Identitätsverbund ist ein Vertrauenssystem zwischen zwei Parteien, um Benutzer zu authentifizieren und Informationen zu übermitteln, die für die Autorisierung ihres Zugriffs auf Ressourcen erforderlich sind. In diesem System ist ein Identitätsanbieter (IdP) für die Benutzerauthentifizierung verantwortlich, und ein Dienstanbieter (SP), z. B. ein Dienst oder eine Anwendung, kontrolliert den Zugriff auf Ressourcen. Gemäß administrativer Vereinbarung und Konfiguration vertraut der SP dem IdP bei der Authentifizierung von Benutzern und stützt sich auf die Informationen, die der IdP über sie bereitstellt. Nach der Authentifizierung eines Benutzers sendet der IdP dem SP eine Nachricht, eine so genannte Assertion, die den Anmeldenamen des Benutzers und andere Attribute enthält, die der SP benötigt, um eine Sitzung mit dem Benutzer einzurichten und den Umfang des Ressourcenzugriffs zu bestimmen, den der SP gewähren soll. Der Verbund ist ein gängiger Ansatz für den Aufbau von Zugriffskontrollsystemen, die Benutzer zentral innerhalb eines zentralen IdP verwalten und ihren Zugriff auf mehrere Anwendungen und Dienste regeln, die als SPs fungieren.
AWS bietet unterschiedliche Lösungen, um Ihre Mitarbeiter, Auftragnehmer und Partner (Belegschaft) mit AWS-Konten und Geschäftsanwendungen zu verbinden und Ihre kundenorientierten Web- und Mobilanwendungen um Verbundunterstützung zu erweitern. AWS unterstützt häufig verwendete offene Identitätsstandards, darunter Security Assertion Markup Language 2.0 (SAML 2.0), Open ID Connect (OIDC) und OAuth 2.0.
Sie können zwei AWS-Services verwenden, um Ihre Mitarbeiter mit AWS-Konten und Geschäftsanwendungen zu verbünden: AWS IAM Identity Center (Nachfolger von AWS SSO) oder AWS Identity and Access Management (IAM). AWS IAM Identity Center ist eine hervorragende Wahl, um Ihnen dabei zu helfen, föderative Zugriffsberechtigungen für Ihre Benutzer auf der Grundlage ihrer Gruppenmitgliedschaften in einem einzigen zentralen Verzeichnis zu definieren. Wenn Sie mehrere Verzeichnisse verwenden oder die Berechtigungen auf der Grundlage von Benutzerattributen verwalten möchten, sollten Sie IAM als Entwurfsalternative in Betracht ziehen. Weitere Informationen zu Service Quotas und anderen Designaspekten in AWS IAM Identity Center finden Sie im AWS IAM Identity Center-Benutzerhandbuch. Überlegungen zum AWS IAM-Design finden Sie im AWS IAM-Benutzerhandbuch.
AWS IAM Identity Center erleichtert die zentrale Verwaltung des Zugriffs auf mehrere AWS-Konten und Geschäftsanwendungen. Benutzer erhalten mit Single-Sign-On von einer Stelle aus Zugriff auf alle ihre zugewiesenen Konten und Anwendungen. Sie können AWS IAM Identity Center für Identitäten im Benutzerverzeichnis des AWS IAM Identity Center, in Ihrem vorhandenen Unternehmensverzeichnis oder im externen IdP verwenden.
AWS IAM Identity Center arbeitet mit einem IdP Ihrer Wahl, wie Okta Universal Directory oder Azure Active Directory (AD), über das Security Assertion Markup Language 2.0 (SAML 2.0)-Protokoll zusammen. AWS IAM Identity Center nutzt nahtlos IAM-Berechtigungen und -Richtlinien für Verbundbenutzer und Rollen, damit Sie den Verbundzugriff zentral für alle AWS-Konten in Ihrer AWS-Organisation verwalten können. Mit AWS IAM Identity Center können Sie Berechtigungen basierend auf der Gruppenmitgliedschaft im Verzeichnis Ihres IdP zuweisen und dann den Zugriff für Ihre Benutzer kontrollieren, indem Sie einfach Benutzer und Gruppen im IdP ändern. AWS IAM Identity Center unterstützt auch den SCIM-Standard (System for Cross-Domain Identity Management), um die automatische Bereitstellung von Benutzern und Gruppen aus Azure AD oder Okta Universal Directory für AWS zu ermöglichen. AWS IAM Identity Center erleichtert Ihnen die Implementierung der attributebasierten Zugriffskontrolle (ABAC), indem Sie detaillierte Berechtigungen auf der Grundlage von Benutzerattributen definieren, die in Ihrem SAML 2.0-IdP definiert sind. Mit AWS IAM Identity Center können Sie Ihre ABAC-Attribute aus den Benutzerinformationen auswählen, die vom IdP über SCIM synchronisiert wurden, oder mehrere Attribute wie Kostenstelle, Titel oder Gebietsschema als Teil einer SAML 2.0-Assertion übergeben. Sie können die Berechtigungen einmal für die gesamte AWS-Organisation definieren und dann den AWS-Zugriff gewähren, widerrufen oder ändern, indem Sie einfach die Attribute in Ihrem IdP anpassen. Mit AWS IAM Identity Center können Sie auch Berechtigungen basierend auf der Gruppenmitgliedschaft im Verzeichnis Ihres IdP zuweisen und dann den Zugriff für Ihre Benutzer kontrollieren, indem Sie einfach Benutzer und Gruppen im IdP ändern.
AWS IAM Identity Center kann als IdP dienen, um Benutzer für integrierte AWS IAM Identity Center-Anwendungen und SAML 2.0-kompatible cloudbasierte Anwendungen wie Salesforce, Box und Microsoft 365 mit einem Verzeichnis Ihrer Wahl zu authentifizieren. Sie können AWS IAM Identity Center auch verwenden, um Benutzer bei der AWS-Managementkonsole, der mobilen App der AWS-Konsole und der AWS-Befehlszeilenschnittstelle (CLI) zu authentifizieren. Als Identitätsquelle können Sie Microsoft Active Directory oder das Benutzerverzeichnis von AWS IAM Identity Center wählen.
Weitere Informationen finden Sie im AWS IAM Identity Center-Benutzerhandbuch, unter AWS IAM Identity Center Erste Schritte und in den folgenden zusätzlichen Ressourcen:
Sie können mithilfe von AWS Identity und Access Management (IAM) einen Verbund für den Zugriff auf Ihre AWS-Konten schaffen. Die Flexibilität von AWS IAM ermöglicht es Ihnen, für jedes AWS-Konto einen separaten SAML 2.0- oder einen Open ID Connect (OIDC) -IdP zu aktivieren und Verbundbenutzerattribute für die Zugriffskontrolle zu verwenden. Mit AWS IAM können Sie Benutzerattribute wie Kostenstelle, Titel oder Gebietsschema von Ihren IdPs an AWS übergeben und auf der Grundlage dieser Attribute detaillierte Zugriffsberechtigungen implementieren. Sie können mithilfe von AWS IAM die Berechtigungen einmal definieren und dann den AWS-Zugriff gewähren, widerrufen oder ändern, indem Sie einfach die Attribute im IdP anpassen. Sie können dieselbe Verbundzugriffsrichtlinie auf mehrere AWS-Konten anwenden, indem Sie wiederverwendbare benutzerdefinierte verwaltete IAM-Richtlinien implementieren.
Weitere Informationen finden Sie unter IAM-Identitätsanbieter und -Verbund, unter IAM Erste Schritte und in zusätzlichen Ressourcen:
- Blogbeitrag: Neu für den Identitätsverbund – Verwenden von Mitarbeiterattributen für die Zugangskontrolle in AWS
- Blogbeitrag: Vorgehensweise zur Implementierung einer allgemeinen Lösung für Bundes-API/CLI-Zugriff mit SAML 2.0
- Blogbeitrag: Implementieren des Verbundzugriffs über API- und CLI mithilfe von SAML 2.0 und AD FS
- Workshop: Bestimmen Sie Ihr eigenes SAML-Abenteuer: Eine Reise zur Beherrschung des AWS Identitätsverbunds in Eigenregie
Mit Amazon Cognito können Sie Ihren kundenorientierten Web- und Mobilanwendungen Verbundunterstützung hinzufügen. Es hilft Ihnen bei der Registrierung und Anmeldung von Benutzern und der schnellen und einfachen Zugriffskontrolle auf Ihre Web- und mobilen Anwendungen. Amazon Cognito kann für Millionen von Benutzern skaliert werden und unterstützt die Anmeldung über soziale Identitätsanbieter wie Apple, Facebook, Google und Amazon wie auch via SAML 2.0 über Unternehmens-Identitätsanbieter.
Weitere Informationen finden Sie im Amazon Cognito Entwicklerhandbuch, unter Amazon Cognito Erste Schritte und in weiteren Ressourcen: