SEC02-BP04 Verlassen Sie sich auf einen zentralen Identitätsanbieter

Verlassen Sie sich im Zusammenhang mit Identitäten für Ihre Belegschaft (Mitarbeiter und Auftragnehmer) auf einen Identitätsanbieter, mit dem Sie Identitäten zentral verwalten können. Dadurch ist es einfacher, den Zugriff über mehrere Anwendungen und Systeme hinweg zu verwalten, da Sie den Zugriff von einem einzigen Standort aus erstellen, zuweisen, verwalten, widerrufen und überwachen.

Gewünschtes Ergebnis: Sie verfügen über einen zentralen Identitätsanbieter, mit dem Sie die Benutzer Ihrer Belegschaft, die Authentifizierungsrichtlinien (z. B. die Anforderung einer mehrstufigen Authentifizierung (MFA)) und die Autorisierung von Systemen und Anwendungen (z. B. die Zuweisung von Zugriffen auf der Grundlage der Gruppenmitgliedschaft oder der Attribute eines Benutzers) zentral verwalten können. Die Benutzer in Ihrer Belegschaft melden sich beim zentralen Identitätsanbieter an und bilden einen Verbund (Single Sign-On) mit internen und externen Anwendungen, sodass sich die Benutzer nicht mehrere Anmeldeinformationen merken müssen. Ihr Identitätsanbieter ist in Ihre Personalverwaltungssysteme integriert, sodass Personaländerungen automatisch mit Ihrem Identitätsanbieter synchronisiert werden. Wenn beispielsweise jemand Ihr Unternehmen verlässt, können Sie automatisch den Zugriff auf föderierte Anwendungen und Systeme (einschließlich) widerrufen. AWS Sie haben die detaillierte Auditprotokollierung in Ihrem Identitätsanbieter aktiviert und überwachen diese Protokolle auf ungewöhnliches Benutzerverhalten.

Typische Anti-Muster:

Sie verwenden keinen Verbund mit Single-Sign-On. Die Benutzer in Ihrer Belegschaft erstellen separate Benutzerkonten und Anmeldeinformationen für mehrere Anwendungen und Systeme.
Sie haben den Lebenszyklus von Identitäten für Benutzer in Ihrer Belegschaft nicht automatisiert, indem Sie beispielsweise Ihren Identitätsanbieter in Ihre Personalverwaltungssysteme integriert haben. Wenn ein Benutzer Ihre Organisation verlässt oder die Position wechselt, folgen Sie einem manuellen Prozess, um seine Datensätze in mehreren Anwendungen und Systemen zu löschen oder zu aktualisieren.

Vorteile der Nutzung dieser bewährten Methode: Durch die Verwendung eines zentralen Identitätsanbieters haben Sie die Möglichkeit, Benutzeridentitäten und Richtlinien für Ihre Mitarbeiter von einem zentralen Ort aus zu verwalten, Benutzern und Gruppen Zugriff auf Anwendungen zuzuweisen und die Anmeldeaktivitäten der Benutzer zu überwachen. Wenn ein Benutzer die Position wechselt, werden durch die Integration in Ihre Personalverwaltungssysteme Änderungen mit dem Identitätsanbieter synchronisiert und die ihm zugewiesenen Anwendungen und Berechtigungen werden automatisch aktualisiert. Wenn ein Benutzer Ihre Organisation verlässt, wird seine Identität automatisch im Identitätsanbieter deaktiviert, wodurch ihm der Zugriff auf Anwendungen und Systeme im Verbund entzogen wird.

Risikostufe, wenn diese bewährte Methode nicht eingeführt wird: Hoch

Implementierungsleitfaden

Leitfaden für Benutzer im Unternehmen, die auf AWS zugreifen

Workforce-Benutzer wie Mitarbeiter und Auftragnehmer in Ihrem Unternehmen benötigen möglicherweise Zugriff auf die AWS Verwendung von AWS Management Console oder AWS Command Line Interface (AWS CLI), um ihre Aufgaben wahrnehmen zu können. Sie können Ihren Workforce-Benutzern AWS Zugriff gewähren, indem Sie einen Verbund von Ihrem zentralen Identitätsanbieter aus AWS auf zwei Ebenen einrichten: direkter Verbund mit jedem Konto AWS-Konto oder Verbund mit mehreren Konten in Ihrer AWS Organisation.

Um Ihre Workforce-Benutzer direkt mit den einzelnen Benutzern zu verbinden AWS-Konto, können Sie einen zentralen Identitätsanbieter verwenden, um sich mit diesem Konto zu AWS Identity and Access Managementverbinden. Die Flexibilität von IAM ermöglicht es Ihnen, für jeden einen separaten SAML2.0 - oder einen Open ID Connect (OIDC) Identity Provider zu aktivieren AWS-Konto und föderierte Benutzerattribute für die Zugriffskontrolle zu verwenden. Die Benutzer Ihrer Belegschaft verwenden ihren Webbrowser, um sich beim Identitätsanbieter anzumelden, indem sie ihre Anmeldeinformationen (wie Passwörter und MFA Token-Codes) eingeben. Der Identitätsanbieter gibt eine SAML Assertion an seinen Browser aus, die bei der AWS Management Console Anmeldung eingereicht wirdURL, damit der Benutzer sich einmalig anmelden kann, AWS Management Console indem er eine IAM Rolle annimmt. Ihre Benutzer können auch temporäre AWS API Anmeldeinformationen für die Verwendung in AWS CLIoder AWS SDKsvon abrufen, AWS STSindem sie die IAM Rolle mithilfe einer SAML Assertion des Identitätsanbieters übernehmen.
Um die Benutzer Ihrer Belegschaft mit mehreren Konten in Ihrer AWS Organisation AWS IAM Identity Centerzu verbinden, können Sie den Zugriff Ihrer Mitarbeiter auf AWS-Konten und Anwendungen zentral verwalten. Sie aktivieren Identity Center für Ihre Organisation und konfigurieren Ihre Identitätsquelle. IAMIdentity Center bietet ein standardmäßiges Identitätsquellenverzeichnis, mit dem Sie Ihre Benutzer und Gruppen verwalten können. Alternativ können Sie eine externe Identitätsquelle auswählen, indem Sie mithilfe von SAML 2.0 eine Verbindung zu Ihrem externen Identitätsanbieter herstellen und Benutzer und Gruppen mithilfe SCIM automatisch bereitstellen oder eine Verbindung zu Ihrem Microsoft AD-Verzeichnis herstellen. AWS Directory Service Sobald eine Identitätsquelle konfiguriert ist, können Sie Benutzern und Gruppen Zugriff zuweisen, AWS-Konten indem Sie in Ihren Berechtigungssätzen Richtlinien mit den geringsten Rechten definieren. Die Benutzer Ihrer Belegschaft können sich über Ihren zentralen Identitätsanbieter authentifizieren, um sich beim AWS -Zugriffsportal anzumelden und sich per Single Sign-On bei AWS-Konten und den ihnen zugewiesenen Cloud-Anwendungen zu authentifizieren. Ihre Benutzer können AWS CLI v2 so konfigurieren, dass sie sich bei Identity Center authentifizieren und Anmeldeinformationen für die Ausführung von Befehlen abrufen. AWS CLI Identity Center ermöglicht auch den Single-Sign-On-Zugriff auf AWS Anwendungen wie Amazon SageMaker Studio - und AWS IoT Sitewise Monitor-Portale.

Nachdem Sie die oben genannten Hinweise befolgt haben, müssen die Benutzer Ihrer Belegschaft bei der Verwaltung von Workloads keine IAM Benutzer und Gruppen mehr für den normalen Betrieb verwenden. AWS Stattdessen werden Ihre Benutzer und Gruppen extern verwaltet, AWS und Benutzer können als föderierte AWS Identität auf Ressourcen zugreifen. Verbundidentitäten verwenden die von ihrem zentralen Identitätsanbieter definierten Gruppen. Sie sollten IAM Gruppen, IAM Benutzer und langlebige Benutzeranmeldeinformationen (Passwörter und Zugriffsschlüssel) identifizieren und entfernen, die in Ihrem System nicht mehr benötigt werden. AWS-Konten Sie können mithilfe von IAMAnmeldedatenberichten nach ungenutzten Anmeldeinformationen suchen, die entsprechenden IAM Benutzer löschen und Gruppen löschen IAM. Sie können auf Ihre Organisation eine Service Control-Richtlinie (SCP) anwenden, die die Erstellung neuer IAM Benutzer und Gruppen verhindert und erzwingt, dass der Zugriff auf diese über föderierte AWS Identitäten erfolgt.

Leitfaden für Benutzer Ihrer Anwendungen

Sie können die Identitäten der Benutzer Ihrer Anwendungen, z. B. einer mobilen App, mithilfe von Amazon Cognito als zentralem Identitätsanbieter verwalten. Amazon Cognito ermöglicht die Authentifizierung, Autorisierung und Benutzerverwaltung für Ihre Web- und Mobil-Apps. Amazon Cognito bietet einen Identitätsspeicher, der auf Millionen von Benutzern skaliert werden kann, unterstützt den Identitätsverbund für soziale Netzwerke und Unternehmen und bietet erweiterte Sicherheitsfeatures zum Schutz Ihrer Benutzer und Ihres Unternehmens. Sie können Ihre benutzerdefinierte Web- oder Mobilanwendung in Amazon Cognito integrieren, um Ihren Anwendungen innerhalb von Minuten Benutzerauthentifizierung und Zugriffskontrolle hinzuzufügen. Amazon Cognito basiert auf offenen Identitätsstandards wie SAML Open ID Connect (OIDC), unterstützt verschiedene Compliance-Vorschriften und lässt sich in Frontend- und Backend-Entwicklungsressourcen integrieren.

Implementierungsschritte

Schritte für Benutzer im Unternehmen, die auf AWS zugreifen

Binden Sie die Benutzer Ihrer Belegschaft AWS mit einem zentralen Identitätsanbieter zusammen und verwenden Sie dabei einen der folgenden Ansätze:
- Verwenden Sie IAM Identity Center, um Single Sign-On für mehrere Benutzer AWS-Konten in Ihrem AWS Unternehmen zu ermöglichen, indem Sie eine Verbindung mit Ihrem Identitätsanbieter herstellen.
- Verwenden Sie diese IAM Option, um Ihren Identitätsanbieter direkt mit jedem zu verbinden und so einen AWS-Konto differenzierten Verbundzugriff zu ermöglichen.
Identifizieren und entfernen Sie IAM Benutzer und Gruppen, die durch föderierte Identitäten ersetzt wurden.

Schritte für Benutzer Ihrer Anwendungen

Verwenden Sie Amazon Cognito als zentralen Identitätsanbieter für Ihre Anwendungen.
Integrieren Sie Ihre benutzerdefinierten Anwendungen mit Amazon Cognito mithilfe von OpenID Connect und. OAuth Sie können Ihre benutzerdefinierten Anwendungen mithilfe der Amplify-Bibliotheken entwickeln, die einfache Schnittstellen zur Integration mit einer Vielzahl von AWS Diensten bieten, z. B. Amazon Cognito für die Authentifizierung.

Ressourcen

Zugehörige bewährte Methoden für Well-Architected:

Zugehörige Dokumente:

Zugehörige Videos:

Zugehörige Beispiele:

Zugehörige Tools:

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

SEC02-BP03 Geheimnisse sicher speichern und verwenden

SEC02-BP05 Regelmäßige Überprüfung und Rotation der Zugangsdaten