Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Akses ke pengguna yang diautentikasi secara eksternal (federasi identitas)

Pengguna Anda mungkin sudah memiliki identitas di luar AWS, seperti di direktori perusahaan Anda. Jika pengguna tersebut perlu bekerja dengan AWS sumber daya (atau bekerja dengan aplikasi yang mengakses sumber daya tersebut), maka pengguna tersebut juga memerlukan AWS kredensil keamanan. Anda dapat menggunakan IAM peran untuk menentukan izin bagi pengguna yang identitasnya digabungkan dari organisasi Anda atau penyedia identitas pihak ketiga (iDP).

Pengguna federasi dari aplikasi seluler atau berbasis web dengan Amazon Cognito

Jika Anda membuat aplikasi seluler atau berbasis web yang mengakses AWS sumber daya, aplikasi memerlukan kredensi keamanan untuk membuat permintaan terprogram. AWS Untuk sebagian besar skenario aplikasi seluler, kami menyarankan agar Anda menggunakan Amazon Cognito. Anda dapat menggunakan layanan ini dengan AWS Mobile SDK untuk iOS dan Mobile untuk Android dan Fire OS SDK untuk membuat identitas unik bagi pengguna dan mengautentikasi mereka untuk akses aman ke sumber daya Anda AWS .AWS Amazon Cognito mendukung penyedia identitas yang sama seperti yang tercantum di bagian berikutnya, dan juga mendukung identitas yang diautentikasi pengembang dan akses (tamu) yang tidak terotentikasi. Amazon Cognito juga menyediakan API operasi untuk menyinkronkan data pengguna sehingga dipertahankan saat pengguna berpindah antar perangkat. Untuk informasi selengkapnya, lihat Amazon Cognito untuk aplikasi seluler.

Menggabungkan pengguna dengan penyedia layanan identitas publik atau OpenID Connect

Bila memungkinkan, gunakan Amazon Cognito untuk skenario aplikasi berbasis web dan seluler. Amazon Cognito melakukan sebagian besar behind-the-scenes pekerjaan dengan layanan penyedia identitas publik untuk Anda. Ia bekerja dengan layanan pihak ketiga yang sama dan juga mendukung masuk secara anonim. Namun, untuk skenario yang lebih canggih, Anda dapat bekerja langsung dengan layanan pihak ketiga seperti Login with Amazon, Facebook, Google, atau IDP apa pun yang kompatibel dengan OpenID Connect (). OIDC Untuk informasi selengkapnya tentang penggunaan OIDC federasi menggunakan salah satu layanan ini, lihatOIDCfederasi.

Menggabungkan pengguna dengan 2.0 SAML

Jika organisasi Anda sudah menggunakan paket perangkat lunak penyedia identitas yang mendukung SAML 2.0 (Security Assertion Markup Language 2.0), Anda dapat membuat kepercayaan antara organisasi Anda sebagai penyedia identitas (iDP) dan AWS sebagai penyedia layanan. Anda kemudian dapat menggunakan SAML untuk menyediakan pengguna Anda dengan federasi single-sign on (SSO) ke AWS Management Console atau akses federasi ke operasi panggilan. AWS API Misalnya, jika perusahaan Anda menggunakan Microsoft Active Directory dan Active Directory Federation Services, maka Anda dapat melakukan federasi menggunakan SAML 2.0. Untuk informasi selengkapnya tentang federasi pengguna dengan SAML 2.0, lihatSAML2.0 federasi.

Pengguna federasi dengan membuat aplikasi broker identitas khusus

Jika toko identitas Anda tidak kompatibel dengan SAML 2.0, maka Anda dapat membangun aplikasi broker identitas khusus untuk melakukan fungsi serupa. Aplikasi broker mengotentikasi pengguna, meminta kredensi sementara untuk pengguna dari AWS, dan kemudian menyediakannya kepada pengguna untuk mengakses sumber daya. AWS

Misalnya, Example Corp. memiliki banyak karyawan yang perlu menjalankan aplikasi internal yang mengakses AWS sumber daya perusahaan. Karyawan sudah memiliki identitas dalam identitas perusahaan dan sistem otentikasi, dan Example Corp. tidak ingin membuat IAM pengguna terpisah untuk setiap karyawan perusahaan.

Bob adalah pengembang di Example Corp. Untuk mengaktifkan aplikasi internal Example Corp untuk mengakses AWS sumber daya perusahaan, Bob mengembangkan aplikasi broker identitas kustom. Aplikasi memverifikasi bahwa karyawan masuk ke sistem identitas dan otentikasi Example Corp. yang ada, yang mungkin menggunakan, Active DirectoryLDAP, atau sistem lain. Aplikasi broker identitas kemudian mendapatkan kredensial keamanan sementara bagi karyawan. Skenario ini mirip dengan yang sebelumnya (aplikasi seluler yang menggunakan sistem otentikasi khusus), kecuali bahwa aplikasi yang membutuhkan akses ke AWS sumber daya semuanya berjalan dalam jaringan perusahaan, dan perusahaan memiliki sistem otentikasi yang ada.

Untuk mendapatkan kredensial keamanan sementara, aplikasi broker identitas menelepon AssumeRole atau GetFederationToken untuk memperoleh kredensial keamanan sementara, tergantung pada bagaimana Bob ingin mengelola kebijakan untuk pengguna dan kapan kredensial sementara harus kedaluwarsa. (Untuk informasi lebih lanjut tentang perbedaan antara API operasi ini, lihat Kredensi keamanan sementara di IAM danIzin untuk kredensial keamanan sementara.) Panggilan mengembalikan kredensil keamanan sementara yang terdiri dari ID kunci AWS akses, kunci akses rahasia, dan token sesi. Aplikasi broker identitas membuat kredensial keamanan sementara ini tersedia bagi aplikasi internal perusahaan. Aplikasi kemudian dapat menggunakan kredensial sementara untuk membuat panggilan ke AWS secara langsung. Aplikasi menyimpan kredensial hingga kedaluwarsa, kemudian meminta set kredensial sementara yang baru. Gambar berikut mengilustrasikan skenario ini.

Skenario ini memiliki atribut berikut:

Untuk informasi tentang membuat kredensial keamanan sementara, lihat Bandingkan AWS STS kredensialnya. Untuk informasi selengkapnya tentang pengguna federasi yang mendapatkan akses ke AWS Management Console, lihatMengaktifkan pengguna federasi SAMP 2.0 untuk mengakses AWS Management Console.