SEC02-BP04 Andalkan penyedia identitas terpusat
Untuk identitas tenaga kerja, serahkan kepada penyedia identitas sehingga Anda dapat mengelola identitas di tempat terpusat. Ini akan mempermudah pengelolaan akses di beberapa aplikasi dan layanan, karena Anda membuat, mengelola, dan mencabut akses dari satu lokasi. Contohnya, jika seseorang meninggalkan organisasi Anda, Anda dapat mencabut akses untuk semua aplikasi dan layanan (termasuk AWS) dari satu lokasi. Hal ini akan mengurangi jumlah kredensial yang dibutuhkan dan memberikan peluang untuk berintegrasi dengan proses sumber daya manusia (HR) yang ada.
Untuk federasi dengan akun AWS secara individu, Anda dapat menggunakan identitas terpusat untuk AWS dengan penyedia berbasis SAML 2.0 dengan AWS Identity and Access Management. Anda dapat menggunakan penyedia apa pun—baik yang di-hosting oleh Anda di AWS, eksternal terhadap AWS, atau dipasok oleh AWS Partner—yang kompatibel dengan protokol SAML 2.0 . Anda dapat menggunakan federasi antara akun AWS Anda dan penyedia pilihan Anda untuk memberikan akses aplikasi atau pengguna untuk memanggil operasi API AWS dengan menggunakan penegasan SAML guna mendapatkan kredensial keamanan sementara. Single sign-on berbasis web juga didukung, sehingga pengguna dapat masuk ke AWS Management Console dari situs web masuk Anda.
Dari federasi ke beberapa akun di AWS Organizations Anda, Anda dapat mengonfigurasikan sumber identitas Anda di AWS IAM Identity Center (IAM Identity Center)
IAM Identity Center berintegrasi dengan AWS Organizations, yang memampukan Anda mengonfigurasikan penyedia identitas Anda satu kali kemudian memberikan akses ke akun yang ada dan akun baru yang dikelola di organisasi Anda. IAM Identity Center memberikan kepada Anda penyimpanan default, yang dapat Anda gunakan untuk mengelola grup dan pengguna Anda. Jika Anda memilih untuk menggunakan penyimpanan IAM Identity Center, buat pengguna dan grup Anda dan tetapkan bagi mereka tingkat akses ke aplikasi dan akun AWS Anda, sambil mengingat praktik terbaik hak akses paling rendah. Alternatifnya, Anda dapat memilih untuk Terhubung ke Penyedia Identitas Eksternal Anda menggunakan SAML 2.0, atau Terhubung ke Direktori Microsoft AD Anda menggunakan AWS Directory Service. Setelah dikonfigurasikan, Anda dapat masuk ke AWS Management Console, atau aplikasi seluler AWS, dengan mengautentikasi melalui penyedia identitas pusat Anda.
Untuk mengelola pengguna akhir atau konsumen beban kerja Anda, seperti aplikasi seluler, Anda dapat menggunakan
Amazon Cognito
Tingkat risiko yang terjadi jika praktik terbaik ini tidak diterapkan: Tinggi
Panduan implementasi
-
Pusatkan akses administrasi: Buat entitas penyedia identitas Identity and Access Management (IAM) untuk menetapkan hubungan tepercaya antara Akun AWS Anda dan penyedia identitas (IdP) Anda. IAM mendukung IdP yang kompatibel dengan OpenID Connect (OIDC) atau SAML 2.0 (Security Assertion Markup Language 2.0).
-
Pusatkan akses aplikasi: Pertimbangkan Amazon Cognito untuk memusatkan akses aplikasi. Ini memungkinkan Anda untuk menambahkan kontrol akses, akses masuk, dan pendaftaran pengguna ke web dan aplikasi seluler Anda dengan cepat dan mudah. Amazon Cognito
menskalakan jutaan pengguna dan mendukung akses masuk dengan penyedia identitas sosial, seperti Facebook, Google, dan Amazon, serta penyedia identitas perusahaan melalui SAML 2.0.
-
Singkirkan grup dan pengguna IAM lama: Setelah Anda mulai menggunakan penyedia identitas (IdP), singkirkan grup dan pengguna IAM yang tidak lagi diperlukan.
Sumber daya
Dokumen terkait:
Video terkait: