Lösung für einen benutzerdefinierten Identitätsanbieter - AWS Transfer Family

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Lösung für einen benutzerdefinierten Identitätsanbieter

Die AWS Transfer Family benutzerdefinierte Identitätsanbieter-Lösung ist eine modulare benutzerdefinierte Identitätsanbieter-Lösung, die viele gängige Authentifizierungs- und Autorisierungsanwendungsfälle löst, mit denen Unternehmen bei der Implementierung des Dienstes konfrontiert sind. Diese Lösung bietet eine wiederverwendbare Grundlage für die Implementierung benutzerdefinierter Identitätsanbieter mit detaillierter Sitzungskonfiguration pro Benutzer. Sie trennt die Authentifizierungs- und Autorisierungslogik und bietet so eine flexible easy-to-maintain Grundlage für verschiedene Anwendungsfälle.

Mit der AWS Transfer Family benutzerdefinierten Identitätsanbieter-Lösung können Sie allgemeine Anwendungsfälle für die Authentifizierung und Autorisierung in Unternehmen adressieren. Diese modulare Lösung bietet:

  • Eine wiederverwendbare Grundlage für die Implementierung benutzerdefinierter Identitätsanbieter

  • Granulare Sitzungskonfiguration pro Benutzer

  • Separate Authentifizierungs- und Autorisierungslogik

Implementierungsdetails für das Custom Identity Toolkit

Die Lösung bietet eine flexible und wartungsfreundliche Basis für verschiedene Anwendungsfälle. Sehen Sie sich zunächst das Toolkit unter https://github.com/aws-samples/toolkit-for-aws-transfer-family an und folgen Sie dann den Bereitstellungsanweisungen im Abschnitt Erste Schritte.

Architekturdiagramm für das benutzerdefinierte Identity Provider-Toolkit, verfügbar in. GitHub
Anmerkung

Wenn Sie zuvor benutzerdefinierte Vorlagen und Beispiele für Identitätsanbieter verwendet haben, sollten Sie stattdessen diese Lösung in Betracht ziehen. In Zukunft werden anbieterspezifische Module diese Lösung standardisieren. Diese Lösung wird fortlaufend gewartet und die Funktionen erweitert.

Diese Lösung enthält Standardmuster für die Implementierung eines benutzerdefinierten Anbieters, der Details wie die Protokollierung und den Speicherort der zusätzlichen Sitzungsmetadaten AWS Transfer Family, wie z. B. der HomeDirectoryDetails Parameter, berücksichtigt. Diese Lösung bietet eine wiederverwendbare Grundlage für die Implementierung benutzerdefinierter Identitätsanbieter mit einer detaillierten Sitzungskonfiguration pro Benutzer und entkoppelt die Authentifizierungslogik des Identitätsanbieters von der wiederverwendbaren Logik, die eine Konfiguration erstellt, die an Transfer Family zurückgegeben wird, um die Authentifizierung abzuschließen und Einstellungen für die Sitzung festzulegen.

Der Code und die unterstützenden Ressourcen für diese Lösung sind unter -family verfügbar. https://github.com/aws-samples/ toolkit-for-aws-transfer

Das Toolkit enthält die folgenden Funktionen:

  • Eine AWS Serverless Application ModelVorlage, die die erforderlichen Ressourcen bereitstellt. Optional können Sie Amazon API Gateway zur Integration bereitstellen und konfigurieren AWS WAF, wie im Blogbeitrag Securing AWS Transfer Family with AWS Web Application Firewall and Amazon API Gateway beschrieben.

  • Ein Amazon DynamoDB DynamoDB-Schema zum Speichern von Konfigurationsmetadaten über Identitätsanbieter, einschließlich Benutzersitzungseinstellungen wie HomeDirectoryDetailsRole, und. Policy

  • Ein modularer Ansatz, der es Ihnen ermöglicht, der Lösung in future neue Identitätsanbieter als Module hinzuzufügen.

  • Abruf von Attributen: Rufen Sie optional IAM-Rollen- und POSIX-Profilattribute (UID und GID) von unterstützten Identitätsanbietern ab, einschließlich AD, LDAP und Okta.

  • Support für mehrere Identitätsanbieter, die mit einem einzigen Transfer Family Family-Server verbunden sind, und für mehrere Transfer Family Family-Server, die dieselbe Bereitstellung der Lösung verwenden.

  • Integrierte Überprüfung von IP-Zulassungslisten, z. B. IP-Zulassungslisten, die optional pro Benutzer oder pro Identitätsanbieter konfiguriert werden können.

  • Detaillierte Protokollierung mit konfigurierbarer Protokollebene und Ablaufverfolgungsunterstützung zur Unterstützung bei der Fehlerbehebung.

Bevor Sie mit der Bereitstellung der benutzerdefinierten Identitätsanbieter-Lösung beginnen, benötigen Sie die folgenden Ressourcen. AWS

  • Eine Amazon Virtual Private Cloud (VPC) mit privaten Subnetzen, mit Internetkonnektivität entweder über ein NAT-Gateway oder einen DynamoDB-Gateway-Endpunkt.

  • Entsprechende IAM-Berechtigungen zur Ausführung der folgenden Aufgaben:

    • Stellen Sie die custom-idp.yaml AWS CloudFormation Vorlage bereit,

    • AWS CodePipeline Projekte erstellen

    • AWS CodeBuild Projekte erstellen

    • Erstellen Sie IAM-Rollen und -Richtlinien

Wichtig

Sie müssen die Lösung auf demselben AWS-Konto Server bereitstellen AWS-Region , der Ihre Transfer Family Family-Zielserver enthält.

Unterstützte Identitätsanbieter

Die folgende Liste enthält Informationen zu Identitätsanbietern, die für die benutzerdefinierte Identitätsanbieterlösung unterstützt werden.

Anbieter Kennwortflüsse Öffentliche Schlüssel fließen Multifaktoriell Abrufen von Attributen Details
Active Directory und LDAP Ja Ja Nein Ja

Die Benutzerverifizierung kann im Rahmen der Authentifizierung mit öffentlichen Schlüsseln durchgeführt werden.

Argon2 (lokaler Hash) Ja Nein Nein Nein Argon2-Hashes werden im Benutzerdatensatz für Anwendungsfälle der „lokalen“ passwortbasierten Authentifizierung gespeichert.
Amazon Cognito Ja Nein Ja* Nein

Nur auf der Grundlage von zeitbasiertem Einmalpasswort (TOTP) mehrstufige Authentifizierung.

*SMS-basierte MFA wird nicht unterstützt.

Entra ID (früher Azure AD) Ja Nein Nein Nein
Okta Ja Ja Ja* Ja Nur TOTP-basierte MFA.
Öffentlicher Schlüssel Nein Ja Nein Nein Öffentliche Schlüssel werden im Benutzerdatensatz in DynamoDB gespeichert.
Secrets Manager Ja Ja Nein Nein