Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Ten przewodnik dotyczy organizacji korzystających z usług Amazon Web Services (AWS) i chce przeprowadzić migrację na platformę Azure lub wdrożyć strategię wielochmurową. Te wskazówki porównują rozwiązania do zarządzania tożsamościami platformy AWS z podobnymi rozwiązaniami platformy Azure.
Wskazówka
Aby uzyskać więcej informacji na temat rozszerzania identyfikatora entra firmy Microsoft na platformę AWS, zobacz Microsoft Entra identity management and access management for AWS (Zarządzanie tożsamościami i dostępem firmy Microsoft dla platformy AWS).
Podstawowe usługi tożsamości
Podstawowe usługi tożsamości na obu platformach stanowią podstawę zarządzania tożsamościami i dostępem. Te usługi obejmują podstawowe możliwości uwierzytelniania, autoryzacji i księgowości oraz możliwość organizowania zasobów w chmurze w struktury logiczne. Specjaliści ds. usług AWS mogą korzystać z podobnych możliwości na platformie Azure. Te możliwości mogą mieć różnice w architekturze implementacji.
| Usługa AWS | Usługa platformy Azure | Opis |
|---|---|---|
| Centrum tożsamości i dostępu (IAM) platformy AWS | Microsoft Entra ID | Scentralizowana usługa zarządzania tożsamościami, która zapewnia logowanie jednokrotne (SSO), uwierzytelnianie wieloskładnikowe (MFA) i integrację z różnymi aplikacjami |
| Organizacje platformy AWS | grup zarządzania platformy Azure | Hierarchiczna struktura organizacji do zarządzania wieloma kontami i subskrypcjami przy użyciu zasad dziedziczynych |
| AWS IAM Identity Center | Microsoft Entra ID SSO (Jednokrotne logowanie) | Scentralizowane zarządzanie dostępem, które umożliwia użytkownikom dostęp do wielu aplikacji przy użyciu jednego zestawu poświadczeń |
| Usługa katalogowa AWS | Usługi domenowe Microsoft Entra | Zarządzane usługi katalogowe, które zapewniają dołączenie do domeny, zasady grup, protokół Lightweight Directory Access Protocol (LDAP) oraz uwierzytelnianie Kerberos lub NT LAN Manager (NTLM). |
Uwierzytelnianie i kontrola dostępu
Usługi uwierzytelniania i kontroli dostępu na obu platformach zapewniają podstawowe funkcje zabezpieczeń do weryfikowania tożsamości użytkowników i zarządzania dostępem do zasobów. Te usługi obsługują uwierzytelnianie wieloskładnikowe, przeglądy dostępu, zarządzanie użytkownikami zewnętrznymi i uprawnienia oparte na rolach.
| Usługa AWS | Usługa platformy Azure | Opis |
|---|---|---|
| Uwierzytelnianie wieloskładnikowe platformy AWS | Microsoft Entra MFA | Dodatkowa warstwa zabezpieczeń, która wymaga weryfikacji wielu form logowania użytkowników |
| Analizator dostępu do IAM platformy AWS | Przeglądy dostępu firmy Microsoft Entra | Narzędzia i usługi do przeglądania uprawnień dostępu do zasobów i zarządzania nimi |
| AWS IAM Identity Center | Microsoft Entra External ID | Zewnętrzna platforma zarządzania dostępem użytkowników na potrzeby bezpiecznej współpracy między organizacjami. Te platformy obsługują protokoły, takie jak Security Assertion Markup Language (SAML) i OpenID Connect (OIDC). |
| Menedżer dostępu do zasobów platformy AWS | Microsoft Entra kontrola dostępu oparta na rolach (RBAC) i Azure RBAC | Usługi, które mogą udostępniać zasoby w chmurze w organizacji. Usługa AWS zwykle udostępnia zasoby w chmurze na wielu kontach. Mechanizm Azure RBAC może realizować udostępnianie zasobów w podobny sposób. |
Zarządzanie tożsamościami
Aby zachować bezpieczeństwo i zgodność, musisz zarządzać tożsamościami i dostępem. Zarówno AWS, jak i Azure zapewniają rozwiązania do zarządzania tożsamością. Organizacje i zespoły ds. obciążeń mogą używać tych rozwiązań do zarządzania cyklem życia tożsamości, przeprowadzania przeglądów dostępu i kontrolowania uprzywilejowanego dostępu.
W usłudze AWS zarządzanie cyklem życia tożsamości, przeglądami dostępu i uprzywilejowanym dostępem wymaga kombinacji kilku usług.
- Usługa AWS IAM obsługuje bezpieczny dostęp do zasobów.
- Narzędzie IAM Access Analyzer ułatwia identyfikowanie zasobów udostępnionych.
- Organizacje AWS zapewniają scentralizowane zarządzanie wieloma kontami.
- Usługa IAM Identity Center zapewnia scentralizowane zarządzanie dostępem.
- Usługa AWS CloudTrail i AWS Config umożliwiają zarządzanie, zgodność i inspekcję zasobów platformy AWS.
Te usługi można dostosować do określonych potrzeb organizacji, co pomaga zapewnić zgodność i bezpieczeństwo.
Na platformie Azure usługa Microsoft Entra ID Governance zapewnia zintegrowane rozwiązanie do zarządzania cyklem życia tożsamości, przeglądami dostępu i uprzywilejowanym dostępem. Upraszcza to te procesy, włączając zautomatyzowane przepływy pracy, certyfikaty dostępu i wymuszanie zasad. Te możliwości zapewniają ujednolicone podejście do zapewniania ładu tożsamości.
Zarządzanie dostępem uprzywilejowanym
"Tymczasowy podwyższony dostęp AWS IAM to rozwiązanie zabezpieczeń open source, które zapewnia tymczasowy podwyższony dostęp do zasobów AWS za pośrednictwem Centrum Tożsamości AWS IAM." Takie podejście zapewnia, że użytkownicy mają podniesione uprawnienia tylko przez ograniczony czas i dla określonych zadań w celu zmniejszenia ryzyka nieautoryzowanego dostępu.
Usługa Microsoft Entra Privileged Identity Management (PIM) zapewnia uprzywilejowane zarządzanie dostępem just in time. Usługa PIM służy do zarządzania, kontrolowania i monitorowania dostępu do ważnych zasobów i uprawnień krytycznych w organizacji. Usługa PIM obejmuje funkcje, takie jak aktywacja roli za pośrednictwem przepływów pracy zatwierdzania, dostęp ograniczony czasowo i przeglądy dostępu w celu zapewnienia, że uprzywilejowane role są przyznawane tylko w razie potrzeby i są w pełni poddawane inspekcji.
| Usługa AWS | Usługa platformy Azure | Opis |
|---|---|---|
| AWS CloudTrail | Inspekcja dostępu uprzywilejowanego firmy Microsoft | Kompleksowe rejestrowanie inspekcji dla działań uprzywilejowanego dostępu |
| AWS IAM i produkty partnerskie lub automatyzacja niestandardowa | Microsoft Entra just-in-time access | Proces ograniczonej czasowo aktywacji ról uprzywilejowanych |
Tożsamość hybrydowa
Obie platformy udostępniają rozwiązania do zarządzania scenariuszami tożsamości hybrydowej, które integrują zasoby chmurowe i lokalne.
| Usługa AWS | Usługa platformy Azure | Opis |
|---|---|---|
| Łącznik usługi katalogowej AWS AD | Microsoft Entra Connect | Narzędzie do synchronizacji katalogów na potrzeby hybrydowego zarządzania tożsamościami |
| Dostawca SAML usługi AWS IAM | Usługi federacyjne Active Directory | Usługa federacyjna tożsamości dla logowania jednokrotnego |
| Usługa Microsoft AD zarządzana przez platformę AWS | Synchronizacja skrótów haseł Microsoft Entra | Synchronizacja haseł pomiędzy instancjami lokalnymi a tymi w chmurze |
Uwierzytelnianie i autoryzacja użytkownika aplikacji i interfejsu API
Obie platformy zapewniają usługi tożsamości w celu zabezpieczenia dostępu do aplikacji i uwierzytelniania interfejsu API. Te usługi zarządzają uwierzytelnianiem użytkowników, uprawnieniami aplikacji i mechanizmami dostępu interfejsu API za pomocą mechanizmów opartych na tożsamościach. Platforma tożsamości firmy Microsoft służy jako ujednolicona platforma Azure do uwierzytelniania i autoryzacji w aplikacjach, interfejsach API i usługach. Implementuje standardy, takie jak OAuth 2.0 i OIDC. Platforma AWS oferuje podobne możliwości za pośrednictwem aplikacji Amazon Cognito w ramach pakietu tożsamości.
| Usługa AWS | Usługa firmy Microsoft | Opis |
|---|---|---|
|
Amazon Cognito Uwierzytelnianie AWS Amplify Usługa tokenu zabezpieczającego platformy AWS (STS) |
Platforma tożsamości Microsoft | Kompleksowa platforma tożsamości, która zapewnia uwierzytelnianie, autoryzację i zarządzanie użytkownikami dla aplikacji i interfejsów API. Obie opcje implementują standardy OAuth 2.0 i OIDC, ale mają różne podejścia architektoniczne. |
Kluczowe różnice w architekturze
- Podejście platformy AWS: Usługi rozproszone, które składają się razem
- Podejście firmy Microsoft: Ujednolicona platforma, która ma zintegrowane składniki
Zestaw SDK i biblioteki dla deweloperów
| Usługa AWS | Usługa firmy Microsoft | Opis |
|---|---|---|
| Wzmacnianie bibliotek uwierzytelniania platformy AWS | Biblioteka uwierzytelniania Microsoft (MSAL) | Biblioteki klienta do implementowania przepływów uwierzytelniania. MSAL zapewnia ujednolicony zestaw SDK na różnych platformach i w wielu językach. Platforma AWS udostępnia oddzielne implementacje poprzez Amplify. |
| Zestawy SDK platformy AWS dla kilku języków programowania | MSAL dla różnych języków programowania | Zestawy SDK specyficzne dla języka do implementowania uwierzytelniania. Podejście firmy Microsoft zapewnia wysoki poziom spójności w różnych językach programowania. |
Implementacja przepływu OAuth 2.0
| Usługa AWS | Usługa firmy Microsoft | Opis |
|---|---|---|
| Granty usługi Amazon Cognito OAuth 2.0 | Przepływy uwierzytelniania platformy tożsamości firmy Microsoft | Obsługa standardowych przepływów protokołu OAuth 2.0, w tym kodu autoryzacji, implicitnego, poświadczeń klienta i kodu urządzenia |
| Przepływ kodu autoryzacji pul użytkowników Cognito | Przepływ kodu autoryzacji platformy tożsamości firmy Microsoft | Implementacja bezpiecznego przepływu OAuth opartego na przekierowaniu dla aplikacji internetowych |
| Obsługa protokołu PKCE (Cognito user pools Proof Key for Code Exchange) | Wsparcie dla PKCE na platformie tożsamości Microsoft | Zwiększone zabezpieczenia dla klientów publicznych przy użyciu protokołu PKCE |
| Niestandardowe przepływy uwierzytelniania Cognito | Niestandardowe zasady platformy tożsamości firmy Microsoft | Dostosowywanie sekwencji uwierzytelniania, ale z inną implementacją |
Integracja usługodawcy tożsamości
| Usługa AWS | Usługa firmy Microsoft lub platformy Azure | Opis |
|---|---|---|
| Federacja dostawcy tożsamości Cognito | Zewnętrzni dostawcy tożsamości platformy tożsamości firmy Microsoft | Obsługa społecznościowych i przedsiębiorczych dostawców tożsamości poprzez protokoły OIDC i SAML |
| Logowanie społecznościowe w pulach użytkowników Cognito | Dostawcy tożsamości społecznościowej platformy tożsamości Microsoft | Integracja z dostawcami, takimi jak Google, Facebook i Apple, na potrzeby uwierzytelniania konsumentów |
| Cognito FEDERACJA SAML | Federacja SAML Microsoft Entra ID | Federacja tożsamości przedsiębiorstwa za pośrednictwem protokołu SAML 2.0 |
Usługi tokenów
| Usługa AWS | Usługa firmy Microsoft lub platformy Azure | Opis |
|---|---|---|
| AWS STS | Usługa tokenu Entra firmy Microsoft | Wystawianie tokenów zabezpieczających na potrzeby uwierzytelniania aplikacji i usługi |
| Dostosowywanie tokenu cognito | Konfiguracja tokenu platformy tożsamości firmy Microsoft | Personalizacja tokenów JSON dla sieci przy użyciu oświadczeń i zakresów |
| Walidacja tokenu cognito | Weryfikacja tokenu platformy tożsamości firmy Microsoft | Biblioteki i usługi do weryfikowania autentyczności tokenu |
Rejestracja aplikacji i zabezpieczenia
| Usługa AWS | Usługa firmy Microsoft lub platformy Azure | Opis |
|---|---|---|
| Konfiguracja klienta aplikacji Cognito | Rejestracje aplikacji Microsoft Entra | Rejestracja i konfiguracja aplikacji przy użyciu platformy tożsamości |
| Role IAM platformy AWS dla aplikacji | Identyfikator obciążeń Microsoft Entra | Tożsamości zarządzane na potrzeby dostępu do zasobów kodu aplikacji |
| Serwery zasobów Cognito | Uprawnienia API platformy tożsamości Microsoft | Konfiguracja chronionych zasobów i zakresów |
Środowisko deweloperskie
| Usługa AWS | Usługa firmy Microsoft lub platformy Azure | Opis |
|---|---|---|
| Interfejs wiersza polecenia wzmacniania platformy AWS | Interfejs wiersza polecenia programu PowerShell platformy tożsamości firmy Microsoft | Narzędzia wiersza polecenia do konfigurowania tożsamości |
| Konsola platformy AWS Cognito | Centrum administracyjne firmy Microsoft Entra | Interfejsy zarządzania dla usług tożsamości |
| Interfejs użytkownika hostowany w aplikacji Cognito | Interfejs użytkownika MSAL platformy tożsamości Microsoft | Wstępnie utworzone interfejsy użytkownika na potrzeby uwierzytelniania |
| AwS AppSync z aplikacją Cognito | Interfejs API programu Microsoft Graph z biblioteką MSAL | Wzorce dostępu do danych z uwierzytelnianiem |
Funkcje specyficzne dla platformy
| Usługa AWS | Usługa firmy Microsoft | Opis |
|---|---|---|
| Zasoby tożsamości Cognito | Brak bezpośredniego odpowiednika | Podejście specyficzne dla platformy AWS do federacji tożsamości z zasobami platformy AWS |
| Brak bezpośredniego odpowiednika | Funkcja Web Apps usługi Azure App Service Easy Auth | Uwierzytelnianie na poziomie platformy dla aplikacji internetowych bez zmian kodu |
| Wyzwalacze lambda dla puli użytkowników Cognito | Niestandardowe rozszerzenia uwierzytelniania platformy tożsamości firmy Microsoft | Mechanizmy rozszerzalności przepływów uwierzytelniania |
| Zapora aplikacji internetowej AWS z Cognito | Brak bezpośredniego odpowiednika | Zasady zabezpieczeń kontroli dostępu |
Współautorzy
Firma Microsoft utrzymuje ten artykuł. Następujący współautorzy napisali ten artykuł.
Główny autor:
- Jerry Rhoads | Główny architekt rozwiązań partnerskich
Inny współautor:
- Adam Cerini | Dyrektor ds. strategii technologii partnerskich
Aby wyświetlić niepubliczne profile serwisu LinkedIn, zaloguj się do serwisu LinkedIn.
Następne kroki
- Planowanie wdrożenia identyfikatora Entra firmy Microsoft
- Konfigurowanie tożsamości hybrydowej za pomocą programu Microsoft Entra Connect
- Implementowanie usługi Microsoft Entra PIM
- Zabezpieczanie aplikacji przy użyciu platformy tożsamości firmy Microsoft
Powiązane zasoby
- porównanie zarządzania zasobami platformy AWS i platformy Azure
- Porównaj konta AWS i Azure