การเชื่อมโยงข้อมูลระบุตัวตนเป็นระบบความไว้วางใจระหว่างสองฝ่ายเพื่อวัตถุประสงค์ในการตรวจสอบสิทธิ์ผู้ใช้และมอบข้อมูลที่จําเป็นในการอนุญาตการเข้าถึงทรัพยากร ในระบบนี้ ผู้ให้บริการข้อมูลระบุตัวตน (IdP) มีหน้าที่รับผิดชอบในการรับรองความถูกต้องของผู้ใช้และผู้ให้บริการ (SP) เช่น บริการหรือแอปพลิเคชันนั้นจะควบคุมการเข้าถึงทรัพยากร ตามข้อตกลงและการกําหนดค่าการควบคุมดูแล SP ไว้วางใจให้ IdP ตรวจสอบสิทธิ์ผู้ใช้และอาศัยข้อมูลที่ IdP ให้ไว้เกี่ยวกับผู้ใช้ หลังจากตรวจสอบสิทธิ์ผู้ใช้แล้ว IdP จะส่งข้อความ SP ที่เรียกว่าการยืนยันซึ่งจะมีชื่อที่ผู้ใช้ลงชื่อเข้าใช้และแอตทริบิวต์อื่นๆ ที่ SP จําเป็นในการสร้างเซสชันกับผู้ใช้และเพื่อกําหนดขอบเขตของการเข้าถึงทรัพยากรที่ SP ๑ควรให้สิทธิ์ ระบบเชื่อมโยงข้อมูลเป็นแนวทางทั่วไปในการสร้างระบบควบคุมการเข้าถึงซึ่งจัดการผู้ใช้จากส่วนกลางภายใน IdP กลางและควบคุมการเข้าถึงแอปพลิเคชันและบริการต่างๆ ที่ทําหน้าที่เป็น SP
AWS มีโซลูชันที่ไม่เหมือนใครสําหรับการเชื่อมโยงพนักงาน ผู้ร่วมสัญญา และพาร์ทเนอร์ (พนักงาน) ของคุณเข้ากับบัญชี AWS และแอปพลิเคชันทางธุรกิจ และเพื่อการเพิ่มการสนับสนุนระบบเชื่อมโยงข้อมูลให้กับเว็บและแอปพลิเคชันมือถือที่ลูกค้าของคุณใช้งาน AWS รองรับมาตรฐาน Open Identity ที่ใช้กันทั่วไป รวมถึง Security Assertion Markup Language 2.0 (SAML 2.0), Open ID Connect (OIDC) และ OAuth 2.0
คุณสามารถใช้บริการของ AWS สองบริการเพื่อรวมพนักงานของคุณเข้ากับบัญชี AWS และแอปพลิเคชันทางธุรกิจ: ศูนย์ข้อมูลประจำตัวของ AWS IAM (รุ่นต่อจาก AWS SSO) หรือ AWS Identity and Access Management (IAM) ได้ ศูนย์ข้อมูลประจำตัวของ AWS IAM เป็นตัวเลือกที่ยอดเยี่ยมที่จะช่วยคุณกําหนดสิทธิ์การเข้าถึงแบบรวมศูนย์ให้กับผู้ใช้ตามการเป็นสมาชิกกลุ่มของพวกเขาในไดเรกทอรีส่วนกลางเดียว หากคุณใช้หลายไดเรกทอรี หรือต้องการจัดการสิทธิ์ตามแอตทริบิวต์ของผู้ใช้ ให้พิจารณา AWS IAM เป็นทางเลือกในการออกแบบของคุณ หากต้องการเรียนรู้เพิ่มเติมเกี่ยวกับโควตาบริการและข้อควรพิจารณาด้านการออกแบบอื่นๆ ใน AWS IAM Identity Center โปรดดูที่คู่มือผู้ใช้ศูนย์ข้อมูลประจำตัวของ AWS IAM สําหรับข้อควรพิจารณาเกี่ยวกับการออกแบบ AWS IAM โปรดดูที่คู่มือผู้ใช้ AWS IAM
ศูนย์ข้อมูลประจำตัวของ AWS IAM ช่วยให้การจัดการการเข้าถึงบัญชี AWS หลายๆ บัญชีและแอปพลิเคชันธุรกิจจากส่วนกลางเป็นเรื่องง่าย และช่วยให้ผู้ใช้สามารถเข้าสู่ระบบบัญชีและแอปพลิเคชันที่เลือกไว้แบบครั้งเดียวได้จากที่เดียว คุณสามารถใช้ศูนย์ข้อมูลประจำตัวของ AWS IAM สําหรับข้อมูลประจําตัวในไดเรกทอรีผู้ใช้ของ AWS IAM Identity Center, ไดเรกทอรีองค์กรที่มีอยู่ หรือ IdP ภายนอกได้
ศูนย์ข้อมูลประจำตัวของ AWS IAM ทํางานร่วมกับ IdP ที่คุณเลือก เช่น Okta Universal Directory หรือ Azure Active Directory (AD) ผ่านโปรโตคอล Security Assertion Markup Language 2.0 (SAML 2.0) ศูนย์ข้อมูลประจำตัวของ AWS IAM ใช้ประโยชน์จากสิทธิ์และนโยบาย IAM สำหรับผู้ใช้และบทบาทที่มีข้อมูลเชื่อมโยงกับส่วนกลาง ได้อย่างราบรื่นเพื่อช่วยคุณจัดการการเข้าถึงแบบรวมศูนย์ได้จากส่วนกลางในบัญชี AWS ทั้งหมดในองค์กร AWS ด้วยศูนย์ข้อมูลประจำตัวของ AWS IAM คุณสามารถกําหนดสิทธิ์ตามการเป็นสมาชิกกลุ่มในไดเรกทอรีของ IdP ได้ และจากนั้นควบคุมการเข้าถึงของผู้ใช้ได้โดยเพียงแค่แก้ไขผู้ใช้และกลุ่มใน IdP นอกจากนี้ ศูนย์ข้อมูลประจำตัวของ AWS IAM ยังรองรับมาตรฐาน System for Cross-domain Identity Management (SCIM) สําหรับการเปิดใช้งานการจัดเตรียมผู้ใช้และกลุ่มโดยอัตโนมัติจาก Azure AD หรือ Okta Universal Directory ไปยัง AWS ศูนย์ข้อมูลประจำตัวของ AWS IAM ช่วยให้คุณใช้การควบคุมการเข้าถึงตามแอตทริบิวต์ (ABAC) ได้อย่างง่ายดายโดยการกําหนดสิทธิ์แบบละเอียดตามแอตทริบิวต์ผู้ใช้ที่กําหนดไว้ใน SAML 2.0 IdP ศูนย์ข้อมูลประจำตัวของ AWS IAM ช่วยให้คุณสามารถเลือกแอตทริบิวต์ ABAC จากข้อมูลผู้ใช้ที่ซิงค์จาก IdP ผ่าน SCIM ได้หรือส่งผ่านแอตทริบิวต์หลายรายการ เช่น ศูนย์ต้นทุน ชื่อ หรือตําแหน่งที่ตั้ง ซึ่งเป็นส่วนหนึ่งของการยืนยัน SAML 2.0 คุณสามารถกําหนดสิทธิ์หนึ่งครั้งสําหรับองค์กร AWS ทั้งหมด จากนั้นให้สิทธิ์ เพิกถอน หรือแก้ไขการเข้าถึง AWS โดยเพียงแค่เปลี่ยนแอตทริบิวต์ใน IdP ด้วยศูนย์ข้อมูลประจำตัวของ AWS IAM คุณยังสามารถกําหนดสิทธิ์ตามการเป็นสมาชิกกลุ่มในไดเรกทอรีของ IdP และควบคุมการเข้าถึงของผู้ใช้ได้โดยเพียงแค่แก้ไขผู้ใช้และกลุ่มใน IdP
ศูนย์ข้อมูลประจำตัวของ AWS IAM สามารถทําหน้าที่เป็น IdP เพื่อรับรองความถูกต้องของผู้ใช้ไปยังแอปพลิเคชันแบบผสานรวม AWS IAM Identity Center และแอปพลิเคชันบนระบบคลาวด์ที่เข้ากันได้กับ SAML 2.0 ได้ เช่น Salesforce, Box และ Microsoft 365 ด้วยไดเรกทอรีที่คุณเลือก คุณยังสามารถใช้ศูนย์ข้อมูลประจำตัวของ AWS IAM เพื่อตรวจสอบสิทธิ์ผู้ใช้ไปยังคอนโซลการจัดการของ AWS, แอปคอนโซล AWS บนอุปกรณ์เคลื่อนที่และ AWS Command Line Interface (CLI) ได้อีกด้วย สําหรับแหล่งที่มาของข้อมูลประจําตัว คุณสามารถเลือก Microsoft Active Directory หรือไดเรกทอรีผู้ใช้ของศูนย์ข้อมูลประจำตัวของ AWS IAM ได้
หากต้องการเรียนรู้เพิ่มเติม โปรดดูที่คู่มือผู้ใช้ศูนย์ข้อมูลประจำตัวของ AWS IAM โปรดไปที่ เริ่มต้นใช้งานศูนย์ข้อมูลประจำตัวของ AWS IAM และดูทรัพยากรเพิ่มเติมต่อไปนี้:
คุณสามารถเปิดใช้งานการเข้าถึงบัญชี AWS แบบรวมศูนย์ได้โดยใช้ AWS Identity and Access Management (IAM) ความยืดหยุ่นของ AWS IAM ช่วยให้คุณสามารถเปิดใช้ SAML 2.0 หรือ Open ID Connect (OIDC) IdP แยกต่างหากสําหรับบัญชี AWS แต่ละบัญชีได้ และใช้แอตทริบิวต์ผู้ใช้ที่มีข้อมูลเชื่อมโยงกับส่วนกลางเพื่อควบคุมการเข้าถึง เมื่อใช้ AWS IAM คุณสามารถส่งผ่านแอตทริบิวต์ของผู้ใช้ เช่น ศูนย์ต้นทุน ชื่อ หรือตําแหน่งที่ตั้ง จาก IdP ของคุณไปยัง AWS และใช้สิทธิ์การเข้าถึงแบบละเอียดตามแอตทริบิวต์เหล่านี้ได้ AWS IAM ช่วยคุณกําหนดสิทธิ์เพียงครั้งเดียว และจากนั้นให้สิทธิ์ เพิกถอนหรือแก้ไขการเข้าถึง AWS โดยเพียงแค่เปลี่ยนแอตทริบิวต์ใน IdP คุณสามารถใช้นโยบายการเข้าถึงแบบรวมศูนย์กับบัญชี AWS หลายบัญชีได้โดยใช้นโยบาย IAM ที่มีการจัดการแบบกําหนดเองที่นํากลับมาใช้ใหม่ได้
หากต้องการเรียนรู้เพิ่มเติม โปรดดูที่ ผู้ให้บริการและระบบเชื่อมโยงข้อมูล IAM Identityโปรดไปที่ เริ่มต้นใช้งาน IAM และสํารวจแหล่งข้อมูลเพิ่มเติม:
- โพสต์บล็อก: มาใหม่สำหรับการเชื่อมโยงข้อมูลระบุตัวตน – ใช้คุณลักษณะของพนักงานสำหรับการควบคุมการเข้าถึงใน AWS
- โพสต์บล็อก: วิธีติดตั้งโซลูชันทั่วไปสําหรับการเข้าถึง API /CLI แบบรวมศูนย์โดยใช้ SAML 2.0
- โพสต์บล็อก: วิธีใช้งาน API ที่รวมศูนย์และการเข้าถึง CLI โดยใช้ SAML 2.0 และ AD FS
- เวิร์กชอป: เลือกการผจญภัย SAML ของคุณเอง: การเดินทางด้วยตนเองสู่ความเชี่ยวชาญด้านการเชื่อมโยงข้อมูลระบุตัวตนของ AWS
คุณสามารถเพิ่มการสนับสนุนระบบเชื่อมโยงข้อมูลไปยังเว็บและแอปพลิเคชันมือถือที่ลูกค้าใช้งานได้โดยใช้ Amazon Cognito ซึ่งช่วยให้คุณสามารถเพิ่มการสมัครใช้งาน การลงชื่อเข้าใช้ และการควบคุมการเข้าถึงในแอปบนเว็บและอุปกรณ์เคลื่อนที่ได้อย่างรวดเร็วและง่ายดาย Amazon Cognito สามารถปรับขนาดเพื่อรองรับผู้ใช้หลายล้านคนและสนับสนุนการลงชื่อเข้าใช้ด้วยผู้ให้บริการข้อมูลประจำตัวทางสังคม เช่น Apple, Facebook, Google และ Amazon และผู้ให้บริการข้อมูลประจำตัวองค์กรผ่านทาง SAML 2.0
หากต้องการเรียนรู้เพิ่มเติม โปรดดูคู่มือสําหรับนักพัฒนา Amazon Cognito โปรดไปที่ การเริ่มต้นใช้งาน Amazon Cognitoและดูทรัพยากรเพิ่มเติม: