Travailler avec des fournisseurs d'identité personnalisés - AWS Transfer Family
Authentification multiple pour les fournisseurs d'identité personnalisés

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Travailler avec des fournisseurs d'identité personnalisés

Pour authentifier vos utilisateurs, vous pouvez utiliser votre fournisseur d'identité existant avec AWS Transfer Family. Vous intégrez votre fournisseur d'identité à l'aide d'une AWS Lambda fonction qui authentifie et autorise vos utilisateurs à accéder à Amazon S3 ou Amazon Elastic File System (AmazonEFS). Pour plus de détails, consultez Utilisation AWS Lambda pour intégrer votre fournisseur d'identité. Vous pouvez également accéder à CloudWatch des graphiques pour des indicateurs tels que le nombre de fichiers et d'octets transférés dans la console de AWS Transfer Family gestion, ce qui vous permet de surveiller les transferts de fichiers à l'aide d'un tableau de bord centralisé.

Vous pouvez également fournir une RESTful interface avec une seule méthode Amazon API Gateway. Transfer Family utilise cette méthode pour se connecter à votre fournisseur d'identité, qui authentifie et autorise vos utilisateurs à accéder à Amazon S3 ou Amazon. EFS Utilisez cette option si vous avez besoin d'RESTfulAPIintégrer votre fournisseur d'identité ou si vous souhaitez tirer parti de ses capacités AWS WAF de blocage géographique ou de limitation de débit des demandes. Pour plus de détails, consultez Utilisation d'Amazon API Gateway pour intégrer votre fournisseur d'identité.

Dans les deux cas, vous pouvez créer un nouveau serveur à l'aide de la AWS Transfer Family console ou du CreateServerAPIopération.

Note

Vous pouvez participer à un atelier au cours duquel vous pouvez créer une solution de transfert de fichiers. Cette solution s'appuie sur les FTPS points de terminaison gérés SFTP et sur Amazon Cognito et DynamoDB AWS Transfer Family pour la gestion des utilisateurs. Vous pouvez consulter les détails de cet atelier ici.

AWS Transfer Family propose les options suivantes pour travailler avec des fournisseurs d'identité personnalisés.

  • AWS Lambda À utiliser pour connecter votre fournisseur d'identité : vous pouvez utiliser un fournisseur d'identité existant, soutenu par une fonction Lambda. Vous indiquez le nom de la fonction Lambda. Pour de plus amples informations, veuillez consulter Utilisation AWS Lambda pour intégrer votre fournisseur d'identité.

  • Utilisez Amazon API Gateway pour connecter votre fournisseur d'identité : vous pouvez créer une méthode API Gateway basée sur une fonction Lambda à utiliser en tant que fournisseur d'identité. Vous fournissez un Amazon API Gateway URL et un rôle d'invocation. Pour de plus amples informations, veuillez consulter Utilisation d'Amazon API Gateway pour intégrer votre fournisseur d'identité.

Pour l'une ou l'autre option, vous pouvez également spécifier le mode d'authentification.

  • Mot de passe OU clé : les utilisateurs peuvent s'authentifier à l'aide de leur mot de passe ou de leur clé. C’est la valeur par défaut.

  • Mot de passe ONLY : les utilisateurs doivent fournir leur mot de passe pour se connecter.

  • Clé ONLY : les utilisateurs doivent fournir leur clé privée pour se connecter.

  • ANDClé de mot de passe : les utilisateurs doivent fournir leur clé privée et leur mot de passe pour se connecter. Le serveur vérifie d'abord la clé, puis si la clé est valide, le système demande un mot de passe. Si la clé privée fournie ne correspond pas à la clé publique stockée, l'authentification échoue.

Utilisation de plusieurs méthodes d'authentification pour vous authentifier auprès de votre fournisseur d'identité personnalisé

Le serveur Transfer Family contrôle la AND logique lorsque vous utilisez plusieurs méthodes d'authentification. Transfer Family traite cela comme deux demandes distinctes adressées à votre fournisseur d'identité personnalisé : toutefois, leur effet est combiné.

Les deux demandes doivent être renvoyées avec succès avec la bonne réponse pour permettre à l'authentification de se terminer. Transfer Family exige que les deux réponses soient complètes, c'est-à-dire qu'elles contiennent tous les éléments requis (rôle, répertoire personnel, politique et POSIX profil si vous utilisez Amazon EFS pour le stockage). Transfer Family exige également que la réponse au mot de passe ne contienne pas de clés publiques.

La demande de clé publique doit faire l'objet d'une réponse distincte de la part du fournisseur d'identité. Ce comportement reste inchangé lors de l'utilisation du mot de passe OR ou de la AND clé de passe.

Le SFTP protocoleSSH/défie d'abord le client logiciel avec une authentification par clé publique, puis demande une authentification par mot de passe. Cette opération garantit la réussite des deux opérations avant que l'utilisateur ne soit autorisé à terminer l'authentification.

Rubriques