụng web và di động tương tác với khách hàng bằng Amazon Cognito. Dịch vụ này giúp bạn bổ sung tính năng đăng ký, đăng nhập và kiểm soát quyền truy cập vào ứng dụng di động và web một cách nhanh chóng và dễ dàng. Amazon Cognito điều chỉnh quy mô lên tới hàng triệu người dùng và hỗ trợ đăng nhập thông qua các nhà cung cấp danh tính mạng xã hội, chẳng hạn như Apple, Facebook, Google và Amazon, cũng như các nhà cung cấp danh tính doanh nghiệp thông qua SAML 2.0.
Để tìm hiểu thêm, hãy tham khảo Amazon Cognito - Hướng dẫn dành cho nhà phát triển, truy cập Bắt đầu sử dụng Amazon Cognito và khám phá các tài nguyên bổ sung:
- Bài đăng trên blog: Thông báo hỗ trợ SAML cho Amazon Cognito
- Bài đăng trên blog: Thư mục người dùng riêng của Amazon Cognito hỗ trợ liên kết với SAML
- Bài đăng trên blog: SAML dành cho ứng dụng JavaScript phi máy chủ của bạn: Phần I
- Tài liệu về Amazon Cognito
