Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Esta guía es para las organizaciones que usan Amazon Web Services (AWS) y desean migrar a Azure o adoptar una estrategia multinube. En esta guía se comparan las soluciones de administración de identidades de AWS con soluciones de Azure similares.
Sugerencia
Para obtener información sobre cómo extender microsoft Entra ID a AWS, consulte Administración de identidades y administración de acceso de Microsoft Entra para AWS.
Servicios de identidad principales
Los servicios de identidad principales de ambas plataformas forman la base de la administración de identidades y acceso. Estos servicios incluyen funcionalidades principales de autenticación, autorización y contabilidad, y la capacidad de organizar los recursos en la nube en estructuras lógicas. Los profesionales de AWS pueden usar funcionalidades similares en Azure. Estas funcionalidades pueden tener diferencias arquitectónicas en la implementación.
| Servicio de AWS | Servicio de Azure | Descripción |
|---|---|---|
| AWS Identity and Access Management (IAM) Identity Center | Microsoft Entra ID | Servicio de administración de identidades centralizado que proporciona inicio de sesión único (SSO), autenticación multifactor (MFA) e integración con varias aplicaciones |
| Organizaciones AWS | grupos de administración de Azure | Estructura jerárquica de la organización para administrar varias cuentas y suscripciones mediante directivas heredadas |
| AWS IAM Identity Center | Inicio de sesión único (SSO) de Microsoft Entra ID | Administración centralizada del acceso que permite a los usuarios acceder a varias aplicaciones mediante un único conjunto de credenciales |
| AWS Directory Service | Servicios de dominio de Microsoft Entra | Servicios de directorio administrados que proporcionan unión a un dominio, directiva de grupo, protocolo ligero de acceso a directorios (LDAP) y autenticación de Kerberos o NT LAN Manager (NTLM) |
Autenticación y control de acceso
Los servicios de autenticación y control de acceso en ambas plataformas proporcionan características de seguridad esenciales para comprobar las identidades de usuario y administrar el acceso a los recursos. Estos servicios controlan MFA, revisiones de acceso, administración de usuarios externos y permisos basados en roles.
| Servicio de AWS | Servicio de Azure | Descripción |
|---|---|---|
| AWS MFA | MFA de Microsoft Entra | Capa de seguridad adicional que requiere varias formas de comprobación para inicios de sesión de usuario |
| AWS IAM Access Analyzer | Revisiones de acceso de Microsoft Entra | Herramientas y servicios para revisar y administrar los permisos de acceso a los recursos |
| AWS IAM Identity Center | Id. externa de Microsoft Entra | Plataforma externa de administración de acceso de usuarios para la colaboración segura entre organizaciones. Estas plataformas admiten protocolos como Security Assertion Markup Language (SAML) y OpenID Connect (OIDC). |
| AWS Resource Access Manager | Control de acceso basado en roles (RBAC) de Microsoft Entra y RBAC de Azure | Servicios que pueden compartir recursos en la nube dentro de una organización. AWS suele compartir recursos en la nube en varias cuentas. RBAC de Azure puede lograr un uso compartido de recursos similar. |
Gobierno de identidad
Para mantener la seguridad y el cumplimiento, debe administrar identidades y acceso. TANTO AWS como Azure proporcionan soluciones para la gobernanza de identidades. Las organizaciones y los equipos de cargas de trabajo pueden usar estas soluciones para administrar el ciclo de vida de las identidades, realizar revisiones de acceso y controlar el acceso con privilegios.
En AWS, la administración del ciclo de vida de la identidad, las revisiones de acceso y el acceso con privilegios requiere una combinación de varios servicios.
- AWS IAM controla el acceso seguro a los recursos.
- IAM Access Analyzer ayuda a identificar los recursos compartidos.
- AWS Organizations proporciona administración centralizada de varias cuentas.
- IAM Identity Center proporciona administración de acceso centralizada.
- AWS CloudTrail y AWS Config permiten la gobernanza, el cumplimiento y la auditoría de los recursos de AWS.
Puede adaptar estos servicios para satisfacer necesidades organizativas específicas, lo que ayuda a garantizar el cumplimiento y la seguridad.
En Azure, Microsoft Entra ID Governance proporciona una solución integrada para administrar el ciclo de vida de la identidad, las revisiones de acceso y el acceso con privilegios. Simplifica estos procesos mediante la incorporación de flujos de trabajo automatizados, certificaciones de acceso y aplicación de directivas. Estas funcionalidades proporcionan un enfoque unificado para la gobernanza de identidades.
Gestión de acceso privilegiado
El acceso elevado temporal de AWS IAM es una solución de seguridad de código abierto que concede acceso elevado temporal a los recursos de AWS a través del Centro de identidades de AWS IAM. Este enfoque garantiza que los usuarios solo tengan privilegios elevados durante un tiempo limitado y para tareas específicas para reducir el riesgo de acceso no autorizado.
Microsoft Entra Privileged Identity Management (PIM) proporciona administración de acceso con privilegios Just-In-Time. Use PIM para administrar, controlar y supervisar el acceso a recursos importantes y permisos críticos en su organización. PIM incluye características como la activación de roles a través de flujos de trabajo de aprobación, acceso limitado a tiempo y revisiones de acceso para asegurarse de que los roles con privilegios solo se conceden cuando sea necesario y se auditan por completo.
| Servicio de AWS | Servicio de Azure | Descripción |
|---|---|---|
| AWS CloudTrail | Auditoría de acceso privilegiado de Microsoft Entra | Registro de auditoría completo para actividades de acceso con privilegios |
| AWS IAM y productos asociados o automatización personalizada | Acceso Just-In-Time de Microsoft Entra | Proceso de activación de roles con privilegios con límite de tiempo |
Identidad híbrida
Ambas plataformas proporcionan soluciones para administrar escenarios de identidad híbrida que integran recursos locales y en la nube.
| Servicio de AWS | Servicio de Azure | Descripción |
|---|---|---|
| Conector de AD del servicio de directorio de AWS | Microsoft Entra Connect | Herramienta de sincronización de directorios para la administración de identidades híbridas |
| Proveedor SAML de AWS IAM | Servicios de federación de Active Directory | Servicio de federación de identidades para SSO |
| AWS Managed Microsoft AD | Sincronización de hash de contraseñas de Microsoft Entra | Sincronización de contraseñas entre instancias locales y en la nube |
Autenticación y autorización de usuario de aplicación y API
Ambas plataformas proporcionan servicios de identidad para proteger el acceso a las aplicaciones y la autenticación de API. Estos servicios administran la autenticación de usuarios, los permisos de aplicación y los controles de acceso de API a través de mecanismos basados en identidades. La plataforma de identidad de Microsoft actúa como marco unificado de Azure para la autenticación y autorización entre aplicaciones, API y servicios. Implementa estándares como OAuth 2.0 y OIDC. AWS proporciona funcionalidades similares a través de Amazon Cognito como parte de su conjunto de identidades.
| Servicio de AWS | Servicio de Microsoft | Descripción |
|---|---|---|
| Amazon Cognito AWS Amplificación de la autenticación AWS Security Token Service (STS) |
Plataforma de identidad de Microsoft | Plataforma de identidad completa que proporciona autenticación, autorización y administración de usuarios para aplicaciones y API. Ambas opciones implementan estándares de OAuth 2.0 y OIDC, pero tienen enfoques arquitectónicos diferentes. |
Diferencias clave en la arquitectura
- Enfoque de AWS: Servicios distribuidos que se componen juntos
- Enfoque de Microsoft: Plataforma unificada que tiene componentes integrados
SDK y bibliotecas para desarrolladores
| Servicio de AWS | Servicio de Microsoft | Descripción |
|---|---|---|
| Bibliotecas de autenticación de AWS Amplify | Biblioteca de autenticación de Microsoft (MSAL) | Bibliotecas cliente para implementar flujos de autenticación. MSAL proporciona un SDK unificado en varias plataformas y lenguajes. AWS proporciona implementaciones independientes a través de Amplificar. |
| SDK de AWS para varios lenguajes de programación | MSAL para varios lenguajes de programación | SDK específicos del lenguaje para implementar la autenticación. El enfoque de Microsoft proporciona un alto nivel de coherencia en todos los lenguajes de programación. |
Implementación de flujo de OAuth 2.0
| Servicio de AWS | Servicio de Microsoft | Descripción |
|---|---|---|
| Concesiones de Amazon Cognito OAuth 2.0 | Flujos de autenticación de la plataforma de identidad de Microsoft | Compatibilidad con flujos estándar de OAuth 2.0, incluido código de autorización, implícito, credenciales de cliente y código de dispositivo |
| Flujo de código de autorización de grupos de usuarios de Cognito | Flujo de código de autorización de la plataforma de identidad de Microsoft | Implementación del flujo de OAuth basado en redireccionamiento seguro para aplicaciones web |
| Compatibilidad con los grupos de usuarios de Cognito para Intercambio de código (PKCE) | Compatibilidad con PKCE de la plataforma de identidad de Microsoft | Seguridad mejorada para clientes públicos mediante PKCE |
| Flujos de autenticación personalizados de Cognito | Directivas personalizadas de la plataforma de identidad de Microsoft | Personalización de secuencias de autenticación, pero con una implementación diferente |
Integración del proveedor de identidades
| Servicio de AWS | Servicio Microsoft o Azure | Descripción |
|---|---|---|
| Federación del proveedor de identidades de Cognito | Proveedores de identidades externos de la plataforma de identidad de Microsoft | Compatibilidad con proveedores de identidades sociales y empresariales a través de protocolos OIDC y SAML |
| Inicio de sesión social de grupos de usuarios de Cognito | Proveedores de identidades sociales de la plataforma de identidad de Microsoft | Integración con proveedores como Google, Facebook y Apple para la autenticación de consumidores |
| Federación de Cognito SAML | Federación de SAML de Microsoft Entra ID | Federación de identidades empresariales a través de SAML 2.0 |
Servicios de token
| Servicio de AWS | Servicio Microsoft o Azure | Descripción |
|---|---|---|
| AWS STS | Servicio de token de Microsoft Entra | Emitir tokens de seguridad para la autenticación de aplicaciones y servicios |
| Personalización del token de Cognito | Configuración del token de la plataforma de identidad de Microsoft | Personalización de tokens web JSON mediante notificaciones y ámbitos |
| Validación de tokens de Cognito | Validación de tokens de la plataforma de identidad de Microsoft | Bibliotecas y servicios para comprobar la autenticidad del token |
Registro y seguridad de la aplicación
| Servicio de AWS | Servicio Microsoft o Azure | Descripción |
|---|---|---|
| Configuración del cliente de la aplicación cognito | Registros de aplicaciones de Microsoft Entra | Registro y configuración de aplicaciones mediante la plataforma de identidad |
| Roles de IAM de AWS para aplicaciones | Microsoft Entra Workload ID | Identidades administradas para el acceso a recursos de código de aplicación |
| Servidores de recursos de Cognito | Permisos de API de la plataforma de identidad de Microsoft | Configuración de recursos y ámbitos protegidos |
Experiencia del desarrollador
| Servicio de AWS | Servicio Microsoft o Azure | Descripción |
|---|---|---|
| AWS Amplify CLI | CLI de PowerShell de la plataforma de identidad de Microsoft | Herramientas de línea de comandos para la configuración de identidad |
| Consola de AWS Cognito | Centro de administración de Microsoft Entra | Interfaces de administración para servicios de identidad |
| Interfaz de usuario hospedada en Cognito | Interfaz de usuario de MSAL de la plataforma de identidad de Microsoft | Interfaces de usuario precompilada para la autenticación |
| AWS AppSync con Cognito | Microsoft Graph API con MSAL | Patrones de acceso a datos con autenticación |
Características específicas de la plataforma
| Servicio de AWS | Servicio de Microsoft | Descripción |
|---|---|---|
| Grupos de identidades de Cognito | Sin equivalente directo | Enfoque específico de AWS para federar identidades a recursos de AWS |
| Sin equivalente directo | Función de Web Apps en la autenticación sencilla de Azure App Service | Autenticación de nivel de plataforma para aplicaciones web sin cambios en el código |
| Desencadenadores lambda del grupo de usuarios de Cognito | Directivas personalizadas para la plataforma de identidad Microsoft B2C | Mecanismos de extensibilidad para flujos de autenticación |
| Firewall de aplicaciones web de AWS con Cognito | Sin equivalente directo | Directivas de seguridad para el control de acceso |
Colaboradores
Microsoft mantiene este artículo. Los colaboradores siguientes escribieron este artículo.
Autor principal:
- Jerry Rhoads | Arquitecto principal de soluciones de asociados
Otro colaborador:
- Adam Cerini | Director, Estratega de Tecnología para Socios
Para ver los perfiles no públicos de LinkedIn, inicie sesión en LinkedIn.
Pasos siguientes
- Planeamiento de la implementación del identificador de Microsoft Entra
- Configuración de la identidad híbrida con Microsoft Entra Connect
- Implementación de Microsoft Entra PIM
- Protección de aplicaciones mediante la plataforma de identidad de Microsoft