دسترسی به کاربران معتبر خارجی (فدراسیون هویت)

کاربران شما ممکن است قبلاً در خارج از AWS هویت داشته باشند ، مانند دایرکتوری شرکت شما. اگر این کاربران نیاز به کار با منابع AWS (یا با برنامه هایی که به آن منابع دسترسی دارند کار کنند) ، پس آن کاربران نیز به اعتبار امنیتی AWS احتیاج دارند. شما می توانید از نقش IAM برای مشخص کردن مجوزها برای کاربرانی که هویت آنها از سازمان شما یا ارائه دهنده هویت شخص ثالث (IDP) فدرال شده است ، استفاده کنید.

کاربران فدراسیون یک برنامه موبایل یا مبتنی بر وب با آمازون Cognito

اگر یک برنامه موبایل یا مبتنی بر وب ایجاد می کنید که به منابع AWS دسترسی پیدا کند ، برنامه به اعتبار امنیتی نیاز دارد تا درخواست های برنامه ای را به AWS ارائه دهد. برای بیشتر سناریوهای برنامه کاربردی تلفن همراه ، توصیه می کنیم از Amazon Cognito استفاده کنید. شما می توانید از این سرویس با AWS Mobile SDK برای iOS و AWS Mobile SDK برای Android و Fire Os استفاده کنید تا هویت های منحصر به فردی را برای کاربران ایجاد کرده و آنها را برای دسترسی ایمن به منابع AWS خود تأیید کنید. آمازون Cognito از همان ارائه دهندگان هویت مانند موارد ذکر شده در بخش بعدی پشتیبانی می کند ، و همچنین از هویت های معتبر توسعه دهنده و دسترسی غیرمجاز (مهمان) پشتیبانی می کند. Amazon Cognito همچنین عملیات API را برای همگام سازی داده های کاربر فراهم می کند به طوری که با حرکت کاربران بین دستگاه ها حفظ می شود. برای اطلاعات بیشتر ، به استفاده از Amazon Cognito برای برنامه های تلفن همراه مراجعه کنید.

کاربران فدراسیون با ارائه دهندگان خدمات هویت عمومی یا OpenID Connect

در هر زمان ممکن ، از آمازون Cognito برای سناریوهای برنامه کاربردی موبایل و مبتنی بر وب استفاده کنید. آمازون Cognito بیشتر صحنه های پشت صحنه را با خدمات ارائه دهنده هویت عمومی برای شما کار می کند. با همان خدمات شخص ثالث کار می کند و همچنین از علائم ناشناس پشتیبانی می کند. با این حال ، برای سناریوهای پیشرفته تر ، می توانید مستقیماً با یک سرویس شخص ثالث مانند ورود به آمازون ، فیس بوک ، گوگل یا هر IDP که با OpenID Connect سازگار است (OIDC) کار کنید. برای کسب اطلاعات بیشتر در مورد استفاده از فدراسیون هویت وب با استفاده از یکی از این خدمات ، در مورد فدراسیون هویت وب مراجعه کنید.

کاربران فدراسیون با SAML 2. 0

اگر سازمان شما قبلاً از یک بسته نرم افزاری ارائه دهنده هویت پشتیبانی می کند که از SAML 2. 0 پشتیبانی می کند (Language Markup Markup Language 2. 0) ، می توانید اعتماد بین سازمان خود را به عنوان ارائه دهنده هویت (IDP) و AWS به عنوان ارائه دهنده خدمات ایجاد کنید. سپس می توانید از SAML استفاده کنید تا کاربران خود را به صورت فدراسیون تک علامت (SSO) به کنسول مدیریت AWS یا دسترسی به فدراسیون به عملیات AWS AWS ارائه دهید. به عنوان مثال ، اگر شرکت شما از خدمات فدراسیون Microsoft Active Directory و Active Directory استفاده می کند ، می توانید با استفاده از SAML 2. 0 فدراسیون کنید. برای کسب اطلاعات بیشتر در مورد کاربران فدراسیون با SAML 2. 0 ، به فدراسیون مستقر در SAML 2. 0 مراجعه کنید.

کاربران فدراسیون با ایجاد یک برنامه کارگزار هویت سفارشی

اگر فروشگاه هویت شما با SAML 2. 0 سازگار نیست ، می توانید برای انجام یک عملکرد مشابه ، یک برنامه کارگزار هویت سفارشی بسازید. برنامه کارگزار کاربران را تأیید می کند ، از اعتبار موقت برای کاربران AWS درخواست می کند ، و سپس آنها را برای دسترسی به منابع AWS به کاربر می دهد.

به عنوان مثال ، مثال شرکت دارای بسیاری از کارمندان است که نیاز به اجرای برنامه های داخلی دارند که به منابع AWS شرکت دسترسی دارند. کارمندان در حال حاضر در سیستم هویت و احراز هویت شرکت هویت دارند و مثال Corp. نمی خواهد یک کاربر جداگانه IAM برای هر کارمند شرکت ایجاد کند.

باب یک توسعه دهنده در Corp. برای فعال کردن برنامه های داخلی برای دسترسی به منابع AWS شرکت است ، باب یک برنامه کارگزار هویت سفارشی را تهیه می کند. این برنامه تأیید می کند که کارمندان به سیستم هویت و احراز هویت Corp. موجود در آن امضا شده اند ، که ممکن است از LDAP ، Active Directory یا سیستم دیگری استفاده کند. سپس برنامه کارگزار هویت اعتبار امنیتی موقت را برای کارمندان بدست می آورد. این سناریو شبیه به برنامه قبلی است (یک برنامه تلفن همراه که از یک سیستم احراز هویت سفارشی استفاده می کند) ، به جز این که برنامه هایی که نیاز به دسترسی به منابع AWS دارند همه در شبکه شرکت ها اجرا می شوند و شرکت دارای یک سیستم احراز هویت موجود است.

برای به دست آوردن اعتبار امنیتی موقت ، برنامه کارگزار هویت برای به دست آوردن اعتبار امنیتی موقت ، بسته به نحوه باب می خواهد سیاست های کاربران را مدیریت کند و چه زمانی اعتبار موقت را منقضی می کند.(برای کسب اطلاعات بیشتر در مورد تفاوت بین این عملیات API ، به اعتبارنامه های امنیتی موقت در IAM و کنترل مجوزهای اعتبار امنیتی موقت مراجعه کنید.) این تماس اعتبارنامه های امنیتی موقت متشکل از شناسه کلید دسترسی AWS ، یک کلید دسترسی مخفی و یک جلسه جلسه را برمی گرداندبشربرنامه کارگزار هویت این اعتبار امنیتی موقت را در دسترس برنامه شرکت داخلی قرار می دهد. سپس برنامه می تواند از اعتبار موقت برای برقراری تماس مستقیم با AWS استفاده کند. برنامه تا زمان انقضا ، اعتبارنامه ها را ذخیره می کند و سپس مجموعه جدیدی از اعتبار موقت را درخواست می کند. شکل زیر این سناریو را نشان می دهد.

این سناریو ویژگی های زیر را دارد:

• برنامه کارگزار هویت دارای مجوزهایی برای دسترسی به API سرویس IAM Token (STS) برای ایجاد اعتبار امنیتی موقت است.
• برنامه کارگزار هویت قادر است تأیید کند که کارمندان در سیستم احراز هویت موجود تأیید می شوند.
• کاربران قادر به دریافت URL موقت هستند که به آنها امکان دسترسی به کنسول مدیریت AWS (که از آن به عنوان ورود به سیستم استفاده می شود) دسترسی دارند.

برای دیدن یک برنامه نمونه مشابه برنامه کارگزار هویت که در این سناریو شرح داده شده است ، به برنامه نمونه فدراسیون هویت برای یک مورد استفاده از فهرست فعال در کد و کتابخانه های نمونه AWS بروید. برای کسب اطلاعات در مورد ایجاد اعتبار امنیتی موقت ، به درخواست اعتبار امنیتی موقت مراجعه کنید. برای کسب اطلاعات بیشتر در مورد دسترسی کاربران فدراسیون به کنسول مدیریت AWS ، به کاربران فدرال شده SAML 2. 0 برای دسترسی به کنسول مدیریت AWS مراجعه کنید.