SEC02-BP04 Affidati a un provider di identità centralizzato

Per le identità della forza lavoro (dipendenti e collaboratori) affidati a un gestore dell'identità digitale che ti consenta di gestire le identità in un luogo centralizzato. In questo modo è più semplice gestire l'accesso tra più applicazioni e sistemi, poiché crei, assegni, gestisci, revochi e verifichi gli accessi da una singola posizione.

Risultato desiderato: disponi di un provider di identità centralizzato in cui gestire centralmente gli utenti della forza lavoro, le politiche di autenticazione (ad esempio la richiesta dell'autenticazione a più fattori (MFA)) e l'autorizzazione a sistemi e applicazioni (come l'assegnazione dell'accesso in base all'appartenenza o agli attributi di un utente). Gli utenti che fanno parte della tua forza lavoro accedono al gestore dell'identità digitale centrale ed effettuano l'accesso federato (autenticazione unica) alle applicazioni interne ed esterne, il che elimina la necessità per gli utenti di ricordare più credenziali. Il gestore dell'identità digitale è integrato con i tuoi sistemi di risorse umane (HR), in modo che le modifiche relative al personale vengano sincronizzate in automatico con il gestore dell'identità digitale. Ad esempio, se qualcuno lascia l'organizzazione, puoi revocare automaticamente l'accesso ad applicazioni e sistemi federati (inclusi). AWS Hai abilitato la verifica dettagliata dei log nel tuo gestore dell'identità digitale e stai monitorando questi log per rilevare comportamenti degli utenti insoliti.

Anti-pattern comuni:

Non utilizzi federazione e autenticazione unica. Gli utenti che appartengono alla tua forza lavoro creano account utente e credenziali separati in più applicazioni e sistemi.
Non hai automatizzato il ciclo di vita delle identità degli utenti che fanno parte della tua forza lavoro, ad esempio integrando il gestore dell'identità digitale con i tuoi sistemi HR. Quando un utente lascia l'organizzazione o cambia ruolo, segui una procedura manuale per eliminare o aggiornare i suoi record in più applicazioni e sistemi.

Vantaggi dell'adozione di questa best practice: utilizzare un gestore dell'identità digitale centralizzato ti fornisce un'unica piattaforma per gestire le identità e le policy degli utenti che fanno parte della tua forza lavoro, la possibilità di assegnare l'accesso alle applicazioni a utenti e gruppi e di monitorare l'attività di accesso degli utenti. Grazie all'integrazione con i sistemi di risorse umane (HR), quando un utente cambia ruolo, queste modifiche vengono sincronizzate con il gestore dell'identità digitale e le applicazioni e le autorizzazioni assegnate si aggiornano in automatico. Quando un utente lascia l'organizzazione, la sua identità viene automaticamente disabilitata nel gestore dell'identità digitale e l'accesso alle applicazioni e ai sistemi federati viene revocato.

Livello di rischio associato se questa best practice non fosse adottata: elevato

Guida all'implementazione

Linee guida per l'accesso ad AWS degli utenti che fanno parte della forza lavoro

Gli utenti della forza lavoro, come dipendenti e collaboratori dell'organizzazione, potrebbero dover accedere all' AWS utilizzo di AWS Management Console or AWS Command Line Interface (AWS CLI) per svolgere le proprie mansioni lavorative. Puoi concedere AWS l'accesso agli utenti della tua forza lavoro federando il tuo provider di identità centralizzato a due livelli: federazione diretta AWS a ciascuno Account AWS o federazione a più account dell'organizzazione.AWS

Per federare gli utenti della forza lavoro direttamente con ciascuno di essi Account AWS, puoi utilizzare un provider di identità centralizzato con cui eseguire la federazione in quell'account. AWS Identity and Access Management La flessibilità di IAM consente di abilitare un Identity Provider SAML2.0 o Open ID Connect (OIDC) separato per ciascuno Account AWS e di utilizzare attributi utente federati per il controllo degli accessi. Gli utenti della tua forza lavoro utilizzeranno il proprio browser web per accedere al provider di identità fornendo le proprie credenziali (come password e MFA codici token). Il provider di identità invia al proprio browser un'SAMLasserzione che viene inviata all'accesso per consentire URL all'utente di AWS Management Console accedere in modalità single sign-on assumendo un ruolo.AWS Management Console IAM Gli utenti possono inoltre ottenere AWS API credenziali temporanee da utilizzare in AWS CLIo AWS SDKsda AWS STS assumendo il IAM ruolo utilizzando un'SAMLasserzione del provider di identità.
Per federare gli utenti della forza lavoro con più account all' AWS interno dell'organizzazione, è possibile gestire centralmente l'AWS IAM Identity Centeraccesso degli utenti della forza lavoro alle applicazioni e agli utenti. Account AWS Puoi abilitare il Centro identità per la tua organizzazione e configurare la tua origine di identità. IAMIdentity Center fornisce una directory di origine delle identità predefinita che puoi utilizzare per gestire utenti e gruppi. In alternativa, puoi scegliere un'origine di identità esterna connettendoti al tuo provider di identità esterno tramite la SAML versione 2.0 e assegnando automaticamente il provisioning a utenti e gruppi utilizzando SCIM o connettendoti al tuo Microsoft AD Directory utilizzando AWS Directory Service. Una volta configurata un'origine di identità, è possibile assegnare l'accesso a utenti e gruppi Account AWS definendo politiche con privilegi minimi nei set di autorizzazioni. Gli utenti della tua forza lavoro possono autenticarsi tramite il tuo gestore dell'identità digitale centrale per accedere al portale di accesso AWS ed eseguire l'accesso tramite autenticazione unica per gli Account AWS e le applicazioni cloud a loro assegnate. Gli utenti possono configurare la versione AWS CLI v2 per l'autenticazione con Identity Center e ottenere le credenziali per eseguire i comandi. AWS CLI Identity Center consente inoltre l'accesso Single Sign-On ad AWS applicazioni come i SageMaker portali Amazon Studio e AWS IoT Sitewise Monitor.

Dopo aver seguito le indicazioni precedenti, gli utenti della forza lavoro non avranno più bisogno di utilizzare IAM utenti e gruppi per le normali operazioni durante la gestione dei carichi di lavoro su. AWSGli utenti e i gruppi vengono invece gestiti all'esterno AWS e gli utenti possono accedere alle AWS risorse come identità federata. Le identità federate utilizzano i gruppi definiti dal gestore dell'identità digitale centralizzato. È necessario identificare e rimuovere IAM gruppi, IAM utenti e credenziali utente di lunga durata (password e chiavi di accesso) che non sono più necessarie nel proprio. Account AWSPuoi trovare le credenziali inutilizzate utilizzando i report sulle IAM credenziali, eliminare gli utenti corrispondenti ed eliminare i gruppi. IAM IAM È possibile applicare una Service Control Policy (SCP) all'organizzazione che aiuta a prevenire la creazione di nuovi IAM utenti e gruppi, imponendo che l'accesso avvenga AWS tramite identità federate.

Linee guida per gli utenti delle tue applicazioni

Puoi gestire le identità degli utenti delle tue applicazioni, ad esempio un'app mobile, utilizzando Amazon Cognito come gestore dell'identità digitale centralizzato. Amazon Cognito consente l'autenticazione, autorizzazione e gestione degli utenti per le app Web e per dispositivi mobili. Amazon Cognito offre un archivio di identità scalabile fino a milioni di utenti, supporta la federazione delle identità sociali e aziendali e offre funzionalità di sicurezza avanzate per proteggere i tuoi utenti e la tua azienda. Puoi integrare la tua applicazione Web o mobile personalizzata con Amazon Cognito per aggiungere l'autenticazione degli utenti e il controllo degli accessi alle applicazioni in pochi minuti. Basato su standard di identità aperti come SAML Open ID Connect (OIDC), Amazon Cognito supporta diverse normative di conformità e si integra con le risorse di sviluppo frontend e backend.

Passaggi dell'implementazione

Passaggi per l'accesso ad AWS degli utenti della forza lavoro

Concedi agli utenti della tua forza lavoro di utilizzare un provider di identità centralizzato AWS utilizzando uno dei seguenti approcci:
- Usa IAM Identity Center per abilitare il Single Sign-On a più Account AWS utenti della tua AWS organizzazione tramite la federazione con il tuo provider di identità.
- Utilizzalo IAM per connettere il tuo provider di identità direttamente a ciascuno di essi Account AWS, abilitando un accesso federato e granulare.
Identifica e rimuovi IAM utenti e gruppi che vengono sostituiti da identità federate.

Passaggi per gli utenti delle tue applicazioni

Utilizza Amazon Cognito come gestore dell'identità digitale centralizzato per le tue applicazioni.
Integra le tue applicazioni personalizzate con Amazon Cognito utilizzando OpenID Connect e. OAuth Puoi sviluppare le tue applicazioni personalizzate utilizzando le librerie Amplify che forniscono interfacce semplici da integrare con una varietà AWS di servizi, come Amazon Cognito per l'autenticazione.

Risorse

Best practice Well-Architected correlate:

Documenti correlati:

Video correlati:

Esempi correlati:

Strumenti correlati:

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

SEC02-BP03 Archivia e utilizza i segreti in modo sicuro

SEC02-BP05 Controlla e ruota le credenziali periodicamente