Implementierungsdetails für das Custom Identity Toolkit Unterstützte Identitätsanbieter

Lösung für einen benutzerdefinierten Identitätsanbieter

Die AWS Transfer Family benutzerdefinierte Identitätsanbieter-Lösung ist eine modulare benutzerdefinierte Identitätsanbieter-Lösung, die viele gängige Authentifizierungs- und Autorisierungsanwendungsfälle löst, mit denen Unternehmen bei der Implementierung des Dienstes konfrontiert sind. Diese Lösung bietet eine wiederverwendbare Grundlage für die Implementierung benutzerdefinierter Identitätsanbieter mit detaillierter Sitzungskonfiguration pro Benutzer. Sie trennt die Authentifizierungs- und Autorisierungslogik und bietet so eine flexible easy-to-maintain Grundlage für verschiedene Anwendungsfälle.

Mit der AWS Transfer Family benutzerdefinierten Identitätsanbieter-Lösung können Sie allgemeine Anwendungsfälle für die Authentifizierung und Autorisierung in Unternehmen adressieren. Diese modulare Lösung bietet:

Eine wiederverwendbare Grundlage für die Implementierung benutzerdefinierter Identitätsanbieter
Granulare Sitzungskonfiguration pro Benutzer
Separate Authentifizierungs- und Autorisierungslogik

Implementierungsdetails für das Custom Identity Toolkit

Die Lösung bietet eine flexible und wartungsfreundliche Basis für verschiedene Anwendungsfälle. Sehen Sie sich zunächst das Toolkit unter https://github.com/aws-samples/toolkit-for-aws-transfer-family an und folgen Sie dann den Bereitstellungsanweisungen im Abschnitt Erste Schritte.

Architekturdiagramm für das benutzerdefinierte Identity Provider-Toolkit, verfügbar in. GitHub

Anmerkung

Wenn Sie zuvor benutzerdefinierte Vorlagen und Beispiele für Identitätsanbieter verwendet haben, sollten Sie stattdessen diese Lösung in Betracht ziehen. In Zukunft werden anbieterspezifische Module diese Lösung standardisieren. Diese Lösung wird fortlaufend gewartet und die Funktionen erweitert.

Diese Lösung enthält Standardmuster für die Implementierung eines benutzerdefinierten Anbieters, der Details wie die Protokollierung und den Speicherort der zusätzlichen Sitzungsmetadaten AWS Transfer Family, wie z. B. der HomeDirectoryDetails Parameter, berücksichtigt. Diese Lösung bietet eine wiederverwendbare Grundlage für die Implementierung benutzerdefinierter Identitätsanbieter mit einer detaillierten Sitzungskonfiguration pro Benutzer und entkoppelt die Authentifizierungslogik des Identitätsanbieters von der wiederverwendbaren Logik, die eine Konfiguration erstellt, die an Transfer Family zurückgegeben wird, um die Authentifizierung abzuschließen und Einstellungen für die Sitzung festzulegen.

Der Code und die unterstützenden Ressourcen für diese Lösung sind unter -family verfügbar. https://github.com/aws-samples/ toolkit-for-aws-transfer

Das Toolkit enthält die folgenden Funktionen:

Eine AWS Serverless Application ModelVorlage, die die erforderlichen Ressourcen bereitstellt. Optional können Sie Amazon API Gateway zur Integration bereitstellen und konfigurieren AWS WAF, wie im Blogbeitrag Securing AWS Transfer Family with AWS Web Application Firewall and Amazon API Gateway beschrieben.
Ein Amazon DynamoDB DynamoDB-Schema zum Speichern von Konfigurationsmetadaten über Identitätsanbieter, einschließlich Benutzersitzungseinstellungen wie HomeDirectoryDetailsRole, und. Policy
Ein modularer Ansatz, der es Ihnen ermöglicht, der Lösung in future neue Identitätsanbieter als Module hinzuzufügen.
Abruf von Attributen: Rufen Sie optional IAM-Rollen- und POSIX-Profilattribute (UID und GID) von unterstützten Identitätsanbietern ab, einschließlich AD, LDAP und Okta.
Support für mehrere Identitätsanbieter, die mit einem einzigen Transfer Family Family-Server verbunden sind, und für mehrere Transfer Family Family-Server, die dieselbe Bereitstellung der Lösung verwenden.
Integrierte Überprüfung von IP-Zulassungslisten, z. B. IP-Zulassungslisten, die optional pro Benutzer oder pro Identitätsanbieter konfiguriert werden können.
Detaillierte Protokollierung mit konfigurierbarer Protokollebene und Ablaufverfolgungsunterstützung zur Unterstützung bei der Fehlerbehebung.

Bevor Sie mit der Bereitstellung der benutzerdefinierten Identitätsanbieter-Lösung beginnen, benötigen Sie die folgenden Ressourcen. AWS

Eine Amazon Virtual Private Cloud (VPC) mit privaten Subnetzen, mit Internetkonnektivität entweder über ein NAT-Gateway oder einen DynamoDB-Gateway-Endpunkt.
Entsprechende IAM-Berechtigungen zur Ausführung der folgenden Aufgaben:
- Stellen Sie die custom-idp.yaml AWS CloudFormation Vorlage bereit,
- AWS CodePipeline Projekte erstellen
- AWS CodeBuild Projekte erstellen
- Erstellen Sie IAM-Rollen und -Richtlinien

Wichtig

Sie müssen die Lösung auf demselben AWS-Konto Server bereitstellen AWS-Region , der Ihre Transfer Family Family-Zielserver enthält.

Unterstützte Identitätsanbieter

Die folgende Liste enthält Informationen zu Identitätsanbietern, die für die benutzerdefinierte Identitätsanbieterlösung unterstützt werden.

Anbieter	Kennwortflüsse	Öffentliche Schlüssel fließen	Multifaktoriell	Abrufen von Attributen	Details
Active Directory und LDAP	Ja	Ja	Nein	Ja	Die Benutzerverifizierung kann im Rahmen der Authentifizierung mit öffentlichen Schlüsseln durchgeführt werden.
Argon2 (lokaler Hash)	Ja	Nein	Nein	Nein	Argon2-Hashes werden im Benutzerdatensatz für Anwendungsfälle der „lokalen“ passwortbasierten Authentifizierung gespeichert.
Amazon Cognito	Ja	Nein	Ja*	Nein	Nur auf der Grundlage von zeitbasiertem Einmalpasswort (TOTP) mehrstufige Authentifizierung. *SMS-basierte MFA wird nicht unterstützt.
Entra ID (früher Azure AD)	Ja	Nein	Nein	Nein
Okta	Ja	Ja	Ja*	Ja	Nur TOTP-basierte MFA.
Öffentlicher Schlüssel	Nein	Ja	Nein	Nein	Öffentliche Schlüssel werden im Benutzerdatensatz in DynamoDB gespeichert.
Secrets Manager	Ja	Ja	Nein	Nein

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Benutzerdefinierter Identitätsanbieter

Lambda als Identitätsanbieter