Authentification multiple pour les fournisseurs d'identité personnalisés

Travailler avec des fournisseurs d'identité personnalisés

Pour authentifier vos utilisateurs, vous pouvez utiliser votre fournisseur d'identité existant avec AWS Transfer Family. Vous intégrez votre fournisseur d'identité à l'aide d'une AWS Lambda fonction qui authentifie et autorise vos utilisateurs à accéder à Amazon S3 ou Amazon Elastic File System (Amazon EFS). Pour plus de détails, consultez Utilisation AWS Lambda pour intégrer votre fournisseur d'identité. Vous pouvez également accéder à CloudWatch des graphiques pour des indicateurs tels que le nombre de fichiers et d'octets transférés dans la console de AWS Transfer Family gestion, ce qui vous permet de surveiller les transferts de fichiers à l'aide d'un tableau de bord centralisé.

Vous pouvez également fournir une interface RESTful avec une seule méthode Amazon API Gateway. Transfer Family utilise cette méthode pour se connecter à votre fournisseur d'identité, qui authentifie et autorise vos utilisateurs à accéder à Amazon S3 ou Amazon EFS. Utilisez cette option si vous avez besoin d'une API RESTful pour intégrer votre fournisseur d'identité ou si vous souhaitez tirer parti de ses capacités AWS WAF de blocage géographique ou de limitation de débit des demandes. Pour plus de détails, consultez Utilisation d'Amazon API Gateway pour intégrer votre fournisseur d'identité.

Dans les deux cas, vous pouvez créer un nouveau serveur à l'aide de la AWS Transfer Family console ou de l'opération CreateServerAPI.

Note

Transfer Family propose un article de blog et un atelier qui vous guideront dans la création d'une solution de transfert de fichiers. Cette solution s'appuie sur les points de AWS Transfer Family terminaison SFTP/FTPS gérés et sur Amazon Cognito et DynamoDB pour la gestion des utilisateurs.

Le billet de blog est disponible sur Utilisation d'Amazon Cognito en tant que fournisseur d'identité avec Amazon AWS Transfer Family S3. Vous pouvez consulter les détails de l'atelier ici.

AWS Transfer Family propose les options suivantes pour travailler avec des fournisseurs d'identité personnalisés.

AWS Lambda À utiliser pour connecter votre fournisseur d'identité : vous pouvez utiliser un fournisseur d'identité existant, soutenu par une fonction Lambda. Vous indiquez le nom de la fonction Lambda. Pour plus d’informations, consultez Utilisation AWS Lambda pour intégrer votre fournisseur d'identité.
Utilisez Amazon API Gateway pour connecter votre fournisseur d'identité : vous pouvez créer une méthode API Gateway basée sur une fonction Lambda à utiliser en tant que fournisseur d'identité. Vous fournissez une URL Amazon API Gateway et un rôle d'invocation. Pour plus d’informations, consultez Utilisation d'Amazon API Gateway pour intégrer votre fournisseur d'identité.

Pour l'une ou l'autre option, vous pouvez également spécifier le mode d'authentification.

Mot de passe OU clé : les utilisateurs peuvent s'authentifier à l'aide de leur mot de passe ou de leur clé. C’est la valeur par défaut.
MOT DE PASSE UNIQUEMENT : les utilisateurs doivent fournir leur mot de passe pour se connecter.
Clé UNIQUEMENT : les utilisateurs doivent fournir leur clé privée pour se connecter.
Mot de passe ET clé : les utilisateurs doivent fournir leur clé privée et leur mot de passe pour se connecter. Le serveur vérifie d'abord la clé, puis si la clé est valide, le système demande un mot de passe. Si la clé privée fournie ne correspond pas à la clé publique stockée, l'authentification échoue.

Utilisation de plusieurs méthodes d'authentification pour vous authentifier auprès de votre fournisseur d'identité personnalisé

Le serveur Transfer Family contrôle la logique AND lorsque vous utilisez plusieurs méthodes d'authentification. Transfer Family traite cela comme deux demandes distinctes adressées à votre fournisseur d'identité personnalisé : toutefois, leur effet est combiné.

Les deux demandes doivent être renvoyées avec succès avec la bonne réponse pour permettre à l'authentification de se terminer. Transfer Family exige que les deux réponses soient complètes, ce qui signifie qu'elles contiennent tous les éléments requis (rôle, répertoire de base, politique et profil POSIX si vous utilisez Amazon EFS pour le stockage). Transfer Family exige également que la réponse au mot de passe ne contienne pas de clés publiques.

La demande de clé publique doit faire l'objet d'une réponse distincte de la part du fournisseur d'identité. Ce comportement reste inchangé lorsque vous utilisez le mot de passe OU la clé ou le mot de passe ET la clé.

Le protocole SSH/SFTP met d'abord le client logiciel au défi d'une authentification par clé publique, puis demande une authentification par mot de passe. Cette opération garantit la réussite des deux opérations avant que l'utilisateur ne soit autorisé à terminer l'authentification.

Rubriques

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Utilisateurs des services d'annuaire

Lambda en tant que fournisseur d'identité