Uso de proveedores de identidad personalizados - AWS Transfer Family
Autenticación múltiple para proveedores de identidad personalizados

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Uso de proveedores de identidad personalizados

Para autenticar a sus usuarios, puede utilizar su proveedor de identidad actual con AWS Transfer Family. El proveedor de identidad se integra mediante una AWS Lambda función que autentica y autoriza a los usuarios a acceder a Amazon S3 o Amazon Elastic File System (AmazonEFS). Para obtener más información, consulte Se utiliza AWS Lambda para integrar su proveedor de identidad. También puede acceder a los CloudWatch gráficos para obtener métricas como la cantidad de archivos y bytes transferidos en la consola de AWS Transfer Family administración, lo que le brinda un panel único para monitorear las transferencias de archivos mediante un panel centralizado.

Como alternativa, puede proporcionar una RESTful interfaz con un único método de Amazon API Gateway. Transfer Family utiliza este método para conectarse con su proveedor de identidad, que autentica y autoriza a sus usuarios a acceder a Amazon S3 o Amazon. EFS Utilice esta opción si necesita integrar su proveedor de identidad o si quiere utilizarla para aprovechar sus capacidades AWS WAF para el bloqueo geográfico o las solicitudes de limitación de velocidad. RESTful API Para obtener más información, consulte Uso de Amazon API Gateway para integrar su proveedor de identidad.

En cualquier caso, puede crear un nuevo servidor mediante la consola o el AWS Transfer Family CreateServerAPIoperación.

nota

Tenemos un taller al que puede asistir, en el que puede crear una solución de transferencia de archivos. Esta solución aprovecha los FTPS puntos AWS Transfer Family de conexión gestionados SFTP y Amazon Cognito y DynamoDB para la gestión de usuarios. Puede ver los detalles de este taller aquí.

AWS Transfer Family ofrece las siguientes opciones para trabajar con proveedores de identidades personalizados.

  • Úselo AWS Lambda para conectar su proveedor de identidad: puede usar un proveedor de identidad existente, respaldado por una función Lambda. Proporcione el nombre de identificación de la función de Lambda. Para obtener más información, consulte Se utiliza AWS Lambda para integrar su proveedor de identidad.

  • Utilice Amazon API Gateway para conectar su proveedor de identidades: puede crear un método API Gateway respaldado por una función Lambda para usarlo como proveedor de identidades. Usted proporciona un Amazon API Gateway URL y un rol de invocación. Para obtener más información, consulte Uso de Amazon API Gateway para integrar su proveedor de identidad.

Para cualquiera de las opciones, también puede especificar cómo se va a autenticar.

  • Contraseña o clave: los usuarios pueden autenticarse con su contraseña o su clave. Este es el valor predeterminado.

  • Contraseña ONLY: los usuarios deben proporcionar su contraseña para conectarse.

  • Clave ONLY: los usuarios deben proporcionar su clave privada para conectarse.

  • ANDClave de contraseña: los usuarios deben proporcionar su clave privada y su contraseña para conectarse. El servidor comprueba primero la clave y, después, si la clave es válida, el sistema solicita una contraseña. Si la clave privada proporcionada no coincide con la clave pública que se encuentra almacenada, se produce un error en la autenticación.

Uso de varios métodos de autenticación para autenticarse con su proveedor de identidad personalizado

El servidor Transfer Family controla la AND lógica cuando se utilizan varios métodos de autenticación. Transfer Family trata esto como dos solicitudes independientes a tu proveedor de identidad personalizado; sin embargo, su efecto es combinado.

Ambas solicitudes deben devolverse correctamente con la respuesta correcta para permitir que se complete la autenticación. Transfer Family requiere que las dos respuestas estén completas, lo que significa que contienen todos los elementos necesarios (la función, el directorio principal, la política y el POSIX perfil si utilizas Amazon EFS como almacenamiento). Transfer Family también exige que la respuesta de la contraseña no incluya claves públicas.

La solicitud de clave pública debe tener una respuesta independiente del proveedor de identidad. Ese comportamiento no cambia cuando se utiliza la contraseña OR o la ANDclave de contraseña.

El SFTP protocoloSSH/desafía primero al cliente de software con una autenticación de clave pública y, a continuación, solicita una autenticación con contraseña. Esta operación exige que ambas se realicen correctamente antes de que el usuario pueda completar la autenticación.

Temas