اتحاد الهويات هو نظام ثقة متبادل بين طرفين بغرض مصادقة المستخدمين ونقل المعلومات اللازمة للسماح لهم بالوصول إلى الموارد. ففي هذا النظام، يكون مُزود الهويات (IdP) مسؤولاً عن مصادقة المستخدم، ويتحكم مُزود الخدمة (SP)، مثل خدمة أو تطبيق، في الوصول إلى الموارد. عند عقد اتفاقية إدارية واكتمال التكوين، يثق مُزود الخدمة في مُزود الخدمة لمصادقة المستخدمين، ويعتمد على المعلومات المتعلقة بهم والمتوفرة من مُزود الهويات. وبعد اكتمال مصادقة المستخدم، يرسل مُزود الهويات إلى مُزود الخدمة رسالة تُعرف باسم التأكيد وتحتوي على اسم تسجيل دخول المستخدم والسمات الأخرى التي يحتاج إليها مُزود الخدمة لتأسيس جلسة مع المستخدم وتحديد نطاق الوصول إلى الموارد الذي يجب أن يمنحه مُزود الخدمة. يُعد الاتحاد نهجًا شائعًا لبناء أنظمة التحكم في الوصول التي تدير المستخدمين مركزيًا داخل مُزود هويات مركزي وتتحكم في وصولهم إلى العديد من التطبيقات والخدمات التي تعمل كمُزودي الخدمة.
تقدم AWS حلولاً متميزة لتوحيد الموظفين والمتعاقدين والشركاء (القوى العاملة) في حسابات AWS وتطبيقات الأعمال، وكذلك لإضافة دعم الاتحاد إلى تطبيقات الويب والهاتف الجوال المواجهة للعملاء. وتدعم AWS معايير الهوية المفتوحة المستخدمة بشكل شائع، ويدخل في ذلك لغة Security Assertion Markup Language 2.0 (SAML 2.0) وبروتوكول Open ID Connect (OIDC) وبروتوكول OAuth 2.0.
يمكنك استخدام خدمتين من خدمات AWS لتوحيد القوى العاملة لديك في حسابات AWS وتطبيقات الأعمال: مركز هوية AWS IAM (خدمة تحل محل تسجيل الدخول الأحادي في AWS (AWS SSO)) أو إدارة الهوية والوصول في AWS (IAM). علمًا بأن مركز هوية AWS IAM هو خيار رائع يساعدك في تحديد أذونات الوصول الموحّدة الممنوحة للمستخدمين بناءً على عضويات المجموعات الخاصة بهم في دليل مركزي واحد. وإذا كنت تستخدم دلائل متعددة أو تريد إدارة الأذونات بناءً على سمات المستخدم، فاستخدم إدارة الهوية والوصول في AWS (AWS IAM) كبديل لتصميمك. لمعرفة المزيد حول الحصص النسبية للخدمة والاعتبارات الأخرى المتعلقة بالتصميم في مركز هوية AWS IAM، يمكنك الرجوع إلى دليل مستخدم مركز هوية AWS IAM. بالنسبة للاعتبارات المتعلقة بتصميم إدارة الهوية والوصول في AWS (AWS IAM)، يمكنك الرجوع إلى دليل مستخدم AWS IAM.
عند استخدام مركز هوية AWS IAM، يمكن بسهولة إدارة الوصول الموحّد مركزيًا إلى العديد من حسابات AWS وتطبيقات الأعمال، بالإضافة إلى منح المستخدمين إمكانية وصول تسجيل الدخول الأحادي إلى كل الحسابات والتطبيقات المخصصة لهم من مكان واحد. ويمكنك استخدام مركز هوية AWS IAM للهويات الموجودة في دليل مستخدم مركز هوية AWS IAM، أو دليل الشركة الحالي، أو مُزود الهويات الخارجي.
تستخدم خدمة مركز هوية AWS IAM مُزود الهويات من اختيارك، مثل دليل Okta Universal Directory أو Azure Active Directory (AD) عبر بروتوكول Security Assertion Markup Language 2.0 (SAML 2.0) وتستفيد خدمة مركز هوية AWS IAM بسلاسة من السياسات والأذونات في إدارة الهوية والوصول (IAM) للمستخدمين الموحّدين والأدوار الموحّدة بحيث إنها تساعدك في إدارة الوصول الموحّد مركزيًا عبر كل حسابات AWS داخل مؤسسة AWS لديك. عند استخدام مركز هوية AWS IAM، يمكنك تعيين الأذونات بناءً على عضوية المجموعة في دليل مُزود الهويات الخاص بك، ثم التحكم في وصول المستخدمين لديك بمجرد تعديل المستخدمين والمجموعات في مُزود الهويات. وتدعم خدمة مركز هوية AWS IAM أيضًا معيار نظام إدارة الهوية عبر النطاقات (SCIM) من أجل تفعيل التوفير التلقائي للمستخدمين والمجموعات من Azure AD أو Okta Universal Directory إلى AWS. عند استخدام مركز هوية AWS IAM، يمكنك بسهولة إجراء التحكم بالوصول القائم على السمات (ABAC) من خلال تحديد الأذونات الدقيقة بناءً على سمات المستخدمين المحددة في مُزود هويات SAML 2.0 الخاص بك. وتتيح لك خدمة مركز هوية AWS IAM تحديد سمات ABAC الخاصة بك من معلومات المستخدمين المتزامنة من مُزود الهويات عبر نظام SCIM، أو إرسال سمات متعددة مثل مركز التكلفة أو العنوان أو المنطقة المحلية باعتبارها جزءًا من تأكيد SAML 2.0. يمكنك أيضًا تحديد الأذونات مرة واحدة في مؤسسة AWS بالكامل، ثم منح إمكانية الوصول إلى AWS أو إبطالها أو تعديلها بمجرد تغيير السمات في مُزود الهويات الخاص بك. عند استخدام مركز هوية AWS IAM، يمكنك أيضًا تعيين الأذونات بناءً على عضوية المجموعة في دليل مُزود الهويات الخاص بك، ثم التحكم في وصول المستخدمين لديك بمجرد تعديل المستخدمين والمجموعات في مُزود الهويات.
يمكن أن تعمل خدمة مركز هوية AWS IAM باعتبارها مُزود الهويات بغرض مصادقة المستخدمين على التطبيقات المتكاملة في مركز هوية AWS IAM والتطبيقات القائمة على السحابة والمتوافقة مع SAML 2.0، مثل Salesforce وBox وMicrosoft 365، مع دليل من اختيارك. ويمكنك أيضًا استخدام مركز هوية AWS IAM في مصادقة المستخدمين على وحدة إدارة تحكم AWS ووحدة تحكم تطبيق الهاتف الجوال من AWS وواجهة سطر الأمر من AWS (AWS CLI). بالنسبة لمصدر الهوية الخاص بك، يمكنك اختيار دليل Microsoft Active Directory أو دليل مستخدم مركز هوية AWS IAM.
لمعرفة المزيد، يمكنك الرجوع إلى دليل مستخدم مركز هوية AWS IAM وزيارة بدء استخدام مركز هوية AWS IAM، واستكشاف الموارد الإضافية التالية:
- منشور المدونة: مركز هوية AWS IAM بين Okta Universal Directory وAWS
- مشاركة المدونة: التطور التالي في مركز هوية AWS IAM
يمكنك تفعيل الوصول الموحّد إلى حسابات AWS باستخدام إدارة الوصول والهوية (IAM) في AWS. وتتيح لك مرونة AWS IAM تفعيل مُزود هويات منفصل في SAML 2.0 أو Open ID Connect (OIDC) في كل حسابات AWS، واستخدام سمات المستخدم الموحّد للتحكم بالوصول. عند استخدام إدارة الهوية والوصول في AWS (AWS IAM)، يمكنك تمرير سمات المستخدم مثل مركز التكلفة أو العنوان أو المنطقة المحلية، من مُزودي الهويات لديك إلى AWS، وكذلك تنفيذ أذونات الوصول الدقيق بناءً على هذه السمات. تساعدك إدارة الهوية والوصول في AWS (AWS IAM) أيضًا في تحديد الأذونات مرة واحدة، ثم منح وصول AWS أو إبطاله أو تعديله بمجرد تغيير السمات في مُزود الهويات. يمكنك تطبيق سياسة الوصول الموحّدة نفسها على حسابات AWS المتعددة من خلال تنفيذ سياسات IAM المُدارة والمخصصة القابلة لإعادة الاستخدام.
لمعرفة المزيد، يمكنك الرجوع إلى مُزودي هوية IAM والاتحاد وزيارة بدء استخدام IAM واستكشاف الموارد الإضافية:
- منشور المدونة: الجديد في اتحاد الهويات - استخدام سمات الموظفين للتحكم بالوصول في AWS
- منشور المدونة: طريقة تنفيذ حل عام للوصول الموحّد في واجهة برمجة التطبيقات (API)/واجهة سطر الأمر (CLI) باستخدام SAML 2.0
- منشور المدونة: طريقة تنفيذ الوصول الموحّد في واجهة برمجة التطبيقات (API) وواجهة سطر الأمر (CLI) باستخدام SAML 2.0 وAD FS
- ورشة العمل: اختيار مغامرة SAML الخاصة بك: رحلة ذاتية التوجيه نحو إتقان نظام اتحاد الهويات في AWS
يمكنك إضافة دعم نظام الاتحاد إلى تطبيقات الهاتف الجوال والويب المواجهة للعملاء باستخدام Amazon Cognito. ويساعدك ذلك في إضافة إمكانية تسجيل اشتراك المستخدم وتسجيل دخوله والتحكم بالوصول إلى تطبيقاتك على الهاتف الجوال أو الويب بسرعة وسهولة. تتسع خدمة Amazon Cognito للملايين من المستخدمين، ويدعم إمكانية تسجيل الدخول من خلال مُزودي الهويات على مواقع التواصل الاجتماعي، مثل Apple وFacebook وGoogle وAmazon، وكذلك مُزودي الهويات في المؤسسات عبر SAML 2.0.
لمعرفة المزيد، يمكنك الرجوع إلى دليل المُطورين في Amazon Cognito وزيارة بدء استخدام Amazon Cognito واستكشاف الموارد الإضافية:
- منشور المدونة: الإعلان عن دعم SAML في Amazon Cognito
- منشور المدونة: دعم نظام الاتحاد في ميزة تجمعات المستخدمين المتاحة في Amazon Cognito من خلال SAML
- منشور المدونة: SAML في تطبيق JavaScript بلا خادم: الجزء الأول
- وثائق Amazon Cognito