Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Mehrmandantenfähigkeit
Um Ihre Empfehlung sicherer zu gestalten, empfehlen wir Ihnen, die folgenden Sicherheitsempfehlungen für mehrere Mandanten zu implementieren:
Verwenden Sie nur eine verifizierte E-Mail-Adresse, um den Benutzerzugriff auf einen Mandanten basierend auf Domänenübereinstimmung zu autorisieren. Vertrauen Sie E-Mail-Adressen und Telefonnummern nur, wenn Ihre App sie überprüft oder der externe IdP Ihnen einen Nachweis über die Überprüfung erteilt. Weitere Details zum Festlegen dieser Berechtigungen finden Sie unter Attributberechtigungen und -bereiche.
Verwenden Sie unveränderliche oder veränderliche Attribute für die Benutzerprofilattribute, die Mandanten identifizieren. Administratoren müssen diese Attribute ändern können. Ermöglichen Sie App-Clients schreibgeschützten Zugriff auf die Attribute.
Verwenden Sie ein 1:1-Mapping zwischen dem externen IdP und dem Anwendungsclient, um einen nicht autorisierten mandantenübergreifenden Zugriff zu verhindern. Ein Benutzer, der von einem externen Identitätsanbieter authentifiziert wurde und über ein gültiges Amazon-Cognito-Sitzungscookie verfügt, kann auf andere Mandanten-Apps zugreifen, die demselben Identitätsanbieter vertrauen.
Stellen Sie beim Implementieren von Mandantenübereinstimmungs- und Autorisierungslogik in Ihrer Anwendung sicher, dass die Kriterien, die zum Autorisieren des Benutzerzugriffs auf die Mandanten verwendet werden, nicht von den Benutzern selbst geändert werden können. Wenn ein externer IdP für den Verbund verwendet wird, beschränken Sie die Mandantenidentitätsanbieter-Administratoren, damit sie den Benutzerzugriff nicht ändern können.
