Solução personalizada de provedor de identidade - AWS Transfer Family
Detalhes de implementação do kit de ferramentas de identidade personalizadoProvedores de identidade compatíveis

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Solução personalizada de provedor de identidade

A solução de provedor de identidade AWS Transfer Family personalizada é uma solução modular de provedor de identidade personalizada que resolve muitos casos de uso comuns de autenticação e autorização que as empresas têm ao implementar o serviço. Essa solução fornece uma base reutilizável para a implementação de provedores de identidade personalizados com configuração granular por sessão por usuário e separa a lógica de autenticação e autorização, oferecendo uma easy-to-maintain base flexível para vários casos de uso.

Com a solução AWS Transfer Family personalizada de provedor de identidade, você pode abordar casos de uso comuns de autenticação e autorização corporativa. Essa solução modular oferece:

  • Uma base reutilizável para implementar provedores de identidade personalizados

  • Configuração granular de sessão por usuário

  • Lógica separada de autenticação e autorização

Detalhes de implementação do kit de ferramentas de identidade personalizado

A solução fornece uma base flexível e sustentável para vários casos de uso. Para começar, revise o kit de ferramentas em https://github.com/aws-samples/toolkit-for-aws-transfer-family e siga as instruções de implantação na seção Introdução.

Diagrama de arquitetura do kit de ferramentas do provedor de identidade personalizado disponível em GitHub.
nota

Se você já usou modelos e exemplos de provedores de identidade personalizados, considere adotar essa solução. No futuro, os módulos específicos do fornecedor padronizarão essa solução. A manutenção contínua e os aprimoramentos de recursos serão aplicados a essa solução.

Essa solução contém padrões padrão para implementar um provedor personalizado que considera os detalhes, incluindo o registro e onde armazenar os metadados adicionais da sessão necessários AWS Transfer Family, como o HomeDirectoryDetails parâmetro. Essa solução fornece uma base reutilizável para a implementação de provedores de identidade personalizados com configuração granular por sessão por usuário e separa a lógica de autenticação do provedor de identidade da lógica reutilizável que cria uma configuração que é retornada à Transfer Family para concluir a autenticação e estabelecer configurações para a sessão.

O código e os recursos de suporte para essa solução estão disponíveis em https://github.com/aws-samples/toolkit-for-aws-transfer-family.

O kit de ferramentas contém os seguintes recursos:

  • Um AWS Serverless Application Modelmodelo que provisiona os recursos necessários. Opcionalmente, implante e configure o Amazon API Gateway para incorporar AWS WAF, conforme descrito na postagem do blog Protegendo AWS Transfer Family com o AWS Web Application Firewall e o Amazon API Gateway.

  • Um esquema do Amazon DynamoDB para armazenar metadados de configuração sobre provedores de identidade, incluindo configurações de sessão do usuário, como, e. HomeDirectoryDetails Role Policy

  • Uma abordagem modular que permite adicionar novos provedores de identidade à solução no futuro, como módulos.

  • Recuperação de atributos: opcionalmente, recupere a função do IAM e os atributos do perfil POSIX (UID e GID) de provedores de identidade compatíveis, incluindo AD, LDAP e Okta.

  • Suporte para vários provedores de identidade conectados a um único servidor Transfer Family e vários servidores Transfer Family usando a mesma implantação da solução.

  • Verificação integrada da lista de permissões de IP, como listas de permissões de IP que podem ser configuradas opcionalmente por usuário ou por provedor de identidade.

  • Registro detalhado com nível de registro configurável e suporte de rastreamento para auxiliar na solução de problemas.

Antes de começar a implantar a solução de provedor de identidade personalizada, você precisa ter os seguintes AWS recursos.

  • Uma Amazon Virtual Private Cloud (VPC) com sub-redes privadas, com conectividade com a Internet por meio de um gateway NAT ou de um endpoint de gateway do DynamoDB.

  • Permissões apropriadas do IAM para realizar as seguintes tarefas:

    • Implante o custom-idp.yaml CloudFormation modelo,

    • Crie AWS CodePipeline projetos

    • Crie AWS CodeBuild projetos

    • Crie funções e políticas do IAM

Importante

Você deve implantar a solução na mesma Conta da AWS e Região da AWS que contenha seus servidores Transfer Family de destino.

Provedores de identidade compatíveis

A lista a seguir contém detalhes dos provedores de identidade compatíveis com a solução de provedor de identidade personalizada.

Provedor Fluxos de senhas Fluxos de chave pública Multifatorial Recuperação de atributos Detalhes
Active Directory e LDAP Sim Sim Não Sim

A verificação do usuário pode ser realizada como parte do fluxo de autenticação de chave pública.
Argon2 (hash local) Sim Não Não Não Os hashes Argon2 são armazenados no registro do usuário para casos de uso de autenticação “local” baseada em senha.
Amazon Cognito Sim Não Sim* Não

Somente autenticação multifatorial baseada em senha de uso único (TOTP) baseada em tempo.

*O MFA baseado em SMS não é suportado.
Insira o ID (antigo Azure AD) Sim Não Não Não
Okta Sim Sim Yes (Sim) Sim Somente MFA baseado em TOTP.
Chave pública Não Sim Não Não As chaves públicas são armazenadas no registro do usuário no DynamoDB.
Secrets Manager  Sim Sim Não Não