Uso de proveedores de identidad personalizados - AWS Transfer Family

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Uso de proveedores de identidad personalizados

Para autenticar a sus usuarios, puede utilizar su proveedor de identidad actual con AWS Transfer Family. El proveedor de identidad se integra mediante una AWS Lambda función que autentica y autoriza a los usuarios a acceder a Amazon S3 o Amazon Elastic File System (Amazon EFS). Para obtener más detalles, consulte Se utiliza AWS Lambda para integrar su proveedor de identidad. También puede acceder a los CloudWatch gráficos para obtener métricas como la cantidad de archivos y bytes transferidos en la consola de AWS Transfer Family administración, lo que le brinda un panel único para monitorear las transferencias de archivos mediante un panel centralizado.

Como alternativa, puede proporcionar una interfaz RESTful con un único método de Amazon API Gateway. Transfer Family utiliza este método para conectarse con su proveedor de identidad, que autentica y autoriza a los usuarios a acceder a Amazon S3 o Amazon EFS. Utilice esta opción si necesita una API RESTful para integrar su proveedor de identidad o si desea AWS WAF utilizarla para aprovechar sus capacidades para bloquear geográficamente o limitar la velocidad de las solicitudes. Para obtener más detalles, consulte Uso de Amazon API Gateway para integrar su proveedor de identidad.

En cualquier caso, puede crear un nuevo servidor mediante la consola de AWS Transfer Family o la operación de la API de CreateServer.

nota

Tenemos un taller al que puede asistir, en el que puede crear una solución de transferencia de archivos. Esta solución aprovecha los AWS Transfer Family puntos de enlace SFTP/FTPS administrados y Amazon Cognito y DynamoDB para la administración de usuarios. Puede ver los detalles de este taller aquí.

AWS Transfer Family proporciona las siguientes opciones para trabajar con proveedores de identidades personalizados.

  • Úselo AWS Lambda para conectar su proveedor de identidad: puede usar un proveedor de identidad existente, respaldado por una función Lambda. Proporcione el nombre de identificación de la función de Lambda. Para obtener más información, consulte Se utiliza AWS Lambda para integrar su proveedor de identidad.

  • Utilice Amazon API Gateway para conectar su proveedor de identidades: puede crear un método de API Gateway respaldado por una función de Lambda para usarlo como proveedor de identidades. Proporcione una URL de Amazon API Gateway y un rol de invocación. Para obtener más información, consulte Uso de Amazon API Gateway para integrar su proveedor de identidad.

Para cualquiera de las opciones, también puede especificar cómo se va a autenticar.

  • Contraseña o clave: los usuarios pueden autenticarse con su contraseña o su clave. Este es el valor predeterminado.

  • SOLO con contraseña: los usuarios deben proporcionar su contraseña para conectarse.

  • SOLO clave: los usuarios deben proporcionar su clave privada para conectarse.

  • Contraseña y clave: los usuarios deben proporcionar su clave privada y su contraseña para conectarse. El servidor comprueba primero la clave y, después, si la clave es válida, el sistema solicita una contraseña. Si la clave privada proporcionada no coincide con la clave pública que se encuentra almacenada, se produce un error en la autenticación.

Uso de varios métodos de autenticación para autenticarse con su proveedor de identidad personalizado

El servidor Transfer Family controla la lógica AND cuando se utilizan varios métodos de autenticación. Transfer Family trata esto como dos solicitudes independientes a tu proveedor de identidad personalizado; sin embargo, su efecto es combinado.

Ambas solicitudes deben devolverse correctamente con la respuesta correcta para permitir que se complete la autenticación. Transfer Family requiere que las dos respuestas estén completas, lo que significa que contienen todos los elementos necesarios (función, directorio principal, política y perfil POSIX si utiliza Amazon EFS para el almacenamiento). Transfer Family también exige que la respuesta de la contraseña no incluya claves públicas.

La solicitud de clave pública debe tener una respuesta independiente de la del proveedor de identidad. Ese comportamiento no cambia cuando se utiliza Contraseña O Clave o Contraseña Y Clave.

El protocolo SSH/SFTP desafía al cliente de software primero con una autenticación de clave pública y, a continuación, solicita una autenticación con contraseña. Esta operación exige que ambas se realicen correctamente antes de que el usuario pueda completar la autenticación.