A federação de identidades é um sistema de confiança entre duas partes com o objetivo de autenticar usuários e transmitir as informações necessárias para autorizar o acesso aos recursos. Nesse sistema, um provedor de identidades (IdP) é responsável pela autenticação do usuário, e um provedor de serviços (SP), como um serviço ou uma aplicação, controla o acesso aos recursos. Por acordo administrativo e configuração, o SP confia no IdP para autenticar usuários e confia nas informações fornecidas pelo IdP sobre eles. Depois de autenticar um usuário, o IdP envia ao SP uma mensagem, chamada de asserção, contendo o nome de login do usuário e outros atributos de que o SP precisa para estabelecer uma sessão com o usuário e determinar o escopo do acesso a recursos que o SP deve conceder. A federação é uma abordagem comum para criar sistemas de controle de acesso que gerenciam usuários de forma centralizada em um IdP central e controlam seu acesso a várias aplicações e serviços que atuam como SPs.
A AWS oferece soluções distintas para federar seus funcionários, prestadores de serviços e parceiros (força de trabalho) às contas e aplicações de negócios da AWS e para adicionar suporte de federação às suas aplicações Web voltadas para o cliente e aos seus aplicativos móveis. A AWS dá suporte a padrões abertos de identidade comumente usados, incluindo Security Assertion Markup Language 2.0 (SAML 2.0), Open ID Connect (OIDC) e OAuth 2.0.
Você pode usar dois serviços da AWS para federar sua força de trabalho a contas e aplicações de negócios da AWS: Centro de Identidade do AWS IAM (sucessor do AWS SSO) ou AWS Identity and Access Management (IAM). O Centro de Identidade do AWS IAM é uma ótima opção para ajudar você a definir permissões de acesso federado para seus usuários com base em suas associações a grupos em um único diretório centralizado. Se você usa vários diretórios ou deseja gerenciar as permissões com base nos atributos dos usuários, considere o AWS IAM como sua alternativa de design. Para saber mais sobre cotas de serviço e outras considerações de design no Centro de Identidade do AWS IAM, consulte o Guia do usuário do Centro de Identidade do AWS IAM. Para considerações de design do AWS IAM, consulte o Guia do usuário do AWS IAM.
O Centro de Identidade do AWS IAM facilita o gerenciamento centralizado do acesso a várias contas e aplicações de negócios da AWS e fornece aos usuários acesso de login único a todas as suas contas e aplicações atribuídas de um só local. Você pode usar o Centro de Identidade do AWS IAM para identidades no diretório de usuários do Centro de Identidade do AWS IAM, no seu diretório corporativo existente ou no IdP externo.
O Centro de Identidade do AWS IAM funciona com um IdP de sua escolha, como o Okta Universal Directory ou o Azure Active Directory (AD) por meio do protocolo Security Assertion Markup Language 2.0 (SAML 2.0). O Centro de Identidade do AWS IAM aproveita perfeitamente as permissões e políticas do IAM para usuários e perfis federados para ajudar você a gerenciar o acesso federado de forma centralizada em todas as contas da AWS da sua organização da AWS. Com o Centro de Identidade do AWS IAM, você pode atribuir permissões com base na associação a grupos no diretório do seu IdP e, em seguida, controlar o acesso de seus usuários simplesmente modificando usuários e grupos no IdP. O Centro de Identidade do AWS IAM também é compatível com o padrão System for Cross-Domain Identity Management (SCIM) para permitir o provisionamento automático de usuários e grupos do Azure AD ou do Okta Universal Directory para a AWS. O Centro de Identidade do AWS IAM facilita a implementação do controle de acesso baseado em atributos (ABAC) definindo permissões refinadas com base nos atributos do usuário definidos em seu IdP SAML 2.0. O Centro de Identidade do AWS IAM permite que você selecione seus atributos ABAC com base nas informações do usuário sincronizadas do IdP via SCIM ou transmita vários atributos, como centro de custo, título ou localidade, como parte de uma declaração SAML 2.0. Você pode definir as permissões uma vez para toda a sua organização da AWS e depois conceder, revogar ou modificar o acesso à AWS apenas mudando os atributos no seu IdP. Com o Centro de Identidade do AWS IAM, você também pode atribuir permissões com base na associação a grupos no diretório do seu IdP e, em seguida, controlar o acesso de seus usuários simplesmente modificando usuários e grupos no IdP.
O AWS IAM Identity Center pode servir como um IdP para autenticar usuários em aplicações integradas do Centro de Identidade do AWS IAM e aplicações baseadas em nuvem compatíveis com SAML 2.0, como Salesforce, Box e Microsoft 365, com um diretório de sua escolha. Você também pode usar o Centro de Identidade do AWS IAM para autenticar usuários no Console de Gerenciamento da AWS, no aplicativo móvel do Console da AWS e na AWS Command Line Interface (CLI). Para sua fonte de identidade, você pode escolher o Microsoft Active Directory ou o diretório de usuários do Centro de Identidade do AWS IAM.
Para saber mais, consulte o Guia do usuário do Centro de Identidade do AWS IAM, visite a página de conceitos básicos do Centro de Identidade do AWS IAM e explore os seguintes recursos adicionais:
- Publicação no blog: AWS IAM Identity Center between Okta Universal Directory and AWS
- Publicação no blog: The Next Evolution in AWS IAM Identity Center
É possível federar o acesso às contas da AWS usando o AWS Identity and Access Management (IAM). A flexibilidade do AWS IAM permite que você habilite um SAML 2.0 separado ou um IdP do Open ID Connect (OIDC) para cada conta da AWS e utilize atributos de usuário federado para controle de acesso. Com o AWS IAM, você pode transmitir atributos de usuário, como centro de custo, título ou localidade, de seus IdPs para a AWS, e implementar permissões de acesso refinadas com base nesses atributos. O AWS IAM ajuda você a definir as permissões uma vez e depois conceder, revogar ou modificar o acesso à AWS apenas mudando os atributos no IdP. Você pode aplicar a mesma política de acesso federado a várias contas da AWS implementando as políticas do IAM gerenciadas, personalizadas e reutilizáveis.
Para saber mais, consulte Provedores de identidade e federação do IAM, visite a página Comece a usar o IAM e explore recursos adicionais:
- Publicação no blog: New for Identity Federation - Use Employee Attributes for Access Control in AWS
- Publicação no blog: How to Implement a General Solution for Federated API/CLI Access Using SAML 2.0
- Publicação no blog: How to Implement Federated API and CLI Access Using SAML 2.0 and AD FS
- Workshop: Choose Your Own SAML Adventure: A Self-Directed Journey to AWS Identity Federation Mastery
Você pode adicionar suporte de federação às suas aplicações Web e aplicativos móveis com foco no cliente usando o Amazon Cognito. O Amazon Cognito permite adicionar cadastramento, login e controle de acesso de usuários a aplicações Web e aplicativos móveis com rapidez e facilidade. A escala do Amazon Cognito pode chegar a milhões de usuários e oferece suporte para login com provedores de identidade sociais, como Apple, Facebook, Google e Amazon, bem como provedores de identidade empresariais via SAML 2.0.
Para saber mais, consulte o Guia do desenvolvedor do Amazon Cognito, visite a página Conceitos básicos do Amazon Cognito e explore recursos adicionais:
- Publicação no blog: Announcing SAML Support for Amazon Cognito
- Publicação no blog: Amazon Cognito User Pools supports federation with SAML
- Publicação no blog: SAML for Your Serverless JavaScript Application: Part I
- Documentação do Amazon Cognito