Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Solution de fournisseur d'identité personnalisée
La solution de fournisseur d'identité AWS Transfer Family personnalisé est une solution modulaire de fournisseur d'identité personnalisé qui répond à de nombreux cas d'utilisation courants d'authentification et d'autorisation rencontrés par les entreprises lors de la mise en œuvre du service. Cette solution fournit une base réutilisable pour la mise en œuvre de fournisseurs d'identité personnalisés avec une configuration de session par utilisateur granulaire et sépare les logiques d'authentification et d'autorisation, offrant ainsi une easy-to-maintain base flexible pour différents cas d'utilisation.
Avec la solution de fournisseur d'identité AWS Transfer Family personnalisé, vous pouvez traiter les cas d'utilisation courants de l'authentification et de l'autorisation en entreprise. Cette solution modulaire offre :
-
Une base réutilisable pour la mise en œuvre de fournisseurs d'identité personnalisés
-
Configuration granulaire des sessions par utilisateur
-
Logique d'authentification et d'autorisation séparées
Détails de mise en œuvre de la boîte à outils d'identité personnalisée
La solution fournit une base flexible et maintenable pour différents cas d'utilisation. Pour commencer, consultez le kit d'outils sur https://github.com/aws-samples/toolkit-for-aws-transfer-family
Note
Si vous avez déjà utilisé des modèles et des exemples de fournisseurs d'identité personnalisés, envisagez plutôt d'adopter cette solution. À l'avenir, les modules spécifiques aux fournisseurs seront standardisés sur cette solution. Une maintenance continue et des améliorations de fonctionnalités seront appliquées à cette solution.
Cette solution contient des modèles standard pour implémenter un fournisseur personnalisé qui prend en compte les détails, notamment la journalisation et l'endroit où stocker les métadonnées de session supplémentaires nécessaires AWS Transfer Family, telles que le HomeDirectoryDetails paramètre. Cette solution fournit une base réutilisable pour implémenter des fournisseurs d'identité personnalisés avec une configuration de session par utilisateur précise, et dissocie la logique d'authentification du fournisseur d'identité de la logique réutilisable qui crée une configuration qui est renvoyée à Transfer Family pour terminer l'authentification et établir les paramètres de la session.
Le code et les ressources de support de cette solution sont disponibles sur https://github.com/aws-samples/toolkit-for-aws-transfer-family
La boîte à outils contient les fonctionnalités suivantes :
-
Un AWS Serverless Application Model
modèle qui fournit les ressources nécessaires. Vous pouvez éventuellement déployer et configurer Amazon API Gateway pour l'intégrer AWS WAF, comme décrit dans le billet de blog Securing AWS Transfer Family with AWS Web Application Firewall and Amazon API Gateway . -
Un schéma Amazon DynamoDB
pour stocker les métadonnées de configuration relatives aux fournisseurs d'identité, y compris les paramètres de session utilisateur HomeDirectoryDetailstels queRole, et.Policy -
Une approche modulaire qui vous permet d'ajouter de nouveaux fournisseurs d'identité à la solution à l'avenir, sous forme de modules.
-
Récupération d'attributs : récupérez éventuellement les attributs du rôle IAM et du profil POSIX (UID et GID) auprès des fournisseurs d'identité pris en charge, notamment AD, LDAP et Okta.
-
Support pour plusieurs fournisseurs d'identité connectés à un seul serveur Transfer Family et à plusieurs serveurs Transfer Family utilisant le même déploiement de la solution.
-
Contrôle intégré des listes d'adresses IP autorisées, telles que les listes d'adresses IP autorisées qui peuvent éventuellement être configurées par utilisateur ou par fournisseur d'identité.
-
Journalisation détaillée avec niveau de journalisation configurable et support de suivi pour faciliter le dépannage.
Avant de commencer à déployer la solution de fournisseur d'identité personnalisé, vous devez disposer des AWS ressources suivantes.
-
Un Amazon Virtual Private Cloud (VPC) avec des sous-réseaux privés, avec une connectivité Internet via une passerelle NAT ou un point de terminaison de passerelle DynamoDB.
-
Autorisations IAM appropriées pour effectuer les tâches suivantes :
-
Déployez le
custom-idp.yamlAWS CloudFormation modèle, -
Créez des AWS CodePipeline projets
-
Créez des AWS CodeBuild projets
-
Création de rôles et de politiques IAM
-
Important
Vous devez déployer la solution sur celui-ci Compte AWS , Région AWS qui contient vos serveurs Transfer Family cibles.
Fournisseurs d'identité pris en charge
La liste suivante contient des informations sur les fournisseurs d'identité pris en charge par la solution de fournisseur d'identité personnalisée.
| Fournisseur | Flux de mots de passe | Flux de clés publiques | Multifactoriel | Récupération d'attributs | Détails |
|---|---|---|---|---|---|
| Active Directory et LDAP | Oui | Oui | Non | Oui | La vérification de l'utilisateur peut être effectuée dans le cadre du flux d'authentification par clé publique. |
| Argon2 (hachage local) | Oui | Non | Non | Non | Les hachages Argon2 sont stockés dans le dossier utilisateur pour les cas d'utilisation de l'authentification « locale » basée sur un mot de passe. |
| Amazon Cognito | Oui | Non | Oui* | Non | Authentification multifactorielle basée sur le temps uniquement par mot de passe à usage unique (TOTP). *L'authentification MFA par SMS n'est pas prise en charge. |
| Entra ID (anciennement Azure AD) | Oui | Non | Non | Non | |
| Okta | Oui | Oui | Oui* | Oui | MFA basé sur TOTP uniquement. |
| Clé publique | Non | Oui | Non | Non | Les clés publiques sont stockées dans le dossier utilisateur de DynamoDB. |
| Secrets Manager | Oui | Oui | Non | Non |
