Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Este guia é para organizações que usam a Amazon Web Services (AWS) e desejam migrar para o Azure ou adotar uma estratégia multicloud. Esta orientação compara as soluções de gerenciamento de identidades da AWS com soluções semelhantes do Azure.
Sugestão
Para obter mais informações sobre como estender o ID do Microsoft Entra para a AWS, consulte Gerenciamento de identidades e acesso do Microsoft Entra para AWS.
Serviços de identidade principais
Os principais serviços de identidade em ambas as plataformas formam a base do gerenciamento de identidade e acesso. Esses serviços incluem recursos principais de autenticação, autorização e contabilidade, além da capacidade de organizar recursos de nuvem em estruturas lógicas. Os profissionais da AWS podem usar recursos semelhantes no Azure. Esses recursos podem ter diferenças arquitetônicas na implementação.
| Serviço da AWS | Serviço do Azure | Descrição |
|---|---|---|
| Centro de identidades do AWS Identity and Access Management (IAM) | Microsoft Entra ID | Serviço centralizado de gerenciamento de identidades que fornece logon único (SSO), autenticação multifator (MFA) e integração com vários aplicativos |
| Organizações da AWS | grupos de gerenciamento do Azure | Estrutura organizacional hierárquica para gerenciar várias contas e assinaturas usando políticas herdadas |
| Centro de identidade do AWS IAM | Microsoft Entra ID SSO | Gerenciamento de acesso centralizado que permite que os usuários acessem vários aplicativos usando um único conjunto de credenciais |
| Serviço de diretório da AWS | Serviços de Domínio Microsoft Entra | Serviços de diretório gerenciado que fornecem ingresso no domínio, diretiva de grupo, protocolo LDAP (Lightweight Directory Access Protocol) e autenticação Kerberos ou NT LAN Manager (NTLM) |
Controlo de acesso e autenticação
Os serviços de autenticação e controle de acesso em ambas as plataformas fornecem recursos de segurança essenciais para verificar as identidades dos usuários e gerenciar o acesso aos recursos. Esses serviços lidam com MFA, revisões de acesso, gerenciamento de usuários externos e permissões baseadas em função.
| Serviço da AWS | Serviço do Azure | Descrição |
|---|---|---|
| AWS MFA | Microsoft Entra MFA | Camada de segurança extra que requer várias formas de verificação para entradas de usuário |
| Analisador de acesso do AWS IAM | Análises de acesso do Microsoft Entra | Ferramentas e serviços para rever e gerir permissões de acesso a recursos |
| Centro de identidade do AWS IAM | ID Externa do Microsoft Entra | Plataforma de gerenciamento de acesso de usuário externo para colaboração segura entre organizações. Essas plataformas suportam protocolos como Security Assertion Markup Language (SAML) e OpenID Connect (OIDC). |
| Gerenciador de acesso a recursos da AWS | RBAC (controle de acesso baseado em função) do Microsoft Entra e RBAC do Azure | Serviços que podem compartilhar recursos de nuvem dentro de uma organização. A AWS normalmente compartilha recursos de nuvem em várias contas. O RBAC do Azure pode obter compartilhamento de recursos semelhante. |
Governança de identidade
Para manter a segurança e a conformidade, você deve gerenciar identidades e acessos. A AWS e o Azure fornecem soluções para governança de identidade. As organizações e as equipes de carga de trabalho podem usar essas soluções para gerenciar o ciclo de vida das identidades, realizar revisões de acesso e controlar o acesso privilegiado.
Na AWS, o gerenciamento do ciclo de vida da identidade, das revisões de acesso e do acesso privilegiado requer uma combinação de vários serviços.
- O AWS IAM lida com o acesso seguro a recursos.
- O IAM Access Analyzer ajuda a identificar recursos compartilhados.
- O AWS Organizations oferece gerenciamento centralizado de várias contas.
- O IAM Identity Center oferece gerenciamento de acesso centralizado.
- O AWS CloudTrail e o AWS Config permitem governança, conformidade e auditoria de recursos da AWS.
Você pode personalizar esses serviços para atender a necessidades organizacionais específicas, o que ajuda a garantir conformidade e segurança.
No Azure, o Microsoft Entra ID Governance fornece uma solução integrada para gerenciar o ciclo de vida da identidade, as revisões de acesso e o acesso privilegiado. Ele simplifica esses processos incorporando fluxos de trabalho automatizados, certificações de acesso e aplicação de políticas. Esses recursos fornecem uma abordagem unificada para a governança de identidade.
Gestão de acesso privilegiado
O acesso elevado temporário do AWS IAM é uma solução de segurança de código aberto que concede acesso temporário elevado aos recursos da AWS por meio do AWS IAM Identity Center. Essa abordagem garante que os usuários tenham privilégios elevados apenas por um tempo limitado e para tarefas específicas para reduzir o risco de acesso não autorizado.
O Microsoft Entra Privileged Identity Management (PIM) fornece gerenciamento de acesso privilegiado just-in-time. Você usa o PIM para gerenciar, controlar e monitorar o acesso a recursos importantes e permissões críticas em sua organização. O PIM inclui recursos como ativação de função por meio de fluxos de trabalho de aprovação, acesso com limite de tempo e revisões de acesso para garantir que as funções privilegiadas sejam concedidas apenas quando necessário e totalmente auditadas.
| Serviço da AWS | Serviço do Azure | Descrição |
|---|---|---|
| AWS CloudTrail | Auditoria de acesso privilegiado do Microsoft Entra | Registro de auditoria abrangente para atividades de acesso privilegiado |
| AWS IAM e produtos de parceiros ou automação personalizada | Acesso just-in-time do Microsoft Entra | Processo de ativação de função privilegiada com limite de tempo |
Identidade híbrida
Ambas as plataformas fornecem soluções para gerenciar cenários de identidade híbrida que integram recursos locais e na nuvem.
| Serviço da AWS | Serviço do Azure | Descrição |
|---|---|---|
| Conector AD do AWS Directory Service | Microsoft Entra Connect | Ferramenta de sincronização de diretórios para gerenciamento de identidades híbridas |
| Provedor AWS IAM SAML | Serviços de Federação do Active Directory | Serviço de federação de identidades para SSO |
| AWS Managed Microsoft AD | Sincronização de hash de senha do Microsoft Entra | Sincronização de senha entre instâncias locais e na nuvem |
Autenticação e autorização de usuários de aplicativos e APIs
Ambas as plataformas fornecem serviços de identidade para proteger o acesso ao aplicativo e a autenticação de API. Esses serviços gerenciam a autenticação do usuário, as permissões do aplicativo e os controles de acesso à API por meio de mecanismos baseados em identidade. A plataforma de identidade da Microsoft serve como a estrutura unificada do Azure para autenticação e autorização entre aplicativos, APIs e serviços. Ele implementa padrões como OAuth 2.0 e OIDC. A AWS oferece recursos semelhantes por meio do Amazon Cognito como parte de seu pacote de identidade.
| Serviço da AWS | Serviço da Microsoft | Descrição |
|---|---|---|
|
Amazon Cognito Autenticação do AWS Amplify Serviço de token de segurança da AWS (STS) |
Plataforma de identidade da Microsoft | Plataforma de identidade abrangente que fornece autenticação, autorização e gerenciamento de usuários para aplicativos e APIs. Ambas as opções implementam padrões OAuth 2.0 e OIDC, mas têm abordagens arquitetônicas diferentes. |
Principais diferenças arquitetônicas
- Abordagem da AWS: Serviços distribuídos que são compostos em conjunto
- Abordagem da Microsoft: Plataforma unificada com componentes integrados
SDK e bibliotecas do desenvolvedor
| Serviço da AWS | Serviço da Microsoft | Descrição |
|---|---|---|
| Bibliotecas de autenticação do AWS Amplify | Biblioteca de Autenticação da Microsoft (MSAL) | Bibliotecas de cliente para implementação de fluxos de autenticação. O MSAL fornece um SDK unificado em várias plataformas e idiomas. A AWS fornece implementações separadas por meio do Amplify. |
| SDKs da AWS para várias linguagens de programação | MSAL para várias linguagens de programação | SDKs específicos do idioma para implementar a autenticação. A abordagem da Microsoft fornece um alto nível de consistência entre linguagens de programação. |
Implementação do fluxo OAuth 2.0
| Serviço da AWS | Serviço da Microsoft | Descrição |
|---|---|---|
| Subsídios do Amazon Cognito OAuth 2.0 | Fluxos de autenticação da plataforma de identidade da Microsoft | Suporta fluxos OAuth 2.0 padrão, incluindo código de autorização, implícito, credenciais de cliente e código de dispositivo |
| Fluxo de código de autorização de grupos de usuários do Cognito | Fluxo de código de autorização da plataforma de identidade da Microsoft | Implementação do fluxo OAuth seguro baseado em redirecionamento para aplicações Web |
| Grupos de usuários do Cognito Suporte a PKCE (Proof Key for Code Exchange) | Suporte PKCE na plataforma de identidade Microsoft | Segurança aprimorada para clientes públicos usando PKCE |
| Fluxos de autenticação personalizada do Cognito | Políticas personalizadas da plataforma de identidade da Microsoft | Personalização de sequências de autenticação, mas com implementação diferente |
Integração do provedor de identidade
| Serviço da AWS | Serviço Microsoft ou Azure | Descrição |
|---|---|---|
| Federação do provedor de identidade do Cognito | Provedores de identidade externa da plataforma de identidade da Microsoft | Suporte para provedores de identidade social e empresarial através de protocolos OIDC e SAML |
| Grupos de utilizadores do Cognito autenticação com redes sociais | Provedores de identidade social da plataforma de identidade da Microsoft | Integração com provedores como Google, Facebook e Apple para autenticação do consumidor |
| Federação Cognito SAML | Federação SAML do Microsoft Entra ID | Federação de identidades corporativas por meio do SAML 2.0 |
Serviços de token
| Serviço da AWS | Serviço Microsoft ou Azure | Descrição |
|---|---|---|
| AWS STS | Serviço de tokens da Microsoft Entra | Emitir tokens de segurança para autenticação de aplicativos e serviços |
| Personalização do token Cognito | Configuração de token da plataforma de identidade da Microsoft | Personalização de Web Tokens JSON usando declarações e escopos |
| Validação de token Cognito | Validação de token da plataforma de identidade da Microsoft | Bibliotecas e serviços para verificar a autenticidade do token |
Registo de candidaturas e segurança
| Serviço da AWS | Serviço Microsoft ou Azure | Descrição |
|---|---|---|
| Configuração do cliente do aplicativo Cognito | Registos da aplicação Microsoft Entra | Registo e configuração de aplicações utilizando a plataforma de identidade |
| Funções do AWS IAM para aplicativos | ID da carga de trabalho do Microsoft Entra | Identidades gerenciadas para acesso a recursos de código de aplicativo |
| Servidores de recursos do Cognito | Permissões da API da plataforma de identidade da Microsoft | Configuração de recursos e escopos protegidos |
Experiência do desenvolvedor
| Serviço da AWS | Serviço Microsoft ou Azure | Descrição |
|---|---|---|
| AWS Amplify CLI | CLI do PowerShell da plataforma de identidade Microsoft | Ferramentas de linha de comando para configuração de identidade |
| Console do AWS Cognito | Centro de administração do Entra da Microsoft | Interfaces de gerenciamento para serviços de identidade |
| Interface do usuário hospedada pelo Cognito | Plataforma de identidade Microsoft MSAL UI | UIs pré-construídas para autenticação |
| AWS AppSync com o Cognito | API do Microsoft Graph com MSAL | Padrões de acesso a dados com autenticação |
Recursos específicos da plataforma
| Serviço da AWS | Serviço da Microsoft | Descrição |
|---|---|---|
| Pools de identidades do Cognito | Sem equivalente direto | Abordagem específica da AWS para federar identidades aos recursos da AWS |
| Sem equivalente direto | Funcionalidade de aplicativos Web do Azure App Service Easy Auth | Autenticação em nível de plataforma para aplicativos Web sem alterações de código |
| Gatilhos Lambda do grupo de utilizadores do Cognito | Extensões de autenticação personalizadas da plataforma de identidade da Microsoft | Mecanismos de extensibilidade para fluxos de autenticação |
| AWS Web Application Firewall com Cognito | Sem equivalente direto | Políticas de segurança para controle de acesso |
Contribuidores
A Microsoft mantém este artigo. Os seguintes colaboradores escreveram este artigo.
Autor principal:
- Jerry Rhoads | Arquiteto Principal de Soluções de Parceiros
Outros contribuidores:
- Adam Cerini | Diretor, Estrategista de Tecnologia de Parceiros
Para ver perfis não públicos do LinkedIn, faça login no LinkedIn.
Próximos passos
- Planejar a implantação do Microsoft Entra ID
- Configurar identidade híbrida com o Microsoft Entra Connect
- Implementar o Microsoft Entra PIM
- Proteja aplicativos usando a plataforma de identidade da Microsoft