Vertrauenswürdige Drittanbieter - AWS Verifizierter Zugriff
Browser-ErweiterungJamfCrowdStrikeJumpCloud

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Vertrauenswürdige Drittanbieter

In diesem Abschnitt werden die Vertrauensdaten beschrieben, die AWS Verified Access von Drittanbietern zur Verfügung gestellt werden.

Anmerkung

Der Kontextschlüssel für Ihren Vertrauensanbieter stammt aus dem Referenznamen der Richtlinie, den Sie bei der Erstellung des Vertrauensanbieters konfigurieren. Wenn Sie den Referenznamen der Richtlinie beispielsweise als „idp123" konfigurieren, lautet der Kontextschlüssel „context.idp123". Stellen Sie sicher, dass Sie beim Erstellen der Richtlinie den richtigen Kontextschlüssel verwenden.

Browser-Erweiterung

Wenn Sie beabsichtigen, den Kontext der Gerätevertrauensstellung in Ihre Zugriffsrichtlinien zu integrieren, benötigen Sie entweder die Browsererweiterung AWS Verified Access oder die Browsererweiterung eines anderen Partners. Verified Access unterstützt derzeit die Browser Google Chrome und Mozilla Firefox.

Wir unterstützen derzeit drei vertrauenswürdige Anbieter für Geräte: Jamf (das macOS-Geräte unterstützt), CrowdStrike (das Windows 11- und Windows 10-Geräte unterstützt) und JumpCloud (das sowohl Windows als auch macOS unterstützt).

  • Wenn Sie in Ihren Richtlinien vertrauenswürdige Daten von Jamf verwenden, müssen Ihre Benutzer die Browsererweiterung AWS Verified Access aus dem Chrome Web Store oder der Firefox Add-On-Website auf ihren Geräten herunterladen und installieren.

  • Wenn Sie CrowdStrikeVertrauensdaten in Ihren Richtlinien verwenden, müssen Ihre Benutzer zunächst den AWSVerified Access Native Messaging Host (direkter Download-Link) installieren. Diese Komponente ist erforderlich, um die Vertrauensdaten von dem CrowdStrike Agenten abzurufen, der auf den Geräten der Benutzer ausgeführt wird. Nach der Installation dieser Komponente müssen Benutzer dann die Browsererweiterung AWS Verified Access aus dem Chrome-Webshop oder der Firefox-Add-On-Website auf ihren Geräten installieren.

  • Wenn Sie sie verwenden JumpCloud, müssen Ihre Nutzer die JumpCloud Browsererweiterung aus dem Chrome-Webshop oder der Firefox-Add-On-Website auf ihren Geräten installiert haben.

Jamf

Jamf ist ein vertrauenswürdiger Drittanbieter. Wenn Sie Jamf bei der Bewertung einer Richtlinie als Vertrauensanbieter definieren, schließt Verified Access die Vertrauensdaten im Cedar-Kontext unter dem Schlüssel ein, den Sie in der Trust-Provider-Konfiguration als „Policy Reference Name“ angeben. Wenn Sie möchten, können Sie eine Richtlinie schreiben, die anhand der Vertrauensdaten bewertet wird. Das folgende JSON-Schema zeigt, welche Daten in der Bewertung enthalten sind.

Weitere Informationen zur Verwendung von Jamf with AWS Verified Access finden Sie unter Integrating AWS Verified Access with Jamf Device Identity auf der Jamf-Website.

{
    "title": "Jamf device data specification",
    "type": "object",
    "properties": {
        "iss": {
            "type": "string",
            "description": "\"Issuer\" - the Jamf customer ID"
        },
        "iat": {
            "type": "integer",
            "description": "\"Issued at Time\" - a unixtime (seconds since epoch) value of when the device information data was generated"
        },
        "exp": {
            "type": "integer",
            "description": "\"Expiration\" - a unixtime (seconds since epoch) value for when this device information is no longer valid"
        },
        "sub": {
            "type": "string",
            "description": "\"Subject\" - either the hardware UID or a value generated based on device location"
        },
        "groups": {
            "type": "array",
            "description": "Group IDs from UEM connector sync",
            "items": {
                "type": "string"
            }
        },
        "risk": {
            "type": "string",
            "enum": [
                "HIGH",
                "MEDIUM",
                "LOW",
                "SECURE",
                "NOT_APPLICABLE"
            ],
            "description": "a Jamf-reported level of risk associated with the device."
        },
        "osv": {
            "type": "string",
            "description": "The version of the OS that is currently running, in Apple version number format (https://support.apple.com/en-us/HT201260)"
        }
    }
}

Im Folgenden finden Sie ein Beispiel für eine Richtlinie, die anhand der von Jamf bereitgestellten Vertrauensdaten bewertet wird.

permit(principal, action, resource) when {
   context.jamf.risk == "LOW"
};

Cedar bietet eine nützliche .contains() Funktion, die bei Aufzählungen wie dem Risiko-Score von Jamf hilft.

permit(principal, action, resource) when {
   ["LOW", "SECURE"].contains(context.jamf.risk)
};

CrowdStrike

CrowdStrike ist ein vertrauenswürdiger Drittanbieter. Wenn Sie eine Richtlinie CrowdStrike als Vertrauensanbieter definieren, schließt Verified Access die Vertrauensdaten im Cedar-Kontext unter dem Schlüssel ein, den Sie in der Trust-Provider-Konfiguration als „Richtlinien-Referenzname“ angeben. Wenn Sie möchten, können Sie eine Richtlinie schreiben, die anhand der Vertrauensdaten bewertet wird. Das folgende JSON-Schema zeigt, welche Daten in der Bewertung enthalten sind.

Weitere Informationen zur Verwendung CrowdStrike mit AWS Verified Access finden Sie auf der GitHub Website unter Absichern privater Anwendungen mit CrowdStrike und AWS Verified Access.

{
  "title": "CrowdStrike device data specification",
  "type": "object",
  "properties": {
    "assessment": {
      "type": "object",
      "description": "Data about CrowdStrike's assessment of the device",
      "properties": {
        "overall": {
          "type": "integer",
          "description": "A single metric, between 1-100, that accounts as a weighted average of the OS and and Sensor Config scores"
        },
        "os": {
          "type": "integer",
          "description": "A single metric, between 1-100, that accounts for the OS-specific settings monitored on the host"
        },
        "sensor_config": {
          "type": "integer",
          "description": "A single metric, between 1-100, that accounts for the different sensor policies monitored on the host"
        },
        "version": {
          "type": "string",
          "description": "The version of the scoring algorithm being used"
        }
      }
    },
    "cid": {
      "type": "string",
      "description": "Customer ID (CID) unique to the customer's environemnt"
    },
    "exp": {
      "type": "integer",
      "description": "unixtime, The expiration time of the token"
    },
    "iat": {
      "type": "integer",
      "description": "unixtime, The issued time of the token"
    },
    "jwk_url": {
      "type": "string",
      "description": "URL that details the JWT signing"
    },
    "platform": {
      "type": "string",
      "enum": ["Windows 10", "Windows 11", "macOS"],
      "description": "Operating system of the endpoint"
    },
    "serial_number": {
      "type": "string",
      "description": "The serial number of the device derived by unique system information"
    },
    "sub": {
      "type": "string",
      "description": "Unique CrowdStrike Agent ID (AID) of machine"
    },
    "typ": {
      "type": "string",
      "enum": ["crowdstrike-zta+jwt"],
      "description": "Generic name for this JWT media. Client MUST reject any other type"
    }
  }
}

Im Folgenden finden Sie ein Beispiel für eine Richtlinie, die anhand der von CrowdStrike bereitgestellten Vertrauensdaten bewertet wird.

permit(principal, action, resource) when {
   context.crowdstrike.assessment.overall > 50
};

JumpCloud

JumpCloud ist ein vertrauenswürdiger Drittanbieter. Wenn Sie eine Richtlinie JumpCloud als Vertrauensanbieter definieren, schließt Verified Access die Vertrauensdaten im Cedar-Kontext unter dem Schlüssel ein, den Sie in der Trust-Provider-Konfiguration als „Richtlinien-Referenzname“ angeben. Wenn Sie möchten, können Sie eine Richtlinie schreiben, die anhand der Vertrauensdaten bewertet wird. Das folgende JSON-Schema zeigt, welche Daten in der Bewertung enthalten sind.

Weitere Informationen zur Verwendung JumpCloud mit AWS Verified Access finden Sie auf der JumpCloud Website unter Integrating JumpCloud and AWS Verified Access.

{
  "title": "JumpCloud device data specification",
  "type": "object",
  "properties": {
    "device": {
      "type": "object",
      "description": "Properties of the device",
      "properties": {
        "is_managed": {
          "type": "boolean",
          "description": "Boolean to indicate if the device is under management"
        }
      }
    },
    "exp": {
      "type": "integer",
      "description": "Expiration. Unixtime of the token's expiration."
    },
    "durt_id": {
      "type": "string",
      "description": "Device User Refresh Token ID. Unique ID that represents the device + user."
    },
    "iat": {
      "type": "integer",
      "description": "Issued At. Unixtime of the token's issuance."
    },
    "iss": {
      "type": "string",
      "description": "Issuer. This will be 'go.jumpcloud.com'"
    },
    "org_id": {
      "type": "string",
      "description": "The JumpCloud Organization ID"
    },
    "sub": {
      "type": "string",
      "description": "Subject. The managed JumpCloud user ID on the device."
    },
    "system": {
      "type": "string",
      "description": "The JumpCloud system ID"
    }
  }
}

Im Folgenden finden Sie ein Beispiel für eine Richtlinie, die anhand des von bereitgestellten Vertrauenskontextes bewertet wird JumpCloud.

permit(principal, action, resource) when {
   context.jumpcloud.org_id = 'Unique_orgnaization_identifier'
};