Freigeben über


Vergleichen von AWS- und Azure Identity Management-Lösungen

Dieser Leitfaden richtet sich an Organisationen, die Amazon Web Services (AWS) verwenden und zu Azure migrieren oder eine Mehrcloudstrategie einführen möchten. Dieser Leitfaden vergleicht AWS Identity Management-Lösungen mit ähnlichen Azure-Lösungen.

Tipp

Informationen zum Erweitern der Microsoft Entra-ID in AWS finden Sie unter Microsoft Entra Identity Management und Access Management für AWS.

Kernidentitätsdienste

Kernidentitätsdienste in beiden Plattformen bilden die Grundlage der Identitäts- und Zugriffsverwaltung. Zu diesen Diensten gehören Kernauthentifizierungs-, Autorisierungs- und Buchhaltungsfunktionen sowie die Möglichkeit, Cloudressourcen in logische Strukturen zu organisieren. AWS-Experten können ähnliche Funktionen in Azure verwenden. Diese Funktionen können architektonische Unterschiede bei der Implementierung aufweisen.

AWS-Dienst Azure-Dienst BESCHREIBUNG
AWS Identity and Access Management (IAM) Identity Center Microsoft Entra-ID Zentraler Identitätsverwaltungsdienst, der einmaliges Anmelden (Single Sign-On, SSO), mehrstufige Authentifizierung (MFA) und Integration in verschiedene Anwendungen bereitstellt
AWS-Organisationen Azure-Verwaltungsgruppen Hierarchische Organisationsstruktur zum Verwalten mehrerer Konten und Abonnements mithilfe von geerbten Richtlinien
AWS IAM Identity Center Einmaliges Anmelden (SSO) für Microsoft Entra ID Zentralisierte Zugriffsverwaltung, mit der Benutzer mithilfe einer einzigen Gruppe von Anmeldeinformationen auf mehrere Anwendungen zugreifen können
AWS-Verzeichnisdienst Microsoft Entra Domain Services Verwaltete Verzeichnisdienste, die Domänenbeitritt, Gruppenrichtlinie, LIGHTWEIGHT Directory Access Protocol (LDAP) und Kerberos- oder NT LAN Manager(NTLM)-Authentifizierung bereitstellen

Authentifizierung und Zugriffssteuerung

Authentifizierungs- und Zugriffssteuerungsdienste auf beiden Plattformen bieten wichtige Sicherheitsfeatures, um Benutzeridentitäten zu überprüfen und den Ressourcenzugriff zu verwalten. Diese Dienste verarbeiten MFA, Zugriffsüberprüfungen, externe Benutzerverwaltung und rollenbasierte Berechtigungen.

AWS-Dienst Azure-Dienst BESCHREIBUNG
AWS MFA Microsoft Entra MFA Zusätzliche Sicherheitsebene, die mehrere Überprüfungsformen für Benutzeranmeldungen erfordert
AWS IAM Access Analyzer Microsoft Entra-Zugriffsüberprüfungen Tools und Dienste zum Überprüfen und Verwalten von Zugriffsberechtigungen für Ressourcen
AWS IAM Identity Center Externe Microsoft Entra-ID Externe Benutzerzugriffsverwaltungsplattform für die sichere organisationsübergreifende Zusammenarbeit. Diese Plattformen unterstützen Protokolle wie Security Assertion Markup Language (SAML) und OpenID Connect (OIDC).
AWS Resource Access Manager Rollenbasierte Zugriffssteuerung (RBAC) von Microsoft Entra und Azure RBAC Dienste, die Cloudressourcen innerhalb einer Organisation freigeben können. AWS teilt Cloudressourcen in der Regel über mehrere Konten hinweg. Azure RBAC (rollenbasierte Zugriffssteuerung) kann eine ähnliche Freigabe von Ressourcen ermöglichen.

Identitätsverwaltung

Um Sicherheit und Compliance aufrechtzuerhalten, müssen Sie Identitäten und Zugriff verwalten. Sowohl AWS als auch Azure bieten Lösungen für Identitätsgovernance. Organisationen und Workloadteams können diese Lösungen verwenden, um den Lebenszyklus von Identitäten zu verwalten, Zugriffsüberprüfungen durchzuführen und privilegierten Zugriff zu steuern.

In AWS erfordert die Verwaltung des Identitätslebenszyklus, der Zugriffsüberprüfungen und des privilegierten Zugriffs eine Kombination aus mehreren Diensten.

  • AWS IAM übernimmt sicheren Zugriff auf Ressourcen.
  • IAM Access Analyzer hilft bei der Identifizierung gemeinsam genutzter Ressourcen.
  • AWS-Organisationen bieten eine zentrale Verwaltung mehrerer Konten.
  • DAS IAM Identity Center bietet zentrale Zugriffsverwaltung.
  • AWS CloudTrail und AWS Config ermöglichen Governance, Compliance und Überwachung von AWS-Ressourcen.

Sie können diese Dienste an bestimmte Organisationsanforderungen anpassen, wodurch Compliance und Sicherheit sichergestellt werden.

In Azure bietet Microsoft Entra ID Governance eine integrierte Lösung zum Verwalten des Identitätslebenszyklus, Zugriffsüberprüfungen und privilegierten Zugriff. Sie vereinfacht diese Prozesse, indem automatisierte Workflows, Zugriffszertifizierungen und Richtlinienerzwingung integriert werden. Diese Funktionen bieten einen einheitlichen Ansatz für Identitätsgovernance.

Verwaltung privilegierter Zugriffe

AWS IAM temporärer erweiterter Zugriff ist eine Open-Source-Sicherheitslösung, die temporären erhöhten Zugriff auf AWS-Ressourcen über AWS IAM Identity Center gewährt. Mit diesem Ansatz wird sichergestellt, dass Benutzer nur für einen begrenzten Zeitraum und für bestimmte Aufgaben erhöhte Berechtigungen haben, um das Risiko eines nicht autorisierten Zugriffs zu verringern.

Microsoft Entra Privileged Identity Management (PIM) bietet Just-In-Time-Management für den privilegierten Zugriff. Sie verwenden PIM zum Verwalten, Steuern und Überwachen des Zugriffs auf wichtige Ressourcen und wichtige Berechtigungen in Ihrer Organisation. PIM enthält Features wie die Rollenaktivierung über Genehmigungsworkflows, zeitgebundenen Zugriff und Zugriffsüberprüfungen, um sicherzustellen, dass privilegierte Rollen nur bei Bedarf gewährt und vollständig überwacht werden.

AWS-Dienst Azure-Dienst BESCHREIBUNG
AWS CloudTrail Microsoft Entra-Überwachung des privilegierten Zugriffs Umfassende Überwachungsprotokollierung für Aktivitäten mit privilegiertem Zugriff
AWS IAM und Partnerprodukte oder benutzerdefinierte Automatisierung Just-In-Time-Zugriff für Microsoft Entra Zeitgebundener Aktivierungsprozess für privilegierte Rollen

Hybrididentität

Beide Plattformen bieten Lösungen zum Verwalten von Hybrididentitätsszenarien, die Cloud- und lokale Ressourcen integrieren.

AWS-Dienst Azure-Dienst BESCHREIBUNG
AWS Directory Service AD Connector Microsoft Entra Connect Verzeichnissynchronisierungstool für die Hybrididentitätsverwaltung
AWS IAM SAML-Anbieter Active Directory-Verbunddienste Identitätsverbunddienst für einmaliges Anmelden (SSO)
AWS Managed Microsoft AD Microsoft Entra Passworthashsynchronisierung Kennwortsynchronisierung zwischen lokalen und Cloudinstanzen

Anwendungs- und API-Benutzerauthentifizierung und Autorisierung

Beide Plattformen bieten Identitätsdienste zum Sichern des Anwendungszugriffs und der API-Authentifizierung. Diese Dienste verwalten die Benutzerauthentifizierung, Anwendungsberechtigungen und API-Zugriffssteuerungen über identitätsbasierte Mechanismen. Die Microsoft Identity Platform dient als einheitliches Azure-Framework für die Authentifizierung und Autorisierung für Anwendungen, APIs und Dienste. Es implementiert Standards wie OAuth 2.0 und OIDC. AWS bietet ähnliche Funktionen über Amazon Cognito als Teil seiner Identitätssuite.

AWS-Dienst Microsoft-Dienst BESCHREIBUNG
Amazon Cognito

AWS Amplify Authentication

AWS Security Token Service (STS)
Microsoft Identity Platform Umfassende Identitätsplattform, die Authentifizierung, Autorisierung und Benutzerverwaltung für Anwendungen und APIs bereitstellt. Beide Optionen implementieren OAuth 2.0- und OIDC-Standards, weisen jedoch unterschiedliche Architekturansätze auf.

Wichtige Architekturunterschiede

  • AWS-Ansatz: Verteilte Dienste, die zusammen zusammengesetzt sind
  • Microsoft-Ansatz: Einheitliche Plattform mit integrierten Komponenten

Entwickler-SDK und -Bibliotheken

AWS-Dienst Microsoft-Dienst BESCHREIBUNG
AWS Amplify Authentication Libraries Microsoft Authentication Library (MSAL) Clientbibliotheken für die Implementierung von Authentifizierungsflüssen. MSAL bietet ein einheitliches SDK auf mehreren Plattformen und Sprachen. AWS bietet separate Implementierungen durch Amplify.
AWS-SDKs für mehrere Programmiersprachen MSAL für mehrere Programmiersprachen Sprachspezifische SDKs zum Implementieren der Authentifizierung. Der Microsoft-Ansatz bietet ein hohes Maß an Konsistenz in Programmiersprachen.

OAuth 2.0-Ablaufimplementierung

AWS-Dienst Microsoft-Dienst BESCHREIBUNG
Amazon Cognito OAuth 2.0 Zuschüsse Microsoft Identity Platform-Authentifizierungsflüsse Unterstützen von OAuth 2.0-Standardflüssen, einschließlich Autorisierungscode, impliziter Clientanmeldeinformationen und Gerätecode
Kognito-Autorisierungscodefluss für Benutzerpools Autorisierungscodefluss der Microsoft Identity Platform Implementierung des sicheren umleitungsbasierten OAuth-Flusses für Webanwendungen
Unterstützung von Cognito-Benutzerpools für Prüfschlüssel für Code Exchange (PKCE) PKCE-Unterstützung für Microsoft Identity Platform Verbesserte Sicherheit für öffentliche Clients mithilfe von PKCE
Cognito benutzerdefinierte Authentifizierungsflüsse Benutzerdefinierte Microsoft Identity Platform-Richtlinien Anpassung von Authentifizierungssequenzen, aber mit unterschiedlicher Implementierung

Integration von Identitätsanbietern

AWS-Dienst Microsoft- oder Azure-Dienst BESCHREIBUNG
Cognito-Identitätsanbieterverbund Externe Identitätsanbieter der Microsoft Identity Platform Unterstützung von Identitätsanbietern für soziale Netzwerke und Unternehmen über OIDC- und SAML-Protokolle
Cognito-Benutzerpools für die Anmeldung bei Social Media Microsoft Identity Platform– Anbieter für soziale Identitäten Integration mit Anbietern wie Google, Facebook und Apple für die Verbraucherauthentifizierung
Cognito SAML-Partnerverbund Microsoft Entra ID SAML-Partnerverbund Enterprise-Identitätsverbund über SAML 2.0

Tokendienste

AWS-Dienst Microsoft- oder Azure-Dienst BESCHREIBUNG
AWS STS Microsoft Entra-Tokendienst Ausgeben von Sicherheitstoken für die Anwendungs- und Dienstauthentifizierung
Anpassung des Cognito-Tokens Microsoft Identity Platform-Tokenkonfiguration Anpassung von JSON-Webtoken mithilfe von Ansprüchen und Bereichen
Cognito-Tokenüberprüfung Microsoft Identity Platform-Tokenüberprüfung Bibliotheken und Dienste zur Überprüfung der Tokenauthentität

Anwendungsregistrierung und Sicherheit

AWS-Dienst Microsoft- oder Azure-Dienst BESCHREIBUNG
Cognito-App-Clientkonfiguration Microsoft Entra-App-Registrierungen Registrierung und Konfiguration von Anwendungen mithilfe der Identitätsplattform
AWS IAM-Rollen für Anwendungen Microsoft Entra Workload-ID Verwaltete Identitäten für den Anwendungscoderessourcenzugriff
Cognito-Ressourcenserver Microsoft Identity Platform-API-Berechtigungen Konfiguration von geschützten Ressourcen und Bereichen

Entwicklerumgebung

AWS-Dienst Microsoft- oder Azure-Dienst BESCHREIBUNG
AWS Amplify CLI Microsoft identity platform PowerShell CLI Befehlszeilentools für die Identitätskonfiguration
AWS Cognito-Konsole Microsoft Entra Admin Center Verwaltungsschnittstellen für Identitätsdienste
Gehostete Benutzeroberfläche von Cognito MSAL-Benutzeroberfläche der Microsoft Identity Platform Vordefinierte UIs für die Authentifizierung
AWS AppSync mit Cognito Microsoft Graph-API mit MSAL Datenzugriffsmuster mit Authentifizierung

Plattformspezifische Features

AWS-Dienst Microsoft-Dienst BESCHREIBUNG
Cognito-Identitätspools Keine direkte Entsprechung AWS-spezifischer Ansatz zum Verbund von Identitäten mit AWS-Ressourcen
Keine direkte Entsprechung Web-Apps-Feature von Azure App Service Easy Auth Authentifizierung auf Plattformebene für Webanwendungen ohne Codeänderungen
Lambda-Trigger des Cognito-Benutzerpools Benutzerdefinierte Microsoft Identity Platform B2C-Richtlinien Erweiterbarkeitsmechanismen für Authentifizierungsflüsse
AWS Web Application Firewall mit Cognito Keine direkte Entsprechung Sicherheitsrichtlinien für die Zugriffssteuerung

Beitragende

Microsoft verwaltet diesen Artikel. Die folgenden Mitwirkenden haben diesen Artikel geschrieben.

Hauptautor:

Anderer Mitwirkender:

Um nicht-öffentliche LinkedIn-Profile anzuzeigen, melden Sie sich bei LinkedIn an.

Nächste Schritte