Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Interfaccia utente Web
<a name="webui-developer-guide"></a>

L'interfaccia utente Web della soluzione consente agli utenti di correggere i risultati di AWS Security Hub con un clic, visualizzare e scaricare le correzioni precedenti e delegare l'accesso alla soluzione.

**L'interfaccia utente Web non è necessaria per utilizzare la soluzione; in alternativa, puoi configurare riparazioni completamente automatizzate per evitare la necessità di un'esecuzione manuale o sfruttare la console AWS Security Hub CSPM per avviare le riparazioni utilizzando l'azione personalizzata Remediate with ASR.**

**Nota**  
È necessario impostare il `ShouldDeployWebUI` parametro su «yes» quando si distribuisce lo stack di amministrazione per utilizzare l'interfaccia utente Web della soluzione.

## Come funziona
<a name="webui-guide-how-it-works"></a>

L'interfaccia utente Web della soluzione è un'applicazione Web a pagina singola ospitata nel tuo account da Amazon S3 e distribuita da Amazon. CloudFront La soluzione implementa anche un'API REST utilizzando API Gateway per supportare le operazioni nell'interfaccia utente Web.

Quando lo stack di amministrazione viene distribuito, le funzioni Lambda della soluzione iniziano a caricare in DynamoDB tutti i risultati di AWS Security Hub supportati dalla soluzione presenti nell'account di amministrazione. Una volta completato, i risultati presentati nell'interfaccia utente Web vengono mantenuti sincronizzati con Security Hub quasi in tempo reale grazie alle EventBridge regole implementate dalla soluzione.

Ogni settimana, le funzioni Lambda della soluzione vengono attivate per aggiornare la tabella DynamoDB che memorizza i risultati di AWS Security Hub visualizzati nell'interfaccia utente Web. Ciò garantisce che i dati obsoleti vengano ripuliti e che le nostre tabelle DynamoDB vengano mantenute. up-to-date Se desideri configurare questa linea di base in modo che venga eseguita più o meno spesso, modifica la EventBridge regola denominata che `SO0111-ASR-SynchronizationFindingsLambdaWeeklyRule` si trova nel tuo account di amministratore nella stessa regione in cui hai distribuito la soluzione.

## Esegui le riparazioni direttamente nell'interfaccia utente Web
<a name="webui-guide-findings-and-remediation"></a>

![pagina dei risultati dell'interfaccia utente web](http://docs.aws.amazon.com/it_it/solutions/latest/automated-security-response-on-aws/images/web-ui-findings-page.png)


Nella pagina **Findings**, gli utenti Admin o Delegated Admin possono visualizzare tutti i risultati di AWS Security Hub supportati dalla soluzione per la correzione. Ciò include i risultati relativi agli account dei membri di Security Hub registrati con l'account primario di Security Hub. Se la soluzione viene implementata anche nella regione di aggregazione, verranno visualizzati anche i risultati in qualsiasi regione integrata. [Per visualizzare l'elenco dei risultati supportati dalla soluzione, consulta la sezione playbook.](playbooks-1.md) 

Gli utenti di Account Operator saranno in grado di visualizzare solo i risultati che provengono dagli account AWS a cui hanno accesso come definito nel loro invito. Inoltre, saranno in grado di eseguire riparazioni solo per le risorse negli account a cui sono associati.

Per eseguire le riparazioni, seleziona un numero qualsiasi di elementi nella tabella e fai clic su **Azioni >** Ripara. Puoi anche **sopprimere** i risultati facendo clic su **Azioni > Sopprimi**, che nasconde i risultati selezionati dalla visualizzazione predefinita. È possibile visualizzare i risultati soppressi in qualsiasi momento facendo clic sull'interruttore **Mostra** risultati soppressi.

**Una volta avviata la correzione di un risultato, è possibile fare clic sulla colonna **Stato della riparazione** mentre è in corso la correzione `In Progress` o passare direttamente `Failed` alla correzione desiderata nella pagina Cronologia di esecuzione.**

## Filtra i risultati e le correzioni disponibili
<a name="webui-guide-filter-findings"></a>

In entrambe le pagine **Findings** e **Execution History**, puoi filtrare i dati visualizzati nella tabella in base a una qualsiasi delle colonne presenti in ogni rispettiva tabella.

**Ad esempio, nella pagina **Findings**, puoi filtrare in base a **Finding Type** per cercare tipi specifici di risultati di AWS Security Hub (ad esempio Lambda.1 o Athena.4) facendo clic sulla barra di ricerca e selezionando Finding Type.**

**Nota**  
I valori compilati automaticamente nella barra di ricerca non rappresentano un elenco completo di dati disponibili. I valori suggeriti per ogni criterio di ricerca rappresentano solo i dati attualmente recuperati e visualizzati nell'interfaccia utente.

Puoi anche combinare più attributi in un'unica ricerca. Ad esempio, puoi applicare sia **Finding Type** che **Resource ID** nella ricerca per eseguire una `AND` query logica. Inoltre, puoi applicare più criteri di filtro uguali per eseguire una `OR` ricerca logica, ad esempio **Finding Type = Lambda.1 e Finding Type = **Athena.4****. **Gli stessi principi si applicano alla pagina Cronologia delle esecuzioni**

## Autenticazione e autorizzazione nell'interfaccia utente Web
<a name="webui-guide-auth"></a>

L'interfaccia utente Web della soluzione è protetta dall'autenticazione fornita da Amazon Cognito. Quando la soluzione viene implementata, vengono forniti e configurati un pool di utenti Cognito, un client app Cognito e un dominio del pool di utenti Cognito insieme all'interfaccia utente Web. All'indirizzo e-mail fornito come parametro per lo stack di amministrazione vengono assegnate credenziali temporanee e viene concesso l'accesso come amministratore all'interfaccia utente Web.

Esistono tre tipi di autorizzazione che definiscono l'accesso di un utente all'interfaccia utente Web:


| Tipo di autorizzazione | Livello di accesso | Caso d'uso | 
| --- | --- | --- | 
| Admin | Controllo completo nell'interfaccia utente Web; può visualizzare tutti i risultati e le correzioni, eseguire qualsiasi riparazione e invite/view qualsiasi utente. | Assegnato solo all'utente che ha distribuito lo stack di amministrazione quando fornisce il proprio indirizzo e-mail durante la distribuzione. CloudFormation  | 
| Amministratore delegato | Controllo elevato nell'interfaccia utente Web; può visualizzare tutti i risultati e le correzioni, eseguire qualsiasi riparazione e gli utenti di Account Operator. invite/view Non è possibile invitare o visualizzare amministratori e amministratori delegati nell'interfaccia utente Web. | L'utente amministratore può delegare l'accesso alla soluzione invitando gli utenti amministratori delegati, che saranno in grado di eseguire e gestire eventuali riparazioni. | 
| Operatore dell'account | Controllo limitato nell'interfaccia utente Web; limitato alla visualizzazione e alla correzione dei risultati solo negli account a cui sono associati su invito. Non è possibile invitare o visualizzare altri utenti. | Day-to-day utenti che dovrebbero avere un accesso limitato all'esecuzione delle riparazioni in un sottoinsieme di account registrati. Gli amministratori o gli amministratori delegati hanno la responsabilità di invitare questi utenti e definirne l'ambito. | 

Tutti gli utenti devono essere invitati da un amministratore o da un amministratore delegato prima di poter accedere all'interfaccia utente Web. Per invitare altri utenti, un amministratore o un amministratore delegato può inserire il proprio indirizzo e-mail e il livello di autorizzazione nella pagina **Invita utenti** dell'interfaccia utente Web.

Gli amministratori e gli amministratori delegati possono anche visualizzare, gestire ed eliminare gli utenti esistenti. **Per visualizzare un elenco di tutti gli utenti, vai alla pagina Visualizza utenti.**

Per gestire un utente esistente, selezionate l'utente dalla tabella e fate clic su **Gestisci utente**. È quindi possibile eliminare l'utente facendo clic su **Elimina utente**. Se l'utente è un Account Operator, puoi modificare l'elenco degli account AWS a IDs cui ha accesso nel contesto della soluzione. La modifica del tipo di autorizzazione per un utente esistente non è attualmente supportata.

Tieni presente che gli amministratori delegati possono solo visualizzare e gestire gli utenti dell'Account Operator.

## Integrazione con sistemi esterni IdPs
<a name="webui-guide-external-idps"></a>

Puoi personalizzare il meccanismo di autenticazione fornito dalla soluzione per consentire agli utenti di accedere utilizzando il tuo provider di identità OIDC o SAML, come Okta o Microsoft Entra ID. I seguenti passaggi per l'integrazione con dispositivi esterni IdPs richiedono l'accesso all'account AWS in cui è distribuito lo stack di amministrazione.

**Importante**  
Gli utenti devono comunque essere invitati prima di accedere utilizzando qualsiasi IdP esterno configurato per utilizzare la soluzione. Inoltre, l'indirizzo e-mail collegato al profilo IdP deve corrispondere all'indirizzo e-mail fornito nell'invito.

### Fase 1: Individua il pool di utenti della soluzione
<a name="step-1-locate-the-solutions-user-pool"></a>

Nella console Amazon Cognito, individua il pool di utenti della soluzione denominato **SO0111-ASR** -. UserPool

**Fai clic sul nome del pool di utenti **SO0111-ASR** - per accedere alla pagina di panoramica. UserPool** Da lì, seleziona **Social e provider esterni** dalla barra di navigazione.

### Passaggio 2: aggiungi il tuo provider di identità
<a name="step-2-add-your-identity-provider"></a>

Nella pagina **Social e provider esterni**, fai clic sul pulsante **Aggiungi provider di identità** in alto a destra.

Seleziona **OIDC** o **SAML**, a seconda del tuo provider di identità.

Dopo aver selezionato il tipo di provider, ti verrà richiesto di inserire le informazioni sul tuo provider di identità.

Compila i seguenti campi per i provider **SAML:**

1.  **Nome del provider: un nome** descrittivo per il tuo provider

1.  Accesso **SAML avviato da IdP**: Seleziona `Require SP-initiated SAML assertions - Recommended` 

1.  **Origine del documento con metadati: Seleziona** `Upload metadata document` 

1.  Documento di **metadati: carica il documento** di metadati SAML fornito dal tuo IdP.

1. **In **Mappa gli attributi tra il provider SAML e il pool di utenti, fai** clic su Aggiungi un altro attributo.** Per **l'attributo del pool di utenti**, seleziona `email` dal menu a discesa. Per l'**attributo SAML**, inserisci il nome completo dell'attributo in cui è memorizzato l'indirizzo e-mail dell'utente nel tuo provider di identità SAML. Ad esempio, `http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress`.

1. Fai clic su **Aggiungi provider di identità** per salvare le modifiche.

Compila i seguenti campi per i provider **OIDC:**

1.  **Nome del provider: un nome** descrittivo per il tuo provider

1.  **ID client**: inserisci l'ID client fornito dal tuo provider di identità OpenID Connect.

1.  **Segreto client**: inserisci il segreto del client fornito dal provider di identità OpenID Connect.

1.  **Ambiti autorizzati: Inserisci** `openid profile email` 

1.  **Metodo di richiesta degli attributi**: selezionato `GET` o `POST` in base alla configurazione del provider di identità.

1.  **Metodo di configurazione**: seleziona `Auto fill through issuer URL` e inserisci l'**URL dell'emittente** dal tuo provider OIDC. In alternativa, inserisci i valori manualmente.

1. In **Map attributes tra il provider OpenID Connect e il pool di utenti**, fai clic su **Aggiungi un altro** attributo. Per **l'attributo User pool**, seleziona `email` dal menu a discesa. Per l'**attributo OpenID Connect**, inserisci il nome completo dell'attributo in cui è memorizzato l'indirizzo e-mail dell'utente nel tuo provider di identità OIDC. Ad esempio, `email`.

1. Fai clic su **Aggiungi provider di identità** per salvare le modifiche.

**Importante**  
È necessario aggiungere una mappatura degli attributi per l'attributo del pool di `email` utenti, anche se lo è anche `email` il nome dell'attributo del provider di identità.

### Fase 3: aggiungere il provider all'App Client della soluzione
<a name="step-3-add-your-provider-to-the-solutions-app-client"></a>

Vai alla pagina **App Clients** e seleziona il client denominato **SO0111-ASR-WebUI** -. UserPoolClient

****Fai clic sulla scheda **Pagine di accesso e in Configurazione delle pagine** di accesso gestite fai clic su Modifica.****

Nel campo **Provider di identità**, aggiungi il provider di identità che hai creato nel passaggio precedente. Fai clic su **Salva modifiche**.

### Passaggio 4: configura il tuo provider di identità
<a name="step-4-configure-your-identity-provider"></a>

Per consentire al provider di identità di reindirizzare all'interfaccia utente Web della soluzione dopo l'accesso, è necessario elencare quanto segue URLs nella configurazione IdP.

A seconda del tipo di provider, consenti una delle seguenti callback: URLs

1. URL di callback SAML: https://so0111-asr - .auth. {{<your-aws-account-id>}} {{<aws-region>}}.amazoncognito. com/saml2/idpresponse

1. URL di richiamata OIDC: https://so0111-asr - .auth. {{<your-aws-account-id>}} {{<aws-region>}}.amazoncognito. com/oauth2/idpresponse

Dovresti sostituirlo `<your-aws-account-id>` con l'ID dell'account AWS in cui hai distribuito lo stack di amministrazione e `<aws-region>` con la regione in cui hai distribuito lo stack di amministrazione.

### Fase 4: verifica l'integrazione
<a name="step-4-verify-your-integration"></a>

Vai alla pagina di accesso all'interfaccia utente Web. Verifica che il tuo provider di identità personalizzato sia visibile nella pagina di accesso.

Per testare l'integrazione, invita un nuovo utente utilizzando la pagina **Invita utenti**. Quindi, assicurati che l'utente possa autenticarsi facendo clic sul tuo provider di identità personalizzato nella pagina di accesso all'interfaccia utente Web.

Tieni presente che il profilo dell'utente nel tuo IdP personalizzato deve essere collegato allo stesso indirizzo email fornito nell'invito. In altre parole, l'indirizzo e-mail indicato nei reclami del tuo provider deve corrispondere all'invito.