Soluzione personalizzata per provider di identità - AWS Transfer Family
Dettagli di implementazione per il toolkit di identità personalizzatoProvider di identità supportati

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Soluzione personalizzata per provider di identità

La soluzione AWS Transfer Family Custom Identity Provider è una soluzione modulare per provider di identità personalizzati che risolve molti casi d'uso comuni di autenticazione e autorizzazione delle aziende durante l'implementazione del servizio. Questa soluzione fornisce una base riutilizzabile per l'implementazione di provider di identità personalizzati con configurazione granulare delle sessioni per utente e separa la logica di autenticazione e autorizzazione, offrendo una base flessibile per vari casi d'uso. easy-to-maintain

Con la soluzione AWS Transfer Family Custom Identity Provider, è possibile risolvere casi d'uso comuni di autenticazione e autorizzazione aziendali. Questa soluzione modulare offre:

  • Una base riutilizzabile per l'implementazione di provider di identità personalizzati

  • Configurazione granulare della sessione per utente

  • Logica di autenticazione e autorizzazione separate

Dettagli di implementazione per il toolkit di identità personalizzato

La soluzione fornisce una base flessibile e gestibile per vari casi d'uso. Per iniziare, consulta il toolkit su https://github.com/aws-samples/toolkit-for-aws-transfer-family, quindi segui le istruzioni di distribuzione nella sezione Guida introduttiva.

Diagramma di architettura per il toolkit personalizzato per provider di identità disponibile in. GitHub
Nota

Se in precedenza hai utilizzato modelli ed esempi di provider di identità personalizzati, prendi in considerazione l'adozione di questa soluzione. In futuro, i moduli specifici del provider si standardizzeranno su questa soluzione. La manutenzione continua e i miglioramenti delle funzionalità verranno applicati a questa soluzione.

Questa soluzione contiene modelli standard per l'implementazione di un provider personalizzato che tenga conto dei dettagli, inclusa la registrazione, e della posizione in cui archiviare i metadati di sessione aggiuntivi necessari AWS Transfer Family, come il parametro. HomeDirectoryDetails Questa soluzione fornisce una base riutilizzabile per l'implementazione di provider di identità personalizzati con una configurazione granulare della sessione per utente e disaccoppia la logica di autenticazione del provider di identità dalla logica riutilizzabile che crea una configurazione che viene restituita a Transfer Family per completare l'autenticazione e stabilire le impostazioni per la sessione.

Il codice e le risorse di supporto per questa soluzione sono disponibili su -family. https://github.com/aws-samples/ toolkit-for-aws-transfer

Il toolkit contiene le seguenti funzionalità:

  • Un AWS Serverless Application Modelmodello che fornisce le risorse necessarie. Facoltativamente, distribuisci e configura Amazon API Gateway per incorporarlo AWS WAF, come descritto nel post del blog Securing AWS Transfer Family with AWS Web Application Firewall and Amazon API Gateway.

  • Uno schema Amazon DynamoDB per archiviare i metadati di configurazione sui provider di identità, incluse le impostazioni delle sessioni utente comeHomeDirectoryDetails, e. Role Policy

  • Un approccio modulare che consente di aggiungere nuovi provider di identità alla soluzione in futuro, sotto forma di moduli.

  • Recupero degli attributi: recupera facoltativamente gli attributi del ruolo IAM e del profilo POSIX (UID e GID) dai provider di identità supportati, tra cui AD, LDAP e Okta.

  • Supporto per più provider di identità connessi a un singolo server Transfer Family e a più server Transfer Family utilizzando la stessa implementazione della soluzione.

  • Controllo integrato degli elenchi di indirizzi IP consentiti, ad esempio gli elenchi di indirizzi IP consentiti che possono essere configurati facoltativamente per utente o per provider di identità.

  • Registrazione dettagliata con supporto configurabile a livello di registro e di tracciamento per facilitare la risoluzione dei problemi.

Prima di iniziare a implementare la soluzione personalizzata per un provider di identità, è necessario disporre delle seguenti risorse. AWS

  • Un Amazon Virtual Private Cloud (VPC) con sottoreti private, con connettività Internet tramite un gateway NAT o un endpoint gateway DynamoDB.

  • Autorizzazioni IAM appropriate per eseguire le seguenti attività:

    • Implementa il modello, custom-idp.yaml AWS CloudFormation

    • Crea progetti AWS CodePipeline

    • Crea AWS CodeBuild progetti

    • Crea ruoli e politiche IAM

Importante

È necessario distribuire la soluzione sullo stesso Account AWS server Transfer Family Regione AWS che contiene i server Transfer Family di destinazione.

Provider di identità supportati

L'elenco seguente contiene i dettagli dei provider di identità supportati per la soluzione di provider di identità personalizzata.

Provider Flussi di password Flussi a chiave pubblica Multifattoriale Recupero degli attributi Informazioni
Active Directory e LDAP No

La verifica degli utenti può essere eseguita come parte del flusso di autenticazione a chiave pubblica.
Argon2 (hash locale) No No No Gli hash Argon2 vengono memorizzati nel record utente per i casi d'uso di autenticazione «locale» basata su password.
Amazon Cognito No Sì* No

Solo autenticazione a più fattori basata su Time-based One-Time Password (TOTP).

*La MFA basata su SMS non è supportata.
Entra ID (in precedenza Azure AD) No No No
Okta Sì* Solo MFA basata su TOTP.
Chiavi pubbliche No No No Le chiavi pubbliche sono archiviate nel record utente in DynamoDB.
Secrets Manager No No