Solución de proveedor de identidad personalizada - AWS Transfer Family

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Solución de proveedor de identidad personalizada

La solución de proveedor de identidad AWS Transfer Family personalizado es una solución modular de proveedor de identidad personalizado que resuelve muchos casos de uso comunes de autenticación y autorización que tienen las empresas al implementar el servicio. Esta solución proporciona una base reutilizable para implementar proveedores de identidad personalizados con una configuración de sesión granular por usuario y separa la lógica de autenticación y autorización, lo que ofrece una easy-to-maintain base flexible para varios casos de uso.

Con la solución de proveedor de identidad AWS Transfer Family personalizado, puede abordar los casos de uso más comunes de autenticación y autorización empresarial. Esta solución modular ofrece:

  • Una base reutilizable para implementar proveedores de identidad personalizados

  • Configuración granular de sesión por usuario

  • Lógica de autenticación y autorización separadas

Detalles de implementación del kit de herramientas de identidad personalizado

La solución proporciona una base flexible y fácil de mantener para varios casos de uso. Para empezar, consulte el kit de herramientas en https://github.com/aws-samples/toolkit-for-aws-transfer-family y, a continuación, siga las instrucciones de implementación de la sección Primeros pasos.

Diagrama de arquitectura del kit de herramientas del proveedor de identidad personalizado disponible en. GitHub
nota

Si anteriormente ha utilizado plantillas y ejemplos de proveedores de identidad personalizados, considere la posibilidad de adoptar esta solución en su lugar. En el futuro, los módulos específicos del proveedor se estandarizarán en esta solución. El mantenimiento continuo y las mejoras en las funciones se aplicarán a esta solución.

Esta solución contiene patrones estándar para implementar un proveedor personalizado que tenga en cuenta los detalles, como el registro y el lugar donde almacenar los metadatos adicionales de la sesión necesarios AWS Transfer Family, como el HomeDirectoryDetails parámetro. Esta solución proporciona una base reutilizable para implementar proveedores de identidad personalizados con una configuración de sesión granular por usuario y desvincula la lógica de autenticación del proveedor de identidades de la lógica reutilizable que crea una configuración que se devuelve a Transfer Family para completar la autenticación y establecer los ajustes de la sesión.

El código y los recursos de apoyo de esta solución están disponibles en https://github.com/aws-samples/ toolkit-for-aws-transfer -family.

El kit de herramientas contiene las siguientes funciones:

  • Una AWS Serverless Application Modelplantilla que proporciona los recursos necesarios. Si lo desea, implemente y configure Amazon API Gateway para incorporarlo AWS WAF, tal y como se describe en la entrada del blog AWS Transfer Family Securer con AWS Web Application Firewall y Amazon API Gateway.

  • Un esquema de Amazon DynamoDB para almacenar los metadatos de configuración sobre los proveedores de identidad, incluidos los ajustes de sesión de usuario, HomeDirectoryDetails comoRole, y. Policy

  • Un enfoque modular que le permite añadir nuevos proveedores de identidad a la solución en el futuro, en forma de módulos.

  • Recuperación de atributos: si lo desea, recupere los atributos del rol de IAM y del perfil POSIX (UID y GID) de los proveedores de identidad compatibles, como AD, LDAP y Okta.

  • Soporte para varios proveedores de identidad conectados a un único servidor de Transfer Family y varios servidores de Transfer Family mediante la misma implementación de la solución.

  • Verificación integrada de las listas de direcciones IP permitidas, como las listas de direcciones IP permitidas, que se pueden configurar opcionalmente por usuario o por proveedor de identidad.

  • Registro detallado con nivel de registro configurable y soporte de rastreo para facilitar la resolución de problemas.

Antes de empezar a implementar la solución de proveedor de identidad personalizado, debe disponer de los siguientes recursos. AWS

  • Una Amazon Virtual Private Cloud (VPC) con subredes privadas, con conectividad a Internet a través de una puerta de enlace NAT o un punto de enlace de puerta de enlace de DynamoDB.

  • Los permisos de IAM adecuados para realizar las siguientes tareas:

    • Implemente la custom-idp.yaml AWS CloudFormation plantilla,

    • Crear AWS CodePipeline proyectos

    • Crea AWS CodeBuild proyectos

    • Cree funciones y políticas de IAM

importante

Debe implementar la solución en el mismo lugar Región de AWS que contiene Cuenta de AWS los servidores Transfer Family de destino.

Proveedores de identidades compatibles

La siguiente lista contiene detalles de los proveedores de identidad compatibles con la solución de proveedor de identidad personalizado.

Proveedor Flujos de contraseñas Flujos de claves públicas Multifactor Recuperación de atributos Detalles
Active Directory y LDAP No

La verificación del usuario se puede realizar como parte del flujo de autenticación de clave pública.

Argon2 (hash local) No No No Los hashes de Argon2 se almacenan en el registro de usuario para los casos de uso de autenticación basada en contraseñas «locales».
Amazon Cognito No Sí* No

Solo para la autenticación multifactorial basada en el tiempo y basada en una contraseña de un solo uso (TOTP).

*No se admite el MFA basado en SMS.

Ingresa ID (anteriormente Azure AD) No No No
Okta Sí* Solo MFA basado en TOTP.
Clave pública No No No Las claves públicas se almacenan en el registro de usuario de DynamoDB.
Secrets Manager  No No