SEC02-BP04 Appuyez-vous sur un fournisseur d'identité centralisé

Pour les identités du personnel (employés et sous-traitants), faites confiance à un fournisseur d’identité qui vous permet de gérer les identités de manière centralisée. Cela facilite la gestion de l’accès entre plusieurs applications et systèmes, car vous créez, attribuez, gérez, révoquez et auditez l’accès depuis un seul emplacement.

Résultat souhaité : vous disposez d'un fournisseur d'identité centralisé dans lequel vous gérez de manière centralisée les utilisateurs du personnel, les politiques d'authentification (telles que l'exigence d'une authentification multifactorielle (MFA)) et les autorisations aux systèmes et aux applications (telles que l'attribution d'accès en fonction de l'appartenance à un groupe ou des attributs d'un utilisateur). Les utilisateurs en interne se connectent au fournisseur d’identité central et se fédèrent (authentification unique) avec les applications internes et externes, ce qui leur évite d’avoir à mémoriser différentes informations d’identification. Votre fournisseur d’identité est intégré à vos systèmes de ressources humaines (RH) afin que les changements de personnel soient automatiquement synchronisés avec lui. Par exemple, si quelqu'un quitte votre organisation, vous pouvez automatiquement révoquer l'accès aux applications et systèmes fédérés (y compris AWS). Vous avez activé la journalisation détaillée des audits dans votre fournisseur d’identité et vous surveillez ces journaux pour détecter tout comportement inhabituel des utilisateurs.

Anti-modèles courants :

• Vous n’utilisez pas la fédération ni l’authentification unique. Les utilisateurs en interne créent des comptes utilisateur et des informations d’identification distincts dans plusieurs applications et systèmes.

• Vous n’avez pas automatisé le cycle de vie des identités pour les utilisateurs en interne, par exemple en intégrant votre fournisseur d’identité à vos systèmes RH. Lorsqu’un utilisateur quitte votre organisation ou change de rôle, vous suivez un processus manuel pour supprimer ou mettre à jour ses enregistrements dans plusieurs applications et systèmes.

Avantages liés au respect de cette bonne pratique : en utilisant un fournisseur d’identité centralisé, vous disposez d’un emplacement unique pour gérer les identités et les politiques des utilisateurs en interne, de la possibilité d’attribuer l’accès aux applications, aux utilisateurs et aux groupes, et de la capacité de surveiller l’activité de connexion des utilisateurs. Grâce à l’intégration du fournisseur d’identité dans vos systèmes de ressources humaines (RH), lorsqu’un utilisateur change de rôle, ces modifications sont synchronisées avec le fournisseur d’identité et mettent automatiquement à jour les applications et les autorisations qui lui ont été attribuées. Lorsqu’un utilisateur quitte votre organisation, son identité est automatiquement désactivée dans le fournisseur d’identité, révoquant ainsi son accès aux applications et systèmes fédérés.

Niveau d’exposition au risque si cette bonne pratique n’est pas respectée : élevé

Directives d’implémentation

Conseils pour les utilisateurs en interne accédant à AWS

Les utilisateurs du personnel, tels que les employés et les sous-traitants de votre organisation, peuvent avoir besoin d' AWS utiliser le AWS Management Console ou AWS Command Line Interface (AWS CLI) pour exécuter leurs tâches. Vous pouvez accorder AWS l'accès aux utilisateurs de votre personnel en les fédérant à partir de votre fournisseur d'identité centralisé AWS à deux niveaux : fédération directe vers chacun Compte AWS ou fédération vers plusieurs comptes de votre AWS organisation.

• Pour fédérer les utilisateurs de votre personnel directement avec chacun d'entre eux Compte AWS, vous pouvez utiliser un fournisseur d'identité centralisé pour les fédérer AWS Identity and Access Managementdans ce compte. La flexibilité de vous IAM permet d'activer un fournisseur d'identité SAML2.0 ou Open ID Connect (OIDC) distinct pour chacun Compte AWS et d'utiliser des attributs utilisateur fédérés pour le contrôle d'accès. Les utilisateurs de votre personnel utiliseront leur navigateur Web pour se connecter au fournisseur d'identité en fournissant leurs informations d'identification (telles que des mots de passe et des codes de MFA jeton). Le fournisseur d'identité envoie une SAML assertion à son navigateur qui est soumise à la AWS Management Console connexion URL pour permettre à l'utilisateur de s'identifier une seule fois AWS Management Console en assumant un IAM rôle. Vos utilisateurs peuvent également obtenir des AWS API informations d'identification temporaires à utiliser dans AWS CLIou AWS SDKsauprès de, AWS STSen assumant le IAM rôle à l'aide d'une SAML assertion du fournisseur d'identité.

• Pour fédérer les utilisateurs de votre personnel disposant de plusieurs comptes dans votre AWS organisation, vous pouvez gérer de manière centralisée l'AWS IAM Identity Centeraccès des utilisateurs de votre personnel aux applications Comptes AWS et aux applications. Vous activez Identity Center pour votre organisation et configurez votre source d’identité. IAMIdentity Center fournit un répertoire de sources d'identité par défaut que vous pouvez utiliser pour gérer vos utilisateurs et vos groupes. Vous pouvez également choisir une source d'identité externe en vous connectant à votre fournisseur d'identité externe à l'aide de la SAML version 2.0 et en provisionnant automatiquement les utilisateurs et les groupes à l'aide deSCIM, ou en vous connectant à votre répertoire Microsoft AD à l'aide AWS Directory Servicede. Une fois qu'une source d'identité est configurée, vous pouvez attribuer l'accès aux utilisateurs et aux groupes Comptes AWS en définissant des politiques de moindre privilège dans vos ensembles d'autorisations. Les utilisateurs de votre personnel peuvent s’authentifier par l’intermédiaire de votre fournisseur d’identité central pour se connecter au portail d’accès AWS et ouvrir une session unique dans le Comptes AWS et les applications cloud qui leur sont attribuées. Vos utilisateurs peuvent configurer la AWS CLI v2 pour s'authentifier auprès d'Identity Center et obtenir des informations d'identification pour exécuter des AWS CLI commandes. Identity Center permet également l'accès par authentification unique à AWS des applications telles que les portails Amazon SageMaker Studio et AWS IoT Sitewise Monitor.

Une fois que vous aurez suivi les instructions précédentes, les utilisateurs de votre personnel n'auront plus besoin d'utiliser des IAM utilisateurs et des groupes pour les opérations normales lors de la gestion des charges de travail. AWS Au lieu de cela, vos utilisateurs et vos groupes sont gérés à l'extérieur AWS et les utilisateurs peuvent accéder aux AWS ressources sous forme d'identité fédérée. Les identités fédérées utilisent les groupes définis par votre fournisseur d’identité centralisé. Vous devez identifier et supprimer les IAM groupes, IAM les utilisateurs et les informations d'identification utilisateur de longue durée (mots de passe et clés d'accès) dont vous n'avez Comptes AWS plus besoin. Vous pouvez trouver les informations d'identification non utilisées à l'aide des rapports IAM d'identification, supprimer les IAM utilisateurs correspondants et supprimer les IAM groupes. Vous pouvez appliquer une politique de contrôle des services (SCP) à votre organisation afin d'empêcher la création de nouveaux IAM utilisateurs et groupes, en renforçant cet accès via des AWS identités fédérées.

Conseils pour les utilisateurs de vos applications

Vous pouvez gérer l’identité des utilisateurs de vos applications, telles qu’une application mobile, en utilisant Amazon Cognito comme votre fournisseur d’identité centralisé. Amazon Cognito assure l’authentification, l’autorisation et la gestion des utilisateurs pour vos applications Web et mobiles. Amazon Cognito fournit une banque d’identités adaptée à des millions d’utilisateurs, prend en charge la fédération d’identité sociale de l’entreprise et propose des fonctionnalités de sécurité avancées pour protéger vos utilisateurs et votre entreprise. Vous pouvez intégrer votre application Web ou mobile personnalisée avec Amazon Cognito pour ajouter l’authentification des utilisateurs et le contrôle d’accès à vos applications en quelques minutes. Basé sur des normes d'identité ouvertes telles que SAML Open ID Connect (OIDC), Amazon Cognito prend en charge diverses réglementations de conformité et s'intègre aux ressources de développement du frontend et du backend.

Étapes d’implémentation

Étapes à suivre pour permettre aux utilisateurs en interne d’accéder à AWS

• Fédérez les utilisateurs de votre personnel pour qu' AWS ils utilisent un fournisseur d'identité centralisé en utilisant l'une des approches suivantes :

  • Utilisez IAM Identity Center pour activer l'authentification unique à plusieurs Comptes AWS dans votre AWS organisation en fédérant avec votre fournisseur d'identité.

  • Utilisez-le IAM pour connecter votre fournisseur d'identité directement à chacun d'entre eux Compte AWS, afin de permettre un accès fédéré précis.

• Identifiez et supprimez IAM les utilisateurs et les groupes remplacés par des identités fédérées.

Étapes à suivre pour les utilisateurs de vos applications

• Utilisez Amazon Cognito comme fournisseur d’identité centralisé pour vos applications.

• Intégrez vos applications personnalisées à Amazon Cognito à l'aide d'OpenID Connect et. OAuth Vous pouvez développer vos applications personnalisées à l'aide des bibliothèques Amplify qui fournissent des interfaces simples à intégrer à divers AWS services, tels qu'Amazon Cognito pour l'authentification.

Ressources

Bonnes pratiques Well-Architected connexes :

• SEC02-BP06 Utiliser des groupes d'utilisateurs et des attributs

• SEC03-BP02 Accorder l'accès avec le moindre privilège

• SEC03-BP06 Gérer l'accès en fonction du cycle de vie

Documents connexes :

• Fédération d'identité en AWS

• Bonnes pratiques de sécurité dans IAM

• AWS Identity and Access Management Bonnes pratiques

• Commencer à utiliser l'administration déléguée IAM d'Identity Center

• Comment utiliser les politiques gérées par le client dans IAM Identity Center pour les cas d'utilisation avancés

• AWS CLI v2 : fournisseur IAM d'identifiants Identity Center

Vidéos connexes :

• AWS Re:inForce 2022 - AWS Identity and Access Management () analyse approfondie IAM

• AWS re:Invent 2022 - Simplifiez l'accès de votre personnel existant avec Identity Center IAM

• AWS re:Invent 2018 : Maîtriser l'identité à chaque étape du gâteau

Exemples connexes :

• Atelier : Utiliser AWS IAM Identity Center pour parvenir à une gestion solide de l'identité

• Atelier : identité sans serveur

Outils associés :

• AWS Partenaires compétents en matière de sécurité : Identity and Access Management

• AWS IAM Identity Center