Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
SEC02-BP04 Verlassen auf einen zentralen Identitätsanbieter
Verlassen Sie sich im Zusammenhang mit Identitäten für Ihre Belegschaft (Mitarbeiter und Auftragnehmer) auf einen Identitätsanbieter, mit dem Sie Identitäten zentral verwalten können. Dadurch ist es einfacher, den Zugriff über mehrere Anwendungen und Systeme hinweg zu verwalten, da Sie den Zugriff von einem einzigen Standort aus erstellen, zuweisen, verwalten, widerrufen und überwachen.
Gewünschtes Ergebnis: Sie verfügen über einen zentralen Identitätsanbieter, mit dem Sie Benutzer im Unternehmen, Authentifizierungsrichtlinien (z. B. die Anforderung einer Multi-Faktor-Authentifizierung, MFA) und die Autorisierung für Systeme und Anwendungen zentral verwalten (z. B. die Zuweisung von Zugriffsberechtigungen auf Grundlage der Gruppenmitgliedschaft oder der Attribute eines Benutzers). Die Benutzer in Ihrer Belegschaft melden sich beim zentralen Identitätsanbieter an und bilden einen Verbund (Single Sign-On) mit internen und externen Anwendungen, sodass sich die Benutzer nicht mehrere Anmeldeinformationen merken müssen. Ihr Identitätsanbieter ist in Ihre Personalverwaltungssysteme integriert, sodass Personaländerungen automatisch mit Ihrem Identitätsanbieter synchronisiert werden. Wenn beispielsweise jemand Ihr Unternehmen verlässt, können Sie den Zugriff auf alle Anwendungen und Systeme im Verbund (einschließlich AWS) widerrufen. Sie haben die detaillierte Auditprotokollierung in Ihrem Identitätsanbieter aktiviert und überwachen diese Protokolle auf ungewöhnliches Benutzerverhalten.
Typische Anti-Muster:
-
Sie verwenden keinen Verbund mit Single-Sign-On. Die Benutzer in Ihrer Belegschaft erstellen separate Benutzerkonten und Anmeldeinformationen für mehrere Anwendungen und Systeme.
-
Sie haben den Lebenszyklus von Identitäten für Benutzer in Ihrer Belegschaft nicht automatisiert, indem Sie beispielsweise Ihren Identitätsanbieter in Ihre Personalverwaltungssysteme integriert haben. Wenn ein Benutzer Ihre Organisation verlässt oder die Position wechselt, folgen Sie einem manuellen Prozess, um seine Datensätze in mehreren Anwendungen und Systemen zu löschen oder zu aktualisieren.
Vorteile der Nutzung dieser bewährten Methode: Durch die Verwendung eines zentralen Identitätsanbieters haben Sie die Möglichkeit, Benutzeridentitäten und Richtlinien für Ihre Mitarbeiter von einem zentralen Ort aus zu verwalten, Benutzern und Gruppen Zugriff auf Anwendungen zuzuweisen und die Anmeldeaktivitäten der Benutzer zu überwachen. Wenn ein Benutzer die Position wechselt, werden durch die Integration in Ihre Personalverwaltungssysteme Änderungen mit dem Identitätsanbieter synchronisiert und die ihm zugewiesenen Anwendungen und Berechtigungen werden automatisch aktualisiert. Wenn ein Benutzer Ihre Organisation verlässt, wird seine Identität automatisch im Identitätsanbieter deaktiviert, wodurch ihm der Zugriff auf Anwendungen und Systeme im Verbund entzogen wird.
Risikostufe, wenn diese bewährte Methode nicht eingeführt wird: Hoch
Implementierungsleitfaden
Leitfaden für Benutzer in der Belegschaft, die auf AWS zugreifen Benutzer in der Belegschaft, wie z. B. Mitarbeiter und Auftragnehmer in Ihrer Organisation, benötigen möglicherweise Zugriff auf AWS über die AWS Management Console oder die AWS Command Line Interface (AWS CLI), um ihre Aufgaben auszuführen. Sie können diesen Benutzern Zugriff auf AWS gewähren, indem Sie einen Verbund von Ihrem zentralen Identitätsanbieter zu AWS auf zwei Ebenen einrichten: ein direkter Verbund mit jedem AWS-Konto oder ein Verbund mit mehreren Konten in Ihrer AWS-Organisation.
Um die Benutzer in Ihrem Unternehmen direkt mit jedem AWS-Konto zu verbinden, können Sie einen zentralen Identitätsanbieter für den Verbund mit AWS Identity and Access Management
Um die Benutzer Ihrer Belegschaft mit mehreren Konten in Ihrer AWS-Organisation zu verbinden, können Sie mithilfe von AWS IAM Identity Center
Nachdem Sie die obigen Anweisungen befolgt haben, müssen die Benutzer in Ihrer Belegschaft bei der Verwaltung von Workloads in AWS für den normalen Betrieb keine IAM-Benutzer und -Gruppen mehr verwenden. Stattdessen werden Ihre Benutzer und Gruppen außerhalb von AWS verwaltet, und Benutzer können als Verbundidentität auf AWS-Ressourcen zugreifen. Verbundidentitäten verwenden die von ihrem zentralen Identitätsanbieter definierten Gruppen. Sie sollten IAM-Gruppen, IAM-Benutzer und langlebige Benutzeranmeldeinformationen (Passwörter und Zugriffsschlüssel), die in Ihren AWS-Konten nicht mehr benötigt werden, identifizieren und entfernen. Sie können mithilfe von IAM-Berichten zu Anmeldeinformationen nach ungenutzten Anmeldeinformationen suchen, die entsprechenden IAM-Benutzer löschen und IAM-Gruppen löschen. Sie können auf Ihre Organisation eine Service-Kontrollrichtlinie (SCP) anwenden, die die Erstellung neuer IAM-Benutzer und -Gruppen verhindert, und so den Zugriff auf AWS über Verbundidentitäten erzwingen.
Anmerkung
Sie sind für die Rotation der SCIM-Zugriffstoken verantwortlich, wie in der Dokumentation zur automatischen Bereitstellung beschrieben. Darüber hinaus liegt die Rotation der Zertifikate, die Ihren Identitätsverbund unterstützen, in Ihrer Verantwortung.
Leitfaden für Benutzer Ihrer Anwendungen Sie können die Identitäten der Benutzer Ihrer Anwendungen, z. B. einer mobilen App, mithilfe von Amazon Cognito
Implementierungsschritte
Schritte für Benutzer im Unternehmen, die auf AWS zugreifen
-
Erstellen Sie für die Benutzer in Ihrer Belegschaft unter Verwendung eines zentralen Identitätsanbieters einen Verbund mit AWS. Nutzen Sie dabei einen der folgenden Ansätze:
-
Verwenden Sie IAM Identity Center, um Single Sign-On für mehrere AWS-Konten in Ihrer AWS-Organisation zu aktivieren, indem Sie einen Verbund mit Ihrem Identitätsanbieter erstellen.
-
Verwenden Sie IAM, um Ihren Identitätsanbieter direkt mit jedem AWS-Konto zu verbinden und so einen differenzierten Verbundzugriff zu ermöglichen.
-
-
Identifizieren und entfernen Sie IAM-Benutzer und -Gruppen, die durch Verbundidentitäten ersetzt werden.
Schritte für Benutzer Ihrer Anwendungen
-
Verwenden Sie Amazon Cognito als zentralen Identitätsanbieter für Ihre Anwendungen.
-
Integrieren Sie Ihre benutzerdefinierten Anwendungen mithilfe von OpenID Connect und OAuth mit Amazon Cognito. Sie können Ihre benutzerdefinierten Anwendungen mithilfe der Amplify-Bibliotheken entwickeln, die einfache Schnittstellen für die Integration in eine Vielzahl von AWS-Services bieten, z. B. Amazon Cognito für die Authentifizierung.
Ressourcen
Zugehörige bewährte Methoden:
Zugehörige Dokumente:
Zugehörige Videos:
Zugehörige Beispiele:
Zugehörige Tools: