Solution de fournisseur d'identité personnalisée - AWS Transfer Family

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Solution de fournisseur d'identité personnalisée

La solution de fournisseur d'identité AWS Transfer Family personnalisé est une solution modulaire de fournisseur d'identité personnalisé qui répond à de nombreux cas d'utilisation courants d'authentification et d'autorisation rencontrés par les entreprises lors de la mise en œuvre du service. Cette solution fournit une base réutilisable pour la mise en œuvre de fournisseurs d'identité personnalisés avec une configuration de session par utilisateur granulaire et sépare les logiques d'authentification et d'autorisation, offrant ainsi une easy-to-maintain base flexible pour différents cas d'utilisation.

Avec la solution de fournisseur d'identité AWS Transfer Family personnalisé, vous pouvez traiter les cas d'utilisation courants de l'authentification et de l'autorisation en entreprise. Cette solution modulaire offre :

  • Une base réutilisable pour la mise en œuvre de fournisseurs d'identité personnalisés

  • Configuration granulaire des sessions par utilisateur

  • Logique d'authentification et d'autorisation séparées

Détails de mise en œuvre de la boîte à outils d'identité personnalisée

La solution fournit une base flexible et maintenable pour différents cas d'utilisation. Pour commencer, consultez le kit d'outils sur https://github.com/aws-samples/toolkit-for-aws-transfer-family, puis suivez les instructions de déploiement de la section Getting started.

Schéma d'architecture de la boîte à outils personnalisée du fournisseur d'identité disponible dans GitHub.
Note

Si vous avez déjà utilisé des modèles et des exemples de fournisseurs d'identité personnalisés, envisagez plutôt d'adopter cette solution. À l'avenir, les modules spécifiques aux fournisseurs seront standardisés sur cette solution. Une maintenance continue et des améliorations de fonctionnalités seront appliquées à cette solution.

Cette solution contient des modèles standard pour implémenter un fournisseur personnalisé qui prend en compte les détails, notamment la journalisation et l'endroit où stocker les métadonnées de session supplémentaires nécessaires AWS Transfer Family, telles que le HomeDirectoryDetails paramètre. Cette solution fournit une base réutilisable pour implémenter des fournisseurs d'identité personnalisés avec une configuration de session par utilisateur précise, et dissocie la logique d'authentification du fournisseur d'identité de la logique réutilisable qui crée une configuration qui est renvoyée à Transfer Family pour terminer l'authentification et établir les paramètres de la session.

Le code et les ressources de support de cette solution sont disponibles sur https://github.com/aws-samples/toolkit-for-aws-transfer-family.

La boîte à outils contient les fonctionnalités suivantes :

  • Un AWS Serverless Application Modelmodèle qui fournit les ressources nécessaires. Vous pouvez éventuellement déployer et configurer Amazon API Gateway pour l'intégrer AWS WAF, comme décrit dans le billet de blog Securing AWS Transfer Family with AWS Web Application Firewall and Amazon API Gateway.

  • Un schéma Amazon DynamoDB pour stocker les métadonnées de configuration relatives aux fournisseurs d'identité, y compris les paramètres de session utilisateur HomeDirectoryDetails tels queRole, et. Policy

  • Une approche modulaire qui vous permet d'ajouter de nouveaux fournisseurs d'identité à la solution à l'avenir, sous forme de modules.

  • Récupération d'attributs : récupérez éventuellement les attributs du rôle IAM et du profil POSIX (UID et GID) auprès des fournisseurs d'identité pris en charge, notamment AD, LDAP et Okta.

  • Support pour plusieurs fournisseurs d'identité connectés à un seul serveur Transfer Family et à plusieurs serveurs Transfer Family utilisant le même déploiement de la solution.

  • Contrôle intégré des listes d'adresses IP autorisées, telles que les listes d'adresses IP autorisées qui peuvent éventuellement être configurées par utilisateur ou par fournisseur d'identité.

  • Journalisation détaillée avec niveau de journalisation configurable et support de suivi pour faciliter le dépannage.

Avant de commencer à déployer la solution de fournisseur d'identité personnalisé, vous devez disposer des AWS ressources suivantes.

  • Un Amazon Virtual Private Cloud (VPC) avec des sous-réseaux privés, avec une connectivité Internet via une passerelle NAT ou un point de terminaison de passerelle DynamoDB.

  • Autorisations IAM appropriées pour effectuer les tâches suivantes :

    • Déployez le custom-idp.yaml AWS CloudFormation modèle,

    • Créez des AWS CodePipeline projets

    • Créez des AWS CodeBuild projets

    • Création de rôles et de politiques IAM

Important

Vous devez déployer la solution sur celui-ci Compte AWS , Région AWS qui contient vos serveurs Transfer Family cibles.

Fournisseurs d'identité pris en charge

La liste suivante contient des informations sur les fournisseurs d'identité pris en charge par la solution de fournisseur d'identité personnalisée.

Fournisseur Flux de mots de passe Flux de clés publiques Multifactoriel Récupération d'attributs Détails
Active Directory et LDAP Oui Oui Non Oui

La vérification de l'utilisateur peut être effectuée dans le cadre du flux d'authentification par clé publique.

Argon2 (hachage local) Oui Non Non Non Les hachages Argon2 sont stockés dans le dossier utilisateur pour les cas d'utilisation de l'authentification « locale » basée sur un mot de passe.
Amazon Cognito Oui Non Oui* Non

Authentification multifactorielle basée sur le temps uniquement par mot de passe à usage unique (TOTP).

*L'authentification MFA par SMS n'est pas prise en charge.

Entra ID (anciennement Azure AD) Oui Non Non Non
Okta Oui Oui Oui* Oui MFA basé sur TOTP uniquement.
Clé publique Non Oui Non Non Les clés publiques sont stockées dans le dossier utilisateur de DynamoDB.
Secrets Manager Oui Oui Non Non