聯合身分是兩方之間的信任系統,用於驗證使用者並傳輸授權資源存取權限所需的資訊。在此系統中,身分提供者 (IdP) 負責使用者驗證,服務供應商 (SP) (例如服務或應用程式) 則控制對資源的存取。根據管理協議和組態,SP 信任 IdP 來驗證使用者,並依賴 IdP 提供的使用者相關資訊。驗證使用者之後,IdP 會向 SP 傳送一則稱為聲明的訊息,其中包含使用者的登入名稱,以及 SP 與使用者建立工作階段並確定 SP 應授予之資源存取範圍所需的其他屬性。聯合身分是建置存取控制系統的常見方法,該系統在中央 IdP 中集中管理使用者,並控管他們對充當 SP 之多個應用程式和服務的存取。
AWS 提供獨特的解決方案,可將您的員工、承包商和合作夥伴 (人力) 聯合到 AWS 帳戶和商業應用程式,並為面向客戶之 Web 和行動應用程式新增聯合身分支援。AWS 支援常用的開放身分識別標準,包括安全聲明標記語言 2.0 (SAML 2.0)、Open ID Connect (OIDC) 和 OAuth 2.0。
您可以使用兩種 AWS 服務將人力聯合至 AWS 帳戶和商業應用程式中:AWS IAM Identity Center (AWS SSO 的後繼者) 或 AWS Identity and Access Management (IAM)。 AWS IAM Identity Center 是一個絕佳選擇,可協助您根據使用者在單一集中式目錄中的群組成員身分,為其定義聯合身分存取權限。如果使用多個目錄,或者想要根據使用者屬性管理權限,請考慮將 AWS IAM 作為設計備選方案。若要進一步了解 AWS IAM Identity Center 中的服務配額和其他設計考量,請參閱 AWS IAM Identity Center 使用者指南。有關 AWS IAM 設計考量,請參閱 AWS IAM 使用者指南。
透過 AWS IAM Identity Center,使用者可以輕鬆地集中管理對多個 AWS 帳戶和商業應用程式的聯合身分存取,以及從一個位置以單一登入的方式存取指派給他們的所有帳戶和應用程式。您可以使用 AWS IAM Identity Center 來取得 AWS IAM Identity Center 使用者目錄、現有公司目錄或外部 IdP 中的身分資訊。
AWS IAM Identity Center 可透過安全聲明標記語言 2.0 (SAML 2.0) 協定與您選擇的 IdP 搭配使用,例如 Okta Universal Directory 或 Azure Active Directory (AD)。 AWS IAM Identity Center 能夠無縫利用聯合身分使用者和角色的 IAM 權限和原則,協助您集中管理 AWS 組織中所有 AWS 帳戶的聯合身分存取。藉助 AWS IAM Identity Center,您可以根據 IdP 目錄中的群組成員資格指派權限,然後只需修改 IdP 中的使用者和群組,即可控制使用者的存取權限。 AWS IAM Identity Center 還支援跨網域身分識別管理系統 (SCIM) 標準,可將使用者和群組從 Azure AD 或 Okta Universal Directory 自動佈建到 AWS。 AWS IAM Identity Center 可根據 SAML 2.0 IdP 中定義的使用者屬性來定義精細的許可,讓您輕鬆實作以屬性為基礎的存取控制 (ABAC)。 藉助 AWS IAM Identity Center,您可以從透過 SCIM 自 IdP 同步的使用者資訊中選取 ABAC 屬性,或者將多個屬性 (例如成本中心、職稱或地區設定) 作為 SAML 2.0 聲明的一部分傳遞。您可以為整個 AWS 組織定義一次許可,然後只需變更 IdP 中的屬性即可授予、撤銷或修改 AWS 存取權限。使用 AWS IAM Identity Center,您也可以根據 IdP 目錄中的群組成員資格指派權限,然後只需修改 IdP 中的使用者和群組,即可控制使用者的存取權限。
AWS IAM Identity Center 可以充當 IdP,透過您選擇的目錄對 AWS IAM Identity Center 整合的應用程式,以及與 SAML 2.0 相容的雲端型應用程式 (例如 Salesforce、Box 和 Microsoft 365) 的使用者進行身分驗證。您也可以使用 AWS IAM Identity Center 對 AWS 管理主控台、AWS 主控台行動應用程式和 AWS Command Line Interface (CLI) 的使用者進行身分驗證。對於身分識別來源,您可以選擇 Microsoft Active Directory 或 AWS IAM Identity Center 的使用者目錄。
若要進一步了解,請參閱 AWS IAM Identity Center 使用者指南、瀏覽 AWS IAM Identity Center 入門,並探索下列其他資源:
您可以使用 AWS Identity and Access Management (IAM) 啟用對 AWS 帳戶的聯合身分存取。憑藉 AWS IAM 的靈活性,您可以為每個 AWS 帳戶啟用單獨的 SAML 2.0 或 Open ID Connect (OIDC) IdP,並使用聯合身分使用者屬性進行存取控制。您可以透過 AWS IAM 將使用者屬性 (例如成本中心、職稱或地區設定) 從 IdP 傳遞至 AWS,並根據這些屬性實作精細的存取權限。AWS IAM 可協助定義一次許可,然後只需變更 IdP 中的屬性,即可授予、撤銷或修改 AWS 存取權限。您可以透過實作可重複使用的自訂受管 IAM 政策,將相同的聯合身分存取政策套用至多個 AWS 帳戶。
若要進一步了解,請參閱 IAM 身分提供者和聯合身分、瀏覽 IAM 入門,並探索其他資源:
- 部落格文章:New for Identity Federation - Use Employee Attributes for Access Control in AWS
- 部落格文章:How to Implement a General Solution for Federated API/CLI Access Using SAML 2.0
- 部落格文章:How to Implement Federated API and CLI Access Using SAML 2.0 and AD FS
- 研討會:Choose Your Own SAML Adventure: A Self-Directed Journey to AWS Identity Federation Mastery
您可以使用 Amazon Cognito 為面向客戶之 Web 和行動應用程式新增聯合身分支援。它可讓您輕鬆快速地將使用者註冊、登入和存取控制新增至行動和 Web 應用程式。Amazon Cognito 可擴展到數百萬名使用者,且支援以社交身分供應商 (如 Apple、Facebook、Google 和 Amazon) 以及透過 SAML 2.0 以企業身分供應商登入。
若要進一步了解,請參閱 Amazon Cognito 開發人員指南、瀏覽 Amazon Cognito 入門,並探索其他資源: