Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Dieser Leitfaden richtet sich an Organisationen, die Amazon Web Services (AWS) verwenden und zu Azure migrieren oder eine Mehrcloudstrategie einführen möchten. Dieser Leitfaden vergleicht AWS Identity Management-Lösungen mit ähnlichen Azure-Lösungen.
Tipp
Informationen zum Erweitern der Microsoft Entra-ID in AWS finden Sie unter Microsoft Entra Identity Management und Access Management für AWS.
Kernidentitätsdienste
Kernidentitätsdienste in beiden Plattformen bilden die Grundlage der Identitäts- und Zugriffsverwaltung. Zu diesen Diensten gehören Kernauthentifizierungs-, Autorisierungs- und Buchhaltungsfunktionen sowie die Möglichkeit, Cloudressourcen in logische Strukturen zu organisieren. AWS-Experten können ähnliche Funktionen in Azure verwenden. Diese Funktionen können architektonische Unterschiede bei der Implementierung aufweisen.
| AWS-Dienst | Azure-Dienst | BESCHREIBUNG |
|---|---|---|
| AWS Identity and Access Management (IAM) Identity Center | Microsoft Entra-ID | Zentraler Identitätsverwaltungsdienst, der einmaliges Anmelden (Single Sign-On, SSO), mehrstufige Authentifizierung (MFA) und Integration in verschiedene Anwendungen bereitstellt |
| AWS-Organisationen | Azure-Verwaltungsgruppen | Hierarchische Organisationsstruktur zum Verwalten mehrerer Konten und Abonnements mithilfe von geerbten Richtlinien |
| AWS IAM Identity Center | Einmaliges Anmelden (SSO) für Microsoft Entra ID | Zentralisierte Zugriffsverwaltung, mit der Benutzer mithilfe einer einzigen Gruppe von Anmeldeinformationen auf mehrere Anwendungen zugreifen können |
| AWS-Verzeichnisdienst | Microsoft Entra Domain Services | Verwaltete Verzeichnisdienste, die Domänenbeitritt, Gruppenrichtlinie, LIGHTWEIGHT Directory Access Protocol (LDAP) und Kerberos- oder NT LAN Manager(NTLM)-Authentifizierung bereitstellen |
Authentifizierung und Zugriffssteuerung
Authentifizierungs- und Zugriffssteuerungsdienste auf beiden Plattformen bieten wichtige Sicherheitsfeatures, um Benutzeridentitäten zu überprüfen und den Ressourcenzugriff zu verwalten. Diese Dienste verarbeiten MFA, Zugriffsüberprüfungen, externe Benutzerverwaltung und rollenbasierte Berechtigungen.
| AWS-Dienst | Azure-Dienst | BESCHREIBUNG |
|---|---|---|
| AWS MFA | Microsoft Entra MFA | Zusätzliche Sicherheitsebene, die mehrere Überprüfungsformen für Benutzeranmeldungen erfordert |
| AWS IAM Access Analyzer | Microsoft Entra-Zugriffsüberprüfungen | Tools und Dienste zum Überprüfen und Verwalten von Zugriffsberechtigungen für Ressourcen |
| AWS IAM Identity Center | Externe Microsoft Entra-ID | Externe Benutzerzugriffsverwaltungsplattform für die sichere organisationsübergreifende Zusammenarbeit. Diese Plattformen unterstützen Protokolle wie Security Assertion Markup Language (SAML) und OpenID Connect (OIDC). |
| AWS Resource Access Manager | Rollenbasierte Zugriffssteuerung (RBAC) von Microsoft Entra und Azure RBAC | Dienste, die Cloudressourcen innerhalb einer Organisation freigeben können. AWS teilt Cloudressourcen in der Regel über mehrere Konten hinweg. Azure RBAC (rollenbasierte Zugriffssteuerung) kann eine ähnliche Freigabe von Ressourcen ermöglichen. |
Identitätsverwaltung
Um Sicherheit und Compliance aufrechtzuerhalten, müssen Sie Identitäten und Zugriff verwalten. Sowohl AWS als auch Azure bieten Lösungen für Identitätsgovernance. Organisationen und Workloadteams können diese Lösungen verwenden, um den Lebenszyklus von Identitäten zu verwalten, Zugriffsüberprüfungen durchzuführen und privilegierten Zugriff zu steuern.
In AWS erfordert die Verwaltung des Identitätslebenszyklus, der Zugriffsüberprüfungen und des privilegierten Zugriffs eine Kombination aus mehreren Diensten.
- AWS IAM übernimmt sicheren Zugriff auf Ressourcen.
- IAM Access Analyzer hilft bei der Identifizierung gemeinsam genutzter Ressourcen.
- AWS-Organisationen bieten eine zentrale Verwaltung mehrerer Konten.
- DAS IAM Identity Center bietet zentrale Zugriffsverwaltung.
- AWS CloudTrail und AWS Config ermöglichen Governance, Compliance und Überwachung von AWS-Ressourcen.
Sie können diese Dienste an bestimmte Organisationsanforderungen anpassen, wodurch Compliance und Sicherheit sichergestellt werden.
In Azure bietet Microsoft Entra ID Governance eine integrierte Lösung zum Verwalten des Identitätslebenszyklus, Zugriffsüberprüfungen und privilegierten Zugriff. Sie vereinfacht diese Prozesse, indem automatisierte Workflows, Zugriffszertifizierungen und Richtlinienerzwingung integriert werden. Diese Funktionen bieten einen einheitlichen Ansatz für Identitätsgovernance.
Verwaltung privilegierter Zugriffe
AWS IAM temporärer erweiterter Zugriff ist eine Open-Source-Sicherheitslösung, die temporären erhöhten Zugriff auf AWS-Ressourcen über AWS IAM Identity Center gewährt. Mit diesem Ansatz wird sichergestellt, dass Benutzer nur für einen begrenzten Zeitraum und für bestimmte Aufgaben erhöhte Berechtigungen haben, um das Risiko eines nicht autorisierten Zugriffs zu verringern.
Microsoft Entra Privileged Identity Management (PIM) bietet Just-In-Time-Management für den privilegierten Zugriff. Sie verwenden PIM zum Verwalten, Steuern und Überwachen des Zugriffs auf wichtige Ressourcen und wichtige Berechtigungen in Ihrer Organisation. PIM enthält Features wie die Rollenaktivierung über Genehmigungsworkflows, zeitgebundenen Zugriff und Zugriffsüberprüfungen, um sicherzustellen, dass privilegierte Rollen nur bei Bedarf gewährt und vollständig überwacht werden.
| AWS-Dienst | Azure-Dienst | BESCHREIBUNG |
|---|---|---|
| AWS CloudTrail | Microsoft Entra-Überwachung des privilegierten Zugriffs | Umfassende Überwachungsprotokollierung für Aktivitäten mit privilegiertem Zugriff |
| AWS IAM und Partnerprodukte oder benutzerdefinierte Automatisierung | Just-In-Time-Zugriff für Microsoft Entra | Zeitgebundener Aktivierungsprozess für privilegierte Rollen |
Hybrididentität
Beide Plattformen bieten Lösungen zum Verwalten von Hybrididentitätsszenarien, die Cloud- und lokale Ressourcen integrieren.
| AWS-Dienst | Azure-Dienst | BESCHREIBUNG |
|---|---|---|
| AWS Directory Service AD Connector | Microsoft Entra Connect | Verzeichnissynchronisierungstool für die Hybrididentitätsverwaltung |
| AWS IAM SAML-Anbieter | Active Directory-Verbunddienste | Identitätsverbunddienst für einmaliges Anmelden (SSO) |
| AWS Managed Microsoft AD | Microsoft Entra Passworthashsynchronisierung | Kennwortsynchronisierung zwischen lokalen und Cloudinstanzen |
Anwendungs- und API-Benutzerauthentifizierung und Autorisierung
Beide Plattformen bieten Identitätsdienste zum Sichern des Anwendungszugriffs und der API-Authentifizierung. Diese Dienste verwalten die Benutzerauthentifizierung, Anwendungsberechtigungen und API-Zugriffssteuerungen über identitätsbasierte Mechanismen. Die Microsoft Identity Platform dient als einheitliches Azure-Framework für die Authentifizierung und Autorisierung für Anwendungen, APIs und Dienste. Es implementiert Standards wie OAuth 2.0 und OIDC. AWS bietet ähnliche Funktionen über Amazon Cognito als Teil seiner Identitätssuite.
| AWS-Dienst | Microsoft-Dienst | BESCHREIBUNG |
|---|---|---|
|
Amazon Cognito AWS Amplify Authentication AWS Security Token Service (STS) |
Microsoft Identity Platform | Umfassende Identitätsplattform, die Authentifizierung, Autorisierung und Benutzerverwaltung für Anwendungen und APIs bereitstellt. Beide Optionen implementieren OAuth 2.0- und OIDC-Standards, weisen jedoch unterschiedliche Architekturansätze auf. |
Wichtige Architekturunterschiede
- AWS-Ansatz: Verteilte Dienste, die zusammen zusammengesetzt sind
- Microsoft-Ansatz: Einheitliche Plattform mit integrierten Komponenten
Entwickler-SDK und -Bibliotheken
| AWS-Dienst | Microsoft-Dienst | BESCHREIBUNG |
|---|---|---|
| AWS Amplify Authentication Libraries | Microsoft Authentication Library (MSAL) | Clientbibliotheken für die Implementierung von Authentifizierungsflüssen. MSAL bietet ein einheitliches SDK auf mehreren Plattformen und Sprachen. AWS bietet separate Implementierungen durch Amplify. |
| AWS-SDKs für mehrere Programmiersprachen | MSAL für mehrere Programmiersprachen | Sprachspezifische SDKs zum Implementieren der Authentifizierung. Der Microsoft-Ansatz bietet ein hohes Maß an Konsistenz in Programmiersprachen. |
OAuth 2.0-Ablaufimplementierung
| AWS-Dienst | Microsoft-Dienst | BESCHREIBUNG |
|---|---|---|
| Amazon Cognito OAuth 2.0 Zuschüsse | Microsoft Identity Platform-Authentifizierungsflüsse | Unterstützen von OAuth 2.0-Standardflüssen, einschließlich Autorisierungscode, impliziter Clientanmeldeinformationen und Gerätecode |
| Kognito-Autorisierungscodefluss für Benutzerpools | Autorisierungscodefluss der Microsoft Identity Platform | Implementierung des sicheren umleitungsbasierten OAuth-Flusses für Webanwendungen |
| Unterstützung von Cognito-Benutzerpools für Prüfschlüssel für Code Exchange (PKCE) | PKCE-Unterstützung für Microsoft Identity Platform | Verbesserte Sicherheit für öffentliche Clients mithilfe von PKCE |
| Cognito benutzerdefinierte Authentifizierungsflüsse | Benutzerdefinierte Microsoft Identity Platform-Richtlinien | Anpassung von Authentifizierungssequenzen, aber mit unterschiedlicher Implementierung |
Integration von Identitätsanbietern
| AWS-Dienst | Microsoft- oder Azure-Dienst | BESCHREIBUNG |
|---|---|---|
| Cognito-Identitätsanbieterverbund | Externe Identitätsanbieter der Microsoft Identity Platform | Unterstützung von Identitätsanbietern für soziale Netzwerke und Unternehmen über OIDC- und SAML-Protokolle |
| Cognito-Benutzerpools für die Anmeldung bei Social Media | Microsoft Identity Platform– Anbieter für soziale Identitäten | Integration mit Anbietern wie Google, Facebook und Apple für die Verbraucherauthentifizierung |
| Cognito SAML-Partnerverbund | Microsoft Entra ID SAML-Partnerverbund | Enterprise-Identitätsverbund über SAML 2.0 |
Tokendienste
| AWS-Dienst | Microsoft- oder Azure-Dienst | BESCHREIBUNG |
|---|---|---|
| AWS STS | Microsoft Entra-Tokendienst | Ausgeben von Sicherheitstoken für die Anwendungs- und Dienstauthentifizierung |
| Anpassung des Cognito-Tokens | Microsoft Identity Platform-Tokenkonfiguration | Anpassung von JSON-Webtoken mithilfe von Ansprüchen und Bereichen |
| Cognito-Tokenüberprüfung | Microsoft Identity Platform-Tokenüberprüfung | Bibliotheken und Dienste zur Überprüfung der Tokenauthentität |
Anwendungsregistrierung und Sicherheit
| AWS-Dienst | Microsoft- oder Azure-Dienst | BESCHREIBUNG |
|---|---|---|
| Cognito-App-Clientkonfiguration | Microsoft Entra-App-Registrierungen | Registrierung und Konfiguration von Anwendungen mithilfe der Identitätsplattform |
| AWS IAM-Rollen für Anwendungen | Microsoft Entra Workload-ID | Verwaltete Identitäten für den Anwendungscoderessourcenzugriff |
| Cognito-Ressourcenserver | Microsoft Identity Platform-API-Berechtigungen | Konfiguration von geschützten Ressourcen und Bereichen |
Entwicklerumgebung
| AWS-Dienst | Microsoft- oder Azure-Dienst | BESCHREIBUNG |
|---|---|---|
| AWS Amplify CLI | Microsoft identity platform PowerShell CLI | Befehlszeilentools für die Identitätskonfiguration |
| AWS Cognito-Konsole | Microsoft Entra Admin Center | Verwaltungsschnittstellen für Identitätsdienste |
| Gehostete Benutzeroberfläche von Cognito | MSAL-Benutzeroberfläche der Microsoft Identity Platform | Vordefinierte UIs für die Authentifizierung |
| AWS AppSync mit Cognito | Microsoft Graph-API mit MSAL | Datenzugriffsmuster mit Authentifizierung |
Plattformspezifische Features
| AWS-Dienst | Microsoft-Dienst | BESCHREIBUNG |
|---|---|---|
| Cognito-Identitätspools | Keine direkte Entsprechung | AWS-spezifischer Ansatz zum Verbund von Identitäten mit AWS-Ressourcen |
| Keine direkte Entsprechung | Web-Apps-Feature von Azure App Service Easy Auth | Authentifizierung auf Plattformebene für Webanwendungen ohne Codeänderungen |
| Lambda-Trigger des Cognito-Benutzerpools | Benutzerdefinierte Microsoft Identity Platform B2C-Richtlinien | Erweiterbarkeitsmechanismen für Authentifizierungsflüsse |
| AWS Web Application Firewall mit Cognito | Keine direkte Entsprechung | Sicherheitsrichtlinien für die Zugriffssteuerung |
Beitragende
Microsoft verwaltet diesen Artikel. Die folgenden Mitwirkenden haben diesen Artikel geschrieben.
Hauptautor:
- Jerry Rhoads | Principal Partner Solutions Architect
Anderer Mitwirkender:
- Adam Cerini | Direktor, Partnertechnologie-Stratege
Um nicht-öffentliche LinkedIn-Profile anzuzeigen, melden Sie sich bei LinkedIn an.
Nächste Schritte
- Planen der Bereitstellung Ihrer Microsoft Entra-ID
- Konfigurieren der Hybrididentität mit Microsoft Entra Connect
- Microsoft Entra PIM implementieren
- Sichern von Anwendungen mithilfe der Microsoft Identity Platform