Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Lösung für einen benutzerdefinierten Identitätsanbieter
Die AWS Transfer Family benutzerdefinierte Identitätsanbieter-Lösung ist eine modulare benutzerdefinierte Identitätsanbieter-Lösung, die viele gängige Authentifizierungs- und Autorisierungsanwendungsfälle löst, mit denen Unternehmen bei der Implementierung des Dienstes konfrontiert sind. Diese Lösung bietet eine wiederverwendbare Grundlage für die Implementierung benutzerdefinierter Identitätsanbieter mit detaillierter Sitzungskonfiguration pro Benutzer. Sie trennt die Authentifizierungs- und Autorisierungslogik und bietet so eine flexible easy-to-maintain Grundlage für verschiedene Anwendungsfälle.
Mit der AWS Transfer Family benutzerdefinierten Identitätsanbieter-Lösung können Sie allgemeine Anwendungsfälle für die Authentifizierung und Autorisierung in Unternehmen adressieren. Diese modulare Lösung bietet:
-
Eine wiederverwendbare Grundlage für die Implementierung benutzerdefinierter Identitätsanbieter
-
Granulare Sitzungskonfiguration pro Benutzer
-
Separate Authentifizierungs- und Autorisierungslogik
Implementierungsdetails für das Custom Identity Toolkit
Die Lösung bietet eine flexible und wartungsfreundliche Basis für verschiedene Anwendungsfälle. Sehen Sie sich zunächst das Toolkit unter https://github.com/aws-samples/toolkit-for-aws-transfer-family

Anmerkung
Wenn Sie zuvor benutzerdefinierte Vorlagen und Beispiele für Identitätsanbieter verwendet haben, sollten Sie stattdessen diese Lösung in Betracht ziehen. In Zukunft werden anbieterspezifische Module diese Lösung standardisieren. Diese Lösung wird fortlaufend gewartet und die Funktionen erweitert.
Diese Lösung enthält Standardmuster für die Implementierung eines benutzerdefinierten Anbieters, der Details wie die Protokollierung und den Speicherort der zusätzlichen Sitzungsmetadaten AWS Transfer Family, wie z. B. der HomeDirectoryDetails
Parameter, berücksichtigt. Diese Lösung bietet eine wiederverwendbare Grundlage für die Implementierung benutzerdefinierter Identitätsanbieter mit einer detaillierten Sitzungskonfiguration pro Benutzer und entkoppelt die Authentifizierungslogik des Identitätsanbieters von der wiederverwendbaren Logik, die eine Konfiguration erstellt, die an Transfer Family zurückgegeben wird, um die Authentifizierung abzuschließen und Einstellungen für die Sitzung festzulegen.
Das Toolkit enthält die folgenden Funktionen:
-
Eine AWS Serverless Application Model
Vorlage, die die erforderlichen Ressourcen bereitstellt. Optional können Sie Amazon API Gateway zur Integration bereitstellen und konfigurieren AWS WAF, wie im Blogbeitrag Securing AWS Transfer Family with AWS Web Application Firewall and Amazon API Gateway beschrieben. -
Ein Amazon DynamoDB DynamoDB-Schema
zum Speichern von Konfigurationsmetadaten über Identitätsanbieter, einschließlich Benutzersitzungseinstellungen wie HomeDirectoryDetails
Role
, und.Policy
-
Ein modularer Ansatz, der es Ihnen ermöglicht, der Lösung in future neue Identitätsanbieter als Module hinzuzufügen.
-
Abruf von Attributen: Rufen Sie optional IAM-Rollen- und POSIX-Profilattribute (UID und GID) von unterstützten Identitätsanbietern ab, einschließlich AD, LDAP und Okta.
-
Support für mehrere Identitätsanbieter, die mit einem einzigen Transfer Family Family-Server verbunden sind, und für mehrere Transfer Family Family-Server, die dieselbe Bereitstellung der Lösung verwenden.
-
Integrierte Überprüfung von IP-Zulassungslisten, z. B. IP-Zulassungslisten, die optional pro Benutzer oder pro Identitätsanbieter konfiguriert werden können.
-
Detaillierte Protokollierung mit konfigurierbarer Protokollebene und Ablaufverfolgungsunterstützung zur Unterstützung bei der Fehlerbehebung.
Bevor Sie mit der Bereitstellung der benutzerdefinierten Identitätsanbieter-Lösung beginnen, benötigen Sie die folgenden Ressourcen. AWS
-
Eine Amazon Virtual Private Cloud (VPC) mit privaten Subnetzen, mit Internetkonnektivität entweder über ein NAT-Gateway oder einen DynamoDB-Gateway-Endpunkt.
-
Entsprechende IAM-Berechtigungen zur Ausführung der folgenden Aufgaben:
-
Stellen Sie die
custom-idp.yaml
AWS CloudFormation Vorlage bereit, -
AWS CodePipeline Projekte erstellen
-
AWS CodeBuild Projekte erstellen
-
Erstellen Sie IAM-Rollen und -Richtlinien
-
Wichtig
Sie müssen die Lösung auf demselben AWS-Konto Server bereitstellen AWS-Region , der Ihre Transfer Family Family-Zielserver enthält.
Unterstützte Identitätsanbieter
Die folgende Liste enthält Informationen zu Identitätsanbietern, die für die benutzerdefinierte Identitätsanbieterlösung unterstützt werden.
Anbieter | Kennwortflüsse | Öffentliche Schlüssel fließen | Multifaktoriell | Abrufen von Attributen | Details |
---|---|---|---|---|---|
Active Directory und LDAP | Ja | Ja | Nein | Ja | Die Benutzerverifizierung kann im Rahmen der Authentifizierung mit öffentlichen Schlüsseln durchgeführt werden. |
Argon2 (lokaler Hash) | Ja | Nein | Nein | Nein | Argon2-Hashes werden im Benutzerdatensatz für Anwendungsfälle der „lokalen“ passwortbasierten Authentifizierung gespeichert. |
Amazon Cognito | Ja | Nein | Ja* | Nein | Nur auf der Grundlage von zeitbasiertem Einmalpasswort (TOTP) mehrstufige Authentifizierung. *SMS-basierte MFA wird nicht unterstützt. |
Entra ID (früher Azure AD) | Ja | Nein | Nein | Nein | |
Okta | Ja | Ja | Ja* | Ja | Nur TOTP-basierte MFA. |
Öffentlicher Schlüssel | Nein | Ja | Nein | Nein | Öffentliche Schlüssel werden im Benutzerdatensatz in DynamoDB gespeichert. |
Secrets Manager | Ja | Ja | Nein | Nein |