Accesso a utenti autenticati esternamente (federazione delle identità) - AWS Identity and Access Management
Federazione di utenti di una applicazione per dispositivi mobili o basata sul Web con Amazon CognitoFederazione degli utenti con provider di servizi di identità pubblica o OpenID ConnectFederazione degli utenti con 2.0 SAMLFederazione degli utenti creando un'applicazione personalizzata per la gestione di identità

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Accesso a utenti autenticati esternamente (federazione delle identità)

Gli utenti potrebbero già avere identità esterne AWS, ad esempio nella rubrica aziendale. Se tali utenti devono utilizzare AWS risorse (o utilizzare applicazioni che accedono a tali risorse), devono utilizzare anche credenziali AWS di sicurezza. Puoi utilizzare un IAM ruolo per specificare le autorizzazioni per gli utenti la cui identità è federata dalla tua organizzazione o da un provider di identità (IdP) di terze parti.

Nota

Come best practice in materia di sicurezza, ti consigliamo di gestire l'accesso degli utenti in IAMIdentity Center con la federazione delle identità anziché creare utenti. IAM Per informazioni su situazioni specifiche in cui è richiesto un IAM utente, vedi Quando creare un IAM utente (anziché un ruolo).

Federazione di utenti di una applicazione per dispositivi mobili o basata sul Web con Amazon Cognito

Se crei un'app mobile o basata sul Web che accede alle AWS risorse, l'app necessita di credenziali di sicurezza per poter effettuare richieste programmatiche di. AWS Per la maggior parte degli scenari relativi alle applicazioni per dispositivi mobili, consigliamo di utilizzare Amazon Cognito. Puoi utilizzare questo servizio con AWS Mobile SDK per iOS e Mobile per Android e Fire OS SDK per creare identità uniche per gli utenti e autenticarli per un accesso sicuro alle tue AWS risorse.AWS Amazon Cognito supporta gli stessi provider di identità come quelli elencati nella sezione successiva e supporta anche identità autenticate dallo sviluppatore e accesso non autenticato (ospite). Amazon Cognito fornisce anche API operazioni per la sincronizzazione dei dati degli utenti in modo che vengano conservati mentre gli utenti si spostano da un dispositivo all'altro. Per ulteriori informazioni, consulta Amazon Cognito per app mobili.

Federazione degli utenti con provider di servizi di identità pubblica o OpenID Connect

Quando possibile, utilizza Amazon Cognito per scenari di applicazioni per dispositivi mobili o basate sul Web. Amazon Cognito svolge la maggior parte del behind-the-scenes lavoro con i servizi di provider di identità pubbliche per te. Lavora con gli stessi servizi di terze parti e supporta anche gli accessi anonimi. Tuttavia, per scenari più avanzati, puoi lavorare direttamente con un servizio di terze parti come Login with Amazon, Facebook, Google o qualsiasi IdP compatibile con OpenID Connect (). OIDC Per ulteriori informazioni sull'utilizzo OIDC della federazione utilizzando uno di questi servizi, consulta. OIDCfederazione

Federazione degli utenti con 2.0 SAML

Se l'organizzazione utilizza già un pacchetto software per provider di identità che supporta la SAML versione 2.0 (Security Assertion Markup Language 2.0), è possibile creare fiducia tra l'organizzazione come provider di identità (IdP) e AWS come fornitore di servizi. È quindi possibile utilizzare SAML per fornire agli utenti un accesso unificato (SSO) AWS Management Console o un accesso federato alle operazioni di chiamata. AWS API Ad esempio, se la tua azienda utilizza Microsoft Active Directory e Active Directory Federation Services, puoi federare utilizzando SAML 2.0. Per ulteriori informazioni sulla federazione degli utenti con la SAML versione 2.0, consulta. SAMLfederazione 2.0

Federazione degli utenti creando un'applicazione personalizzata per la gestione di identità

Se il tuo archivio di identità non è compatibile con la SAML versione 2.0, puoi creare un'applicazione di identity broker personalizzata per eseguire una funzione simile. L'applicazione broker autentica gli utenti, richiede credenziali temporanee per gli utenti e quindi le fornisce all'utente per accedere alle risorse. AWS AWS

Ad esempio, Example Corp. ha molti dipendenti che devono eseguire applicazioni interne che accedono alle risorse dell'azienda. AWS I dipendenti dispongono già di identità nel sistema di identità e autenticazione aziendale e Example Corp. non desidera creare un IAM utente separato per ogni dipendente dell'azienda.

Bob è uno sviluppatore presso Example Corp. Per consentire alle applicazioni interne di Example Corp. di accedere alle AWS risorse dell'azienda, Bob sviluppa un'applicazione personalizzata per il brokeraggio delle identità. L'applicazione verifica che i dipendenti abbiano effettuato l'accesso al sistema di identità e autenticazione esistente di Example Corp., che potrebbe utilizzare LDAP Active Directory o un altro sistema. L'applicazione del gestore identità quindi ottiene le credenziali di sicurezza provvisorie per i dipendenti. Questo scenario è simile a quello precedente (un'app mobile che utilizza un sistema di autenticazione personalizzato), tranne per il fatto che le applicazioni che richiedono l'accesso alle AWS risorse vengono eseguite tutte all'interno della rete aziendale e l'azienda dispone di un sistema di autenticazione esistente.

Per ottenere le credenziali di sicurezza provvisorie, l'applicazione del gestore identità chiama AssumeRole o GetFederationToken per ottenere le credenziali di sicurezza provvisorie, a seconda di come Bob desidera gestire le policy per gli utenti e quando scadono le credenziali provvisorie. (Per ulteriori informazioni sulle differenze tra queste API operazioni, vedere Credenziali di sicurezza temporanee in IAM eAutorizzazioni per credenziali di sicurezza temporanee.) La chiamata restituisce credenziali di sicurezza temporanee costituite da un ID di chiave di AWS accesso, una chiave di accesso segreta e un token di sessione. L'applicazione del gestore identità rende tali credenziali di sicurezza provvisorie disponibili all'applicazione aziendale interna. L'applicazione può quindi utilizzare le credenziali provvisorie per effettuare chiamate a AWS direttamente. L'app memorizza le credenziali finché non scadono e in seguito richiede un nuovo set di credenziali temporanee. L'immagine seguente illustra questo scenario.

Esempio di flusso di lavoro in cui viene utilizzata un'applicazione personalizzata del gestore identità

Questo scenario ha i seguenti attributi:

  • L'applicazione identity broker dispone delle autorizzazioni per accedere IAM al servizio token (STS) API per creare credenziali di sicurezza temporanee.

  • L'applicazione del gestore identità è in grado di verificare che i dipendenti siano autenticati nel sistema di autenticazione esistente.

  • Gli utenti possono ottenere una versione temporanea URL che consente loro di accedere alla Console di AWS gestione (denominata Single Sign-on).

Per ulteriori informazioni sulla creazione di credenziali di sicurezza provvisorie, consultare Confronta le AWS STS credenziali. Per ulteriori informazioni sull'accesso degli utenti federati alla console di AWS gestione, consulta. Consentire agli utenti federati SAML 2.0 di accedere a AWS Management Console