Solusi penyedia identitas khusus - AWS Transfer Family
Detail implementasi untuk toolkit identitas kustomPenyedia identitas yang didukung

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Solusi penyedia identitas khusus

Solusi penyedia identitas AWS Transfer Family kustom adalah solusi penyedia identitas kustom modular yang memecahkan banyak kasus penggunaan otentikasi dan otorisasi umum yang dimiliki perusahaan saat menerapkan layanan. Solusi ini memberikan fondasi yang dapat digunakan kembali untuk menerapkan penyedia identitas khusus dengan konfigurasi sesi per pengguna terperinci dan memisahkan logika otentikasi dan otorisasi, menawarkan fleksibilitas dan fondasi untuk berbagai kasus penggunaan. easy-to-maintain

Dengan solusi penyedia identitas AWS Transfer Family khusus, Anda dapat mengatasi kasus penggunaan otentikasi dan otorisasi perusahaan umum. Solusi modular ini menawarkan:

  • Fondasi yang dapat digunakan kembali untuk menerapkan penyedia identitas khusus

  • Konfigurasi sesi per pengguna granular

  • Otentikasi terpisah dan logika otorisasi

Detail implementasi untuk toolkit identitas kustom

Solusinya menyediakan basis yang fleksibel dan dapat dipelihara untuk berbagai kasus penggunaan. Untuk memulai, tinjau toolkit di https://github.com/aws-samples/toolkit-for-aws-transfer-family, lalu ikuti petunjuk penerapan di bagian Memulai.

Diagram arsitektur untuk toolkit penyedia identitas kustom yang tersedia di GitHub.
catatan

Jika sebelumnya Anda telah menggunakan templat dan contoh penyedia identitas kustom, pertimbangkan untuk mengadopsi solusi ini sebagai gantinya. Ke depan, modul khusus penyedia akan menstandarisasi solusi ini. Pemeliharaan berkelanjutan dan peningkatan fitur akan diterapkan pada solusi ini.

Solusi ini berisi pola standar untuk menerapkan penyedia kustom yang memperhitungkan detail termasuk pencatatan dan tempat menyimpan metadata sesi tambahan yang diperlukan AWS Transfer Family, seperti parameter. HomeDirectoryDetails Solusi ini memberikan fondasi yang dapat digunakan kembali untuk menerapkan penyedia identitas kustom dengan konfigurasi sesi per pengguna granular, dan memisahkan logika otentikasi penyedia identitas dari logika yang dapat digunakan kembali yang membangun konfigurasi yang dikembalikan ke Transfer Family untuk menyelesaikan otentikasi dan menetapkan pengaturan untuk sesi tersebut.

Kode dan sumber daya pendukung untuk solusi ini tersedia di https://github.com/aws-samples/toolkit-for-aws-transfer-family.

Toolkit berisi fitur-fitur berikut:

  • AWS Serverless Application ModelTemplate yang menyediakan sumber daya yang dibutuhkan. Secara opsional, terapkan dan konfigurasikan Amazon API Gateway untuk digabungkan AWS WAF, seperti yang dijelaskan dalam posting blog Mengamankan AWS Transfer Family dengan Firewall Aplikasi AWS Web dan Amazon API Gateway.

  • Skema Amazon DynamoDB untuk menyimpan metadata konfigurasi tentang penyedia identitas, termasuk setelan sesi pengguna seperti,, dan. HomeDirectoryDetails Role Policy

  • Pendekatan modular yang memungkinkan Anda menambahkan penyedia identitas baru ke solusi di masa depan, sebagai modul.

  • Pengambilan atribut: Secara opsional mengambil peran IAM dan atribut Profil POSIX (UID dan GID) dari penyedia identitas yang didukung, termasuk AD, LDAP, dan Okta.

  • Support untuk beberapa penyedia identitas yang terhubung ke satu server Transfer Family dan beberapa server Transfer Family menggunakan penerapan solusi yang sama.

  • Pemeriksaan daftar izin IP bawaan seperti IP mengizinkan daftar yang secara opsional dapat dikonfigurasi berdasarkan penyedia per-pengguna atau per-identitas.

  • Pencatatan terperinci dengan tingkat log yang dapat dikonfigurasi dan dukungan penelusuran untuk membantu pemecahan masalah.

Sebelum Anda mulai menerapkan solusi penyedia identitas kustom, Anda harus memiliki AWS sumber daya berikut.

  • Amazon Virtual Private Cloud (VPC) dengan subnet pribadi, dengan konektivitas internet melalui gateway NAT atau titik akhir gateway DynamoDB.

  • Izin IAM yang sesuai untuk melakukan tugas-tugas berikut:

    • Menyebarkan custom-idp.yaml AWS CloudFormation template,

    • Buat AWS CodePipeline proyek

    • Buat AWS CodeBuild proyek

    • Buat peran dan kebijakan IAM

penting

Anda harus menerapkan solusi yang sama Akun AWS dan Wilayah AWS yang berisi server Transfer Family target Anda.

Penyedia identitas yang didukung

Daftar berikut berisi detail untuk penyedia identitas yang didukung untuk solusi penyedia identitas kustom.

Penyedia Alur kata sandi Arus kunci publik Multi-faktor Pengambilan atribut Detail
Direktori Aktif dan LDAP Ya Ya Tidak Ya

Verifikasi pengguna dapat dilakukan sebagai bagian dari alur otentikasi kunci publik.
Argon2 (hash lokal) Ya Tidak Tidak Tidak Hash Argon2 disimpan dalam catatan pengguna untuk kasus penggunaan otentikasi berbasis kata sandi 'lokal'.
Amazon Cognito Ya Tidak Ya* Tidak

Hanya otentikasi multi-faktor berbasis One-Time Password (TOTP) berbasis waktu.

* MFA berbasis SMS tidak didukung.
Entra ID (sebelumnya Azure AD) Ya Tidak Tidak Tidak
Okta Ya Ya Ya* Ya MFA berbasis TOTP saja.
Kunci publik Tidak Ya Tidak Tidak Kunci publik disimpan dalam catatan pengguna di DynamoDB.
Secrets Manager Ya Ya Tidak Tidak