Recomendações de segurança para locações múltiplas

Valide a locação na aplicação com o Amazon Verified Permissions. Crie políticas que examinem o direito a grupo de usuários, cliente de aplicação, grupo ou atributo personalizado antes de permitir a solicitação de um usuário em sua aplicação. A AWS criou fontes de identidade do Verified Permissions pensando nos grupos de usuários do Amazon Cognito. O Verified Permissions tem orientações adicionais para o gerenciamento de vários locatários.

Use apenas um endereço de e-mail verificado para autorizar o acesso do usuário a um locatário com base na correspondência de domínio. Não confie em endereços de e-mail e números de telefone, a menos que sua aplicação os verifique ou o IdP externo forneça uma prova de verificação. Para obter mais detalhes sobre como configurar essas permissões, consulte Permissões e escopos de atributos.

Use atributos imutáveis ou somente leitura para os atributos personalizados de perfil de usuário que identificam locatários. Você só pode definir o valor dos atributos imutáveis ao criar um usuário ou quando um usuário se cadastra no seu grupo de usuários. Além disso, conceda aos clientes da aplicação acesso somente leitura aos atributos.

Use o mapeamento 1:1 entre o IdP externo de um locatário e o cliente da aplicação para impedir o acesso não autorizado entre locatários. Um usuário autenticado por um IdP externo e que tenha um cookie de sessão válido do Amazon Cognito pode acessar outras aplicações de locatários que confiam no mesmo IdP.

Ao implementar a lógica de correspondência e autorização de locatário em sua aplicação, restrinja os usuários de modo que eles não possam modificar os critérios que autorizam o acesso do usuário aos locatários. Além disso, se um IdP externo estiver sendo usado para federação, restrinja os administradores do provedor de identidade do locatário para que não possam modificar o acesso do usuário.