SEC02-BP04 Verlassen auf einen zentralen Identitätsanbieter

Verlassen Sie sich im Zusammenhang mit Identitäten für Ihre Belegschaft (Mitarbeiter und Auftragnehmer) auf einen Identitätsanbieter, mit dem Sie Identitäten zentral verwalten können. Dadurch ist es einfacher, den Zugriff über mehrere Anwendungen und Systeme hinweg zu verwalten, da Sie den Zugriff von einem einzigen Standort aus erstellen, zuweisen, verwalten, widerrufen und überwachen.

Gewünschtes Ergebnis: Sie verfügen über einen zentralen Identitätsanbieter, mit dem Sie Benutzer im Unternehmen, Authentifizierungsrichtlinien (z. B. die Anforderung einer Multi-Faktor-Authentifizierung, MFA) und die Autorisierung für Systeme und Anwendungen zentral verwalten (z. B. die Zuweisung von Zugriffsberechtigungen auf Grundlage der Gruppenmitgliedschaft oder der Attribute eines Benutzers). Die Benutzer in Ihrer Belegschaft melden sich beim zentralen Identitätsanbieter an und bilden einen Verbund (Single Sign-On) mit internen und externen Anwendungen, sodass sich die Benutzer nicht mehrere Anmeldeinformationen merken müssen. Ihr Identitätsanbieter ist in Ihre Personalverwaltungssysteme integriert, sodass Personaländerungen automatisch mit Ihrem Identitätsanbieter synchronisiert werden. Wenn beispielsweise jemand Ihr Unternehmen verlässt, können Sie den Zugriff auf alle Anwendungen und Systeme im Verbund (einschließlich AWS) widerrufen. Sie haben die detaillierte Auditprotokollierung in Ihrem Identitätsanbieter aktiviert und überwachen diese Protokolle auf ungewöhnliches Benutzerverhalten.

Typische Anti-Muster:

Sie verwenden keinen Verbund mit Single-Sign-On. Die Benutzer in Ihrer Belegschaft erstellen separate Benutzerkonten und Anmeldeinformationen für mehrere Anwendungen und Systeme.
Sie haben den Lebenszyklus von Identitäten für Benutzer in Ihrer Belegschaft nicht automatisiert, indem Sie beispielsweise Ihren Identitätsanbieter in Ihre Personalverwaltungssysteme integriert haben. Wenn ein Benutzer Ihre Organisation verlässt oder die Position wechselt, folgen Sie einem manuellen Prozess, um seine Datensätze in mehreren Anwendungen und Systemen zu löschen oder zu aktualisieren.

Vorteile der Nutzung dieser bewährten Methode: Durch die Verwendung eines zentralen Identitätsanbieters haben Sie die Möglichkeit, Benutzeridentitäten und Richtlinien für Ihre Mitarbeiter von einem zentralen Ort aus zu verwalten, Benutzern und Gruppen Zugriff auf Anwendungen zuzuweisen und die Anmeldeaktivitäten der Benutzer zu überwachen. Wenn ein Benutzer die Position wechselt, werden durch die Integration in Ihre Personalverwaltungssysteme Änderungen mit dem Identitätsanbieter synchronisiert und die ihm zugewiesenen Anwendungen und Berechtigungen werden automatisch aktualisiert. Wenn ein Benutzer Ihre Organisation verlässt, wird seine Identität automatisch im Identitätsanbieter deaktiviert, wodurch ihm der Zugriff auf Anwendungen und Systeme im Verbund entzogen wird.

Risikostufe bei fehlender Befolgung dieser Best Practice:: Hoch

Implementierungsleitfaden

Leitfaden für Benutzer im Unternehmen, die auf AWS zugreifen

Benutzer in Ihrer Belegschaft, z. B. Mitarbeiter und Auftragnehmer in Ihrer Organisation, benötigen möglicherweise Zugriff auf AWS über die AWS Management Console oder AWS Command Line Interface (AWS CLI), um ihre Aufgaben auszuführen. Sie können diesen Benutzern Zugriff auf AWS gewähren, indem Sie einen Verbund von Ihrem zentralen Identitätsanbieter zu AWS auf zwei Ebenen einrichten: ein direkter Verbund mit jedem AWS-Konto oder ein Verbund mit mehreren Konten in Ihrem AWS Unternehmen.

Um die Benutzer in Ihrem Unternehmen direkt mit jedem AWS-Konto zu verbinden, können Sie einen zentralen Identitätsanbieter für den Verbund mit AWS Identity and Access Management in diesem Konto verwenden. Die Flexibilität von IAM ermöglicht es Ihnen, einen separaten SAML 2.0- oder Open ID Connect (OIDC)- Identitätsanbieter für jedes AWS-Konto zu aktivieren und Verbundbenutzerattribute für die Zugriffskontrolle zu verwenden. Die Benutzer in Ihrer Belegschaft verwenden ihren Webbrowser, um sich beim Identitätsanbieter anzumelden, indem sie ihre Anmeldeinformationen (wie Passwörter und MFA-Tokencodes) angeben. Der Identitätsanbieter gibt eine SAML-Zusicherung an den Browser aus, die an die Anmelde-URL der AWS Management Console gesendet wird. Dies ermöglicht den Benutzern das Single Sign-On (SSO) bei der AWS Management Console, indem sie eine IAM-Rolle annehmen. Ihre Benutzer können außerdem temporäre AWS-API-Anmeldeinformationen für die Verwendung in der AWS CLI oder AWS SDKs von AWS STS erhalten, indem sie die IAM-Rolle mit einer SAML-Zusicherung des Identitätsanbieters annehmen.
Für den Verbund der Benutzer in Ihrer Belegschaft mit mehreren Konten in Ihrer AWS-Organisation können Sie AWS IAM Identity Center verwenden und damit den Zugriff für Ihre Belegschaftsbenutzer auf AWS-Konten und Anwendungen zentral verwalten. Sie aktivieren Identity Center für Ihre Organisation und konfigurieren Ihre Identitätsquelle. IAM Identity Center stellt ein Standard-Identitätsquellenverzeichnis bereit, mit dem Sie Ihre Benutzer und Gruppen verwalten können. Alternativ können Sie eine externe Identitätsquelle auswählen, indem Sie eine Verbindung mit Ihrem externen Identitätsanbieter über SAML 2.0 herstellen und automatisch Benutzer und Gruppen mit SCIM bereitstellen oder eine Verbindung zu Ihrem Microsoft AD-Verzeichnis mit AWS Directory Serviceherstellen. Sobald eine Identitätsquelle konfiguriert wurde, können Sie Benutzern und Gruppen Zugriff auf AWS-Konten zuweisen, indem Sie Richtlinien nach dem Prinzip der geringsten Berechtigungen in Ihrem Berechtigungssatzdefinieren. Die Benutzer in Ihrer Belegschaft können sich über Ihren zentralen Identitätsanbieter authentifizieren, um sich beim AWS-Zugangsportal anzumelden. Außerdem können sie sich so per Single-Sign-On bei den AWS-Konten und Cloud-Anwendungen anmelden, die ihnen zugewiesen sind. Ihre Benutzer können AWS CLI v2 konfigurieren, um sich bei Identity Center zu authentifizieren und Anmeldeinformationen für die Ausführung von AWS CLI-Befehlen zu erhalten. Identity Center ermöglicht außerdem den Single-Sign-On-Zugriff auf AWS-Anwendungen wie Amazon SageMaker AI Studio und AWS IoT Sitewise Monitor-Portale.

Nachdem Sie die obigen Anweisungen befolgt haben, müssen die Benutzer in Ihrer Belegschaft bei der Verwaltung von Workloads in AWS für den normalen Betrieb keine IAM users und -Gruppen mehr verwenden. Stattdessen werden Ihre Benutzer und Gruppen außerhalb von AWS verwaltet und Benutzer können auf AWS-Ressourcen als Identitätsverbundzugreifen. Bei einem Identitätsverbund werden die Gruppen verwendet, die von Ihrem zentralen Identitätsanbieter definiert wurden. Sie sollten IAM-Gruppen, IAM users und langlebige Benutzeranmeldeinformationen (Passwörter und Zugriffsschlüssel) identifizieren und entfernen, die in Ihren AWS-Konten nicht mehr benötigt werden. Sie können ungenutzte Anmeldeinformationen mit IAM-Berichten zu Anmeldeinformationen suchen, die entsprechenden IAM users löschen und IAM-Gruppen entfernen. Sie können eine Service-Kontrollrichtlinie (SCP) auf Ihre Organisation anwenden, mit der das Erstellen neuer IAM users und -Gruppen verhindert und erzwungen wird, dass der Zugriff auf AWS über Verbundidentitäten erfolgt.

Leitfaden für Benutzer Ihrer Anwendungen

Sie können die Identitäten der Benutzer Ihrer Anwendungen, z. B. einer mobilen App, mithilfe von Amazon Cognito als zentralem Identitätsanbieter verwalten. Amazon Cognito ermöglicht die Authentifizierung, Autorisierung und Benutzerverwaltung für Ihre Web- und mobilen Apps. Amazon Cognito bietet einen Identitätsspeicher, der auf Millionen von Benutzern skaliert werden kann, unterstützt den Identitätsverbund für soziale Netzwerke und Unternehmen und bietet erweiterte Sicherheitsfunktionen zum Schutz Ihrer Benutzer und Ihres Unternehmens. Sie können Ihre benutzerdefinierte Web- oder Mobilanwendung in Amazon Cognito integrieren, um Ihren Anwendungen innerhalb von Minuten Benutzerauthentifizierung und Zugriffskontrolle hinzuzufügen. Amazon Cognito basiert auf offenen Identitätsstandards wie SAML und Open ID Connect (OIDC), unterstützt verschiedene Compliance-Vorschriften und lässt sich in Frontend- und Backend-Entwicklungsressourcen integrieren.

Implementierungsschritte

Schritte für Benutzer im Unternehmen, die auf AWS zugreifen

Erstellen Sie für die Benutzer in Ihrer Belegschaft unter Verwendung eines zentralen Identitätsanbieters einen Verbund mit AWS. Nutzen Sie dabei einen der folgenden Ansätze:
- Verwenden Sie IAM Identity Center, um Single Sign-On für mehrere AWS-Konten in Ihrer AWS-Organisation zu aktivieren, indem Sie einen Verbund mit Ihrem Identitätsanbieter erstellen.
- Verwenden Sie IAM, um Ihren Identitätsanbieter direkt mit jedem AWS-Konto zu verbinden und so einen differenzierten Verbundzugriff zu ermöglichen.
Identifizieren und entfernen Sie IAM users und -Gruppen, die durch Verbundidentitäten ersetzt werden.

Schritte für Benutzer Ihrer Anwendungen

Verwenden Sie Amazon Cognito als zentralen Identitätsanbieter für Ihre Anwendungen.
Integrieren Sie Ihre benutzerdefinierten Anwendungen mithilfe von OpenID Connect und OAuth mit Amazon Cognito. Sie können Ihre benutzerdefinierten Anwendungen mithilfe der Amplify-Bibliotheken entwickeln, die einfache Schnittstellen für die Integration in eine Vielzahl von AWS-Services bieten, z. B. Amazon Cognito für die Authentifizierung.

Ressourcen

Zugehörige bewährte Methoden für Well-Architected:

Zugehörige Dokumente:

Zugehörige Videos:

Zugehörige Beispiele:

Zugehörige Tools:

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

SEC02-BP03 Sicheres Speichern und Verwenden von Secrets

SEC02-BP05 Regelmäßiges Überprüfen und Rotieren von Anmeldeinformationen