La federazione delle identità è un sistema di fiducia tra due parti allo scopo di autenticare gli utenti e trasmettere le informazioni necessarie per autorizzarne l’accesso alle risorse. In questo sistema, un gestore dell'identità digitale è responsabile dell'autenticazione degli utenti e un fornitore di servizi, come un servizio o un'applicazione, controlla l'accesso alle risorse. In base all'accordo e alla configurazione amministrativi, il fornitore di servizi si affida al gestore dell’identità digitale per l'autenticazione degli utenti e per le informazioni che fornisce. Dopo aver autenticato un utente, il gestore dell'identità digitale invia al fornitore di servizi un messaggio, chiamato asserzione, contenente il nome di accesso dell'utente e altri attributi necessari al fornitore di servizi per stabilire una sessione con l'utente e per determinare l'ambito di accesso alle risorse che il fornitore di servizi deve concedere. La federazione è un approccio comune alla creazione di sistemi di controllo degli accessi che gestiscono gli utenti a livello centrale all'interno di un gestore dell’identità digitale centrale e ne governano l'accesso a più applicazioni e servizi che agiscono come fornitori di servizi.
AWS offre soluzioni distinte per federare dipendenti, appaltatori e partner (forza lavoro) agli account AWS e alle applicazioni aziendali e per aggiungere il supporto della federazione alle applicazioni web e mobili rivolte ai clienti. AWS supporta gli standard di identità aperti più comunemente utilizzati, tra cui Security Assertion Markup Language 2.0 (SAML 2.0), Open ID Connect (OIDC) e OAuth 2.0.
Puoi utilizzare due servizi AWS per federare la tua forza lavoro in account AWS e applicazioni aziendali: il Centro identità AWS IAM (successore di AWS SSO) o AWS Identity and Access Management (IAM). Il Centro identità AWS IAM è un'ottima scelta per aiutarti a definire le autorizzazioni di accesso federate per i tuoi utenti in base all'appartenenza ai gruppi in un'unica directory centralizzata. Se utilizzi più directory o desideri gestire le autorizzazioni in base agli attributi utente, considera AWS IAM come alternativa di progettazione. Per ulteriori informazioni sulle Service Quotas e altre considerazioni sulla progettazione nel Centro identità AWS IAM, consulta la Guida per l'utente del Centro identità AWS IAM. Per considerazioni sulla progettazione di AWS IAM, consulta la Guida utente AWS IAM.
Il Centro identità AWS IAM semplifica la gestione centralizzata degli accessi federati a più account AWS e applicazioni aziendali e fornisce agli utenti la possibilità di accedere attraverso Single Sign-On a tutti i propri account e alle proprie applicazioni assegnati da un'unica posizione. Puoi utilizzare il Centro identità AWS IAM per le identità nella directory degli utenti del Centro identità AWS IAM, nella tua directory aziendale esistente o nel gestore dell'identità digitale esterno.
Il Centro identità AWS IAM opera con un gestore dell'identità digitale di tua scelta, come Okta Universal Directory o Azure Active Directory (AD), tramite il protocollo Security Assertion Markup Language 2.0 (SAML 2.0). Il Centro identità AWS IAM sfrutta perfettamente le autorizzazioni e le policy IAM per utenti federati e ruoli per aiutarti a gestire l'accesso federato a livello centrale su tutti gli account AWS della tua organizzazione AWS. Con il Centro identità AWS IAM, puoi assegnare autorizzazioni in base all'appartenenza al gruppo nella directory del tuo gestore dell'identità digitale e quindi controllare l'accesso dei tuoi utenti semplicemente modificando utenti e gruppi nel gestore dell'identità digitale. Il Centro identità AWS IAM supporta anche lo standard System for Cross-domain Identity Management (SCIM) per abilitare il provisioning automatico di utenti e gruppi da Azure AD o da Okta Universal Directory ad AWS. Il Centro identità AWS IAM semplifica l'implementazione del controllo degli accessi basato sugli attributi (ABAC) definendo autorizzazioni granulari basate sugli attributi utente definiti nel tuo gestore dell'identità digitale SAML 2.0. Il Centro identità AWS IAM ti consente di selezionare gli attributi ABAC dalle informazioni utente sincronizzate dal gestore dell'identità digitale tramite SCIM o di passare più attributi, come centro di costo, titolarità o impostazioni internazionali, nell’ambito di un'asserzione SAML 2.0. È possibile definire le autorizzazioni una sola volta per l'intera organizzazione AWS e poi concedere, revocare o modificare l'accesso AWS semplicemente modificando gli attributi nel tuo gestore dell'identità digitale. Con il Centro identità AWS IAM, puoi anche assegnare autorizzazioni in base all'appartenenza al gruppo nella directory del tuo gestore dell'identità digitale e quindi controllare l'accesso dei tuoi utenti semplicemente modificando utenti e gruppi nel gestore dell'identità digitale.
Il Centro identità AWS IAM può fungere da gestore dell'identità digitale per autenticare gli utenti nelle applicazioni integrate del Centro identità AWS IAM e nelle applicazioni basate su cloud compatibili con SAML 2.0, come Salesforce, Box e Microsoft 365, con una directory a tua scelta. Puoi anche utilizzare il Centro identità AWS IAM per autenticare gli utenti nella Console di gestione AWS, nell'Applicazione mobile della Console AWS e nell'Interfaccia della linea di comando AWS (CLI). Come fonte di identità, puoi scegliere la directory utenti di Microsoft Active Directory o del Centro identità AWS IAM.
Per ulteriori informazioni, consulta la Guida per l'utente del Centro identità AWS IAM, visita il Centro per le nozioni di base sul Centro identità AWS IAM ed esplora le seguenti risorse aggiuntive:
- Post del blog: Centro identità AWS IAM tra Okta Universal Directory e AWS
- Post del blog: La prossima evoluzione di Centro identità AWS IAM
Puoi abilitare l'accesso federato agli account AWS utilizzando AWS Identity and Access Management (IAM). La flessibilità di AWS IAM consente di abilitare un SAML 2.0 separato o un gestore dell'identità digitale Open ID Connect (OIDC) per ogni account AWS e utilizzare gli attributi utente federati per il controllo degli accessi. Con AWS IAM, puoi passare gli attributi utente, come centro di centro di costo, titolarità o impostazioni internazionali dai tuoi gestori dell'identità digitale ad AWS, e implementare autorizzazioni di accesso granulari basate su questi attributi. AWS IAM consente di definire le autorizzazioni una sola volta e poi concedere, revocare o modificare l'accesso AWS semplicemente modificando gli attributi nel gestore dell'identità digitale. Puoi applicare la stessa policy di accesso federato a più account AWS implementando policy IAM gestite e personalizzate riutilizzabili.
Per saperne di più, consulta Provider di identità a federazione IAM, visita Nozioni di base di IAM ed esplora risorse aggiuntive:
- Post del blog: Novità per la federazione delle identità: Utilizza gli attributi dei dipendenti per il controllo degli accessi su AWS
- Post del blog: Come implementare una soluzione generale per l’accesso API/CLI federato con SAML 2.0
- Post del blog: Come implementare API federate e accesso CLI con SAML 2.0 e AD FS
- Workshop: Come scegliere un'avventura SAML: un viaggio orientato da sé verso AWS Identity Federation Mastery
Puoi aggiungere il supporto della federazione alle tue applicazioni web e mobili rivolte ai clienti utilizzando Amazon Cognito. Permette di aggiungere strumenti di registrazione degli utenti, di accesso e controllo degli accessi alle app web e ai dispositivi mobili, in modo rapido e semplice. Amazon Cognito permette di dimensionare le risorse per milioni di utenti e supporta l'accesso con provider di identità social quali Apple, Facebook, Google e Amazon e provider di identità aziendali tramite SAML 2.0.
Per ulteriori informazioni, consulta la Guida per gli sviluppatori di Amazon Cognito, visita Nozioni di base di Amazon Cognito ed esplora risorse aggiuntive: